/https://www.webnews.it/app/uploads/2010/07/news_0834ea0c0b3d2ed2.jpg)
A volte ritornano. E, a quanto pare, anche in maniera pericolosa: Craig Heffner, ricercatore presso la società di sicurezza Seismic, ha infatti
Heffner sostiene di essere riuscito a realizzare uno script che, una volta attivato semplicemente visitando una pagina web che lo ospita, è in grado di sferrare un attacco nei confronti del router utilizzato per la connessione. Tale script fa uso del metodo del DNS rebinding, già noto agli esperti di sicurezza web: in sostanza, lo script è in grado di chiedere accesso al router mascherando il proprio indirizzo IP con quello dell’utente, ricevendo dunque il permesso di accedere alle funzionalità del dispositivo.
Dal pericolo sembra non scampare alcuna azienda produttrice di router, da Linksys a Dell, passando anche per Verizon. E a nulla servirebbero le patch inserite negli anni, sia a monte, correggendo alcuni problemi nel sistema DNS, sia a valle, con i browser che hanno cercato di tamponare tale falla. Lo script ideato dal ricercatore sarebbe in grado di oltrepassare ogni misura di sicurezza, utilizzando, a detta dello stesso autore, metodi già noti ma mai utilizzati in questo modo.
A rendere Heffner tanto sicuro della validità del proprio script vi sono una serie di test effettuati sulla base di 30 router: la metà di questi ultimi sono risultati vulnerabili a tale hack, e dunque potenzialmente a rischio. L’elenco dei router testati è stato reso noto, ed è
Una prima misura di sicurezza, però, può essere attuata dall’utente: tramite lo script di Heffner, eventuali malintenzionati riuscirebbero a richiedere al router i permessi di accesso non tramite attacchi brutali, ma semplicemente fingendosi uno degli utenti connessi. Ciò implica che il router, prima di concedere quanto richiesto, pretende che venga effettuato il login tramite la password di accesso, se questa è stata impostata. Tutto ciò che è necessario fare è modificare la password del proprio router, se questa è ancora quella di default.
A quanto pare, Craig Heffner sembra intenzionato a rilasciare lo script in questione, allo scopo di sollecitare gli sviluppatori hardware e gli addetti ai lavori alla realizzazione di un rimedio che ponga fine una volta per tutte alla questione. A fine mese, infatti, si terrà a Las Vegas l’annuale conferenza