Tentativo di hackeraggio con wifi??! Chiedo aiuto a voi

[zuino1]

Buonasera.
Scusate se non è la sezione giusta, nel caso vi chiedo di spostare la discussione al bar ubuntu, ma l’altro giorno mi è successa una cosa che non mi lascia affatto tranquillo e non so davvero a chi rivolgermi.

In realtà non credo centri ubuntu, quanto successo è avvenuto ore dopo aver spento il PC.

Possiedo un robot aspirapolvere comprato su amazon, dotato di wifi. Non l’ho MAI associato alla mia rete domestica perché non mi serve (lo aziono solo con il telecomando) ma ho visto che talvolta, facendo con altri dispositivi la ricerca delle reti wifi, veniva rilevato come se fosse una rete aperta, ma non mi sono preoccupato più di tanto in quanto la casa madre e il manuale hanno sempre asserito che per collegarlo a qualunque dispositivo c'è bisogno di premere fisicamente un tasto per l'associazione, dopo inoltre aver installato l'applicazione e creato un account. Inoltre, anche volendo, il modulo wifi non si può disattivare.

Mai avuto problemi per 3 anni.

L’altra sera sento uno strano rumore dalla stanza dove si trova, vado a vedere, aveva la spia del wifi accesa (spia che si accende solo quando è collegato ad una rete) ED È STATO MESSO IN FUNZIONE!! MA NON SONO STATO IO!! (ero per giunta solo in casa) Vi giuro che facevo fatica a credere ai miei occhi. L'ho subito spento, ho scaricato l'applicazione e usando il tethering del cellulare (non quindi la rete domestica) mi ci sono collegato. Una volta rilevato dall'applicazione, l'ho resettato.

Per scrupolo il giorno seguente ho dato un’occhiata anche al log della mia rete internet domestica, che ripeto, non è MAI stata in contatto con l'aspirapolvere, per nessun motivo.

Ebbene più o meno nello stesso orario in cui è partito l’aspirapolvere da solo, ho trovato numerosi tentativi di connessione alla rete wifi da parte di un dispositivo sconosciuto, il log dice ‘il dispositivo wireless è stato disconnesso dalla rete wifi. IP – Mac ‘ ma nel log non è mai riportato che si è effettivamente collegato.
La cosa stranissima è che l’indirizzo mac è quasi uguale a quello del mio aspirapolvere, variano solo 2 cifre.
Questi tentativi sono durati circa un'ora, poi niente più.
Io però non solo l'altro giorno non ho cercato di collegare l'aspirapolvere alla mia rete (ho usato solo il tethering dela rete mobile del cellulare), ma, ripeto, l'aspirapolvere non è mai stato collegato alla mia rete, in nessun modo.

Non capisco se è un attacco è, nel caso, riguardando il wifi, un attacco ‘fisico’, di qualcuno fisicamente vicino a me, il che non nego mi spaventa. Anche perché, ripeto, l'aspirapolvere non era connesso ad alcuna rete e aveva attivo solo il suo wifi interno, suppongo rilevabile entro pochi metri!

Cosa pensate possa esser successo? Che posso fare?

Grazie mille davvero

[thece]

esatto, in questo caso il tuo PC con Ubuntu non c'entra nulla.

Formulo un'ipotesi ma per verificarla, al di là di quello che hai descritto, dovrei guardare con i miei occhi.

[EDIT]

Scenario più probabile e semplice:

qualcuno molto vicino a te (nel senso di distanza metrica) ha captato la rete WIFI pubblicata dal tuo robot aspirapolvere, rete WIFI aperta (senza autenticazione) come hai scritto tu in precedenza.
Immagino che il nome di questa rete WIFI sia un qualcosa del tipo: MARCA_MODELLO_LETTERE_E_NUMERI_VARI, quindi un buon punto di partenza per capire con quale dispositivo si ha a che fare e cercarne in Rete sia la documentazione sul funzionamento, sia eventuali vulnerabilità.
Immagino che per controllare il robot aspirapolevere sia necessaria un'app (facilmente reperibile online) e delle credenziali di accesso per la connessione al suo pannello di controllo.
Immagino che ci siano anche delle credenziali di accesso di default (anche queste facilmente reperibili sulla documentazione) e che non credo tu ti sia preso la briga di modificare (nel caso: male, molto male).
L'attaccante si è qundi collegato alla rete WIFI del robot aspirapolvere, si è collegato al suo pannello di controllo con la app, ha "girovagato" un pò per il dispositivo, forse ha estratto qualche informazione "utile" (tipo il MAC address della sua scheda di rete WIFI del robot) e poi si è dirvertito ad azionarlo.
Finito il divertimento con il robot aspiravolvere è passato alla rete WIFI del tuo router, solo che in questo caso si è trovato ad affrontare un ostacolo/problema di sicurezza più grosso. Probabilmente ha tentato di accedere spoofando il MAC address della sua scheda di rete WIFI con quello del robot (o uno simile).

[/EDIT]

Se dal log sul router non rilevi alcun tentativo di accesso "non autorizzato" andato a buon fine, oppure da un veloce monitoraggio della tua LAN non rilevi alcun dispositivo intruso (*), direi che puoi stare tranquillo.

Al volo, un paio di comandi utili

Codice: Seleziona tutto

sudo arp-scan -l
sudo nmap -sn INDIRIZZO_IP_TUA_LAN/24

[zuino1]

grazie mille della risposta.

Nel log, ho notato per un'oretta solo la voce "il dispositivo wireless è stato disconnesso dalla rete wifi. IP –", ma non c'è mai un ip assegnato, nè la dicitura di connessione. Deduco quindi non ci sia riuscito.

Quello che non capisco è il perchè del gesto:

1) Voleva solo "beneficiare gratuitamente" della rete o aveva altre mire?
2) si, potrebbe aver capito dei dati dal robot, ma poi materialmente come ha fatto ad azionarlo? Per farlo bisogna premere un tasto fisico, scaricarsi l'app e farsi un account, ne ha di tempo da perdere!

grazie

[thece]

1) Voleva solo "beneficiare gratuitamente" della rete o aveva altre mire?

Per divertimento? Per testare le proprie abilità di penetration tester? Varie ed eventuali?

2) si, potrebbe aver capito dei dati dal robot, ma poi materialmente come ha fatto ad azionarlo? Per farlo bisogna premere un tasto fisico, scaricarsi l'app e farsi un account, ne ha di tempo da perdere!

Non sarei sorpreso nello scoprire che nella procedura di connessione/autenticazione verso il robot aspirapolvere ci sia qualche vulnerabilità

[zuino1]

1) Voleva solo "beneficiare gratuitamente" della rete o aveva altre mire?

Per divertimento? Per testare le proprie abilità di penetration tester? Varie ed eventuali?

2) si, potrebbe aver capito dei dati dal robot, ma poi materialmente come ha fatto ad azionarlo? Per farlo bisogna premere un tasto fisico, scaricarsi l'app e farsi un account, ne ha di tempo da perdere!

Non sarei sorpreso nello scoprire che nella procedura di connessione/autenticazione verso il robot aspirapolvere ci sia qualche vulnerabilità

se per la rete ci sono possibilità di difesa, l'aspirapolvere però non mi da la possibilità di farlo. Possibile questi elettrodomestici non hanno la possibilità di disattivare la rete propria? è una bella falla di sicurezza..

[Mozo]

Controlla nel manuale del robot, solitamente si disattiva con una combinazione di tasti sullo stesso.

[thece]

Possibile questi elettrodomestici non hanno la possibilità di disattivare la rete propria? è una bella falla di sicurezza..

Controlla sul manuale del dispositivo.

[zuino1]

ho provato ma niente, proverò a ricontattare la casa madre.

Ma una curiosità.. dalla rete ospite del fritz, ammesso che ci si riesca a collegare, si possono fare danni o no?
In teoria è una "rete esterna", ma il modem è lo stesso sia per la rete principale che per quella ospite..

[thece]

Ma una curiosità.. dalla rete ospite del fritz, ammesso che ci si riesca a collegare, si possono fare danni o no?

No.

Anche ammesso che un attaccante riesca a scoprire la chiave della tua rete WIFI GUEST, non riuscirà a fare nulla se non ad accedere a Internet.
Al massimo potrà spacciarsi per te, nel senso che su Internet uscirà con il "tuo" indirizzo IP pubblico, quello che in quel momento ti sarà stato assegnato dal tuo provider.

A meno di bug nel firmware FritzOS, la LAN (GUEST) accedibile via WIFI GUEST è isolata dal firewall rispetto alla LAN principale.
Gli host collegati alla LAN GUEST non possono nemmeno comunicare fra loro. (NDR: è un'impostazione modificabile nel firmware del FritzOS)

[zuino1]

Ma una curiosità.. dalla rete ospite del fritz, ammesso che ci si riesca a collegare, si possono fare danni o no?

No.

Anche ammesso che un attaccante riesca a scoprire la chiave della tua rete WIFI GUEST, non riuscirà a fare nulla se non ad accedere a Internet.
Al massimo potrà spacciarsi per te, nel senso che su Internet uscirà con il "tuo" indirizzo IP pubblico, quello che in quel momento ti sarà stato assegnato dal tuo provider.

A meno di bug nel firmware FritzOS, la LAN (GUEST) accedibile via WIFI GUEST è isolata dal firewall rispetto alla LAN principale. Gli host collegati alla LAN GUEST non possono nemmeno comunicare fra loro.

Grazie mille.
Quindi diciamo anche se per assurdo si collegasse da un PC infetto, o provasse ad infettarmi il router, se la fritz ha fatto un buon lavoro con l'os, starei tranquillo?

[Stealth]

... A meno di bug nel firmware FritzOS, la LAN (GUEST) accedibile via WIFI GUEST è isolata dal firewall rispetto alla LAN principale. Gli host collegati alla LAN GUEST non possono nemmeno comunicare fra loro.

In realtà questa cosa è impostabile nella pagina "accesso ospite -> altre impostazioni" del fritz. Io controllo sempre che siano disattivate le opzioni, non ricordo come siano di default nel fritz nuovo

[thece]

In realtà questa cosa è impostabile nella pagina "accesso ospite -> altre impostazioni" del fritz.

Si, è corretto.
A memoria (potrei sbagliarmi ) mi sembra sia l'impostazione di default.

Quindi diciamo anche se per assurdo si collegasse da un PC infetto, o provasse ad infettarmi il router, se la fritz ha fatto un buon lavoro con l'os, starei tranquillo?

Se per PC "infetto" intendi un dispositivo con SO Windows/Linux/MacOS/Android che contenga al suo interno un malware, stai tranquillo. Per hackerare il tuo router servirebbe un attacco molto mirato, semplificando al massimo per farti capire: fatto a mano.

[wilecoyote]

Salve, oltre che nei robot aspira/lava pavimenti, la stessa problematica si manifesta anche nei robot tosaerba.

Ciao

[zuino1]

A questo punto mi state facendo venire un'idea.
Mia moglie fa smartworking e usa una sim mobile per scrupolo perché spesso deve aprire mail ricevere file ecc non sempre verificati.
Invece di buttare soldi per una sim posso farla collegare alla rete ospiti in sicurezza senza rischi per la rete domestica?
Grazie

[korda]

A questo punto mi state facendo venire un'idea.
Mia moglie fa smartworking e usa una sim mobile per scrupolo perché spesso deve aprire mail ricevere file ecc non sempre verificati.
Invece di buttare soldi per una sim posso farla collegare alla rete ospiti in sicurezza senza rischi per la rete domestica?
Grazie

Per scrupolo...

Il datore di lavoro di tua moglie non la fa collegare sotto una VPN e/o le può fornire un hotspot aziendale (telefono o saponetta)?

[zuino1]

A questo punto mi state facendo venire un'idea.
Mia moglie fa smartworking e usa una sim mobile per scrupolo perché spesso deve aprire mail ricevere file ecc non sempre verificati.
Invece di buttare soldi per una sim posso farla collegare alla rete ospiti in sicurezza senza rischi per la rete domestica?
Grazie

Per scrupolo...

Il datore di lavoro di tua moglie non la fa collegare sotto una VPN e/o le può fornire un hotspot aziendale (telefono o saponetta)?

Ha il telefono aziendale, ma temo che se lo usasse tutto il giorno come hotspot andrebbe a fuoco
Per il resto purtroppo no, niente saponette o vpn, tutto a carico suo

[thece]

Mia moglie fa smartworking e usa una sim mobile per scrupolo perché spesso deve aprire mail ricevere file ecc non sempre verificati.
Invece di buttare soldi per una sim posso farla collegare alla rete ospiti in sicurezza senza rischi per la rete domestica?

Ovviamente si, ma secondo me ti stai facendo un sacco di paranoie inutili, potrebbe anche tranquillamente collegarsi alla rete WIFI principale.

Non conosco esattamente cosa fate, lo stato dei vostri PC e della LAN, ma il rischio di "infezione" tra PC lo stimerei come molto basso.
L'obiettivo principale della WIFI GUEST è quello di rendere disponibile la connessione a Internet a "terzi", senza dovergli comunicare per forza di cose la password della rete WIFI principale.

Ripeto: la mia è una stima spannometrica, basata su un'ipotesi di utilizzo dei PC in LAN diciamo "normale". Poi magari voi avete delle esigenze tutte particolari ed è giustificato prendere precauzioni molto più serie.
Per una valutazione (vagamente) più accurata occorrerebbe innanzitutto una descrizione più precisa del "vostro scenario", poi una discussione più ampia.

Ha il telefono aziendale, ma temo che se lo usasse tutto il giorno come hotspot andrebbe a fuoco

Guarda, in ufficio io uso due PC. Il primo è collegato alla rete aziendale "blindatissima". Il secondo è collegato a Internet attraverso il tethering via USB del mio cellulare per almeno 8 ore al giorno: zero problemi.

[zuino1]

ma guarda forse sono paranoie più che altro, non ho chissà che esigenze.

Il problema è che anche io lavoro in smart spesso, però praticamente collegandomi da remoto al pc dell'azienda, quindi sul mio faccio poco e nulla.
La paura mia è che se passa roba sulla rete dal pc di lei:
1) devo mettermi a riconfigurare tutti gli apparati con annessa perdita di tempo enorme (reset, password ecc)
2) non vorrei portare danni poi al pc aziendale al quale mi collego
3) non vorrei che qualche ransonware bloccasse apparati

In pratica la mia paura è che, per farla breve, se sul suo pc windows aprisse qualche mail malevola il malware galoppi su tutta la rete

Che ne pensate?

[thece]

In pratica la mia paura è che, per farla breve, se sul suo pc windows aprisse qualche mail malevola il malware galoppi su tutta la rete

Lo stimo come improbabile, non impossibile, ovviamente.

Nella più larga maggioranza dei casi il malware/ransomeware ha una portata di azione locale al PC. Fa danni perchè, più o meno coscientemente, lo hai scaricato e lo hai avviato tu (almeno una volta).
Fortunatamente i PC Windows adesso adottano programmi di patching più aggressivi e policy di sicurezza più stringenti. L'infezione via rete tra host nella stessa LAN è difficile, è improbabile.
I PC con Linux non sono invulnerabili, ma grazie al fatto che occupano (nel settore desktop) una piccolissima percentuale dell'installato, in pratica non vengono considerati dagli attaccanti.
L'infezione tra sistemi operativi diversi, Windows / Linux ad esempio, è praticamente impossibile.

Non ti sto dicendo di dormire sonni tranquilli, solo di valutare il rischio con il giusto peso.

I miei discorsi comunque sono orientati al difendersi da attacchi portati contro il "mucchio". Se vieni preso di mira da un attaccante allora il discorso cambia e molto. In questo caso siamo di fronte ad attacchi mirati, precisi, non "automatici", difendersi è tutta un'altra storia.

(Ho semplificato molto: astenersi pignoli)

[Stealth]

Se quella fosse la mia situazione io farei così
1- cambio password rete wifi con una robusta, senza darla a nessuno. Questo perchè il fritz è scemo e non puoi avere rete guest senza lasciare main attiva (ma così moglie non si connette più a quella)
2 - verifico che la wifi ospite sia settata come da immagine mio post precedente
3 - connetto pc moglie a rete ospite in modo che d'ora in poi lo faccia automaticamente
ora pc moglie non vede più la lan di casa, il tuo e il suo pc non si vedono e non si parlano, perchè il suo si connette ad internet e vpn da altra lan.
Direi che così va già bene, concordo con thece e penso che, ragionevolmente, se ti mettono in smart working ci piace pensare che sappiano proteggere le risorse aziendali.
Per come la vedo io quando non dai un pc blindato (e anche così, poi...) a chi metti in smart working, poi non puoi pensare che il pc casalingo che si attaccherà all'azienda sia sterile come una sala operatoria