Quando attiviamo una connessione a Internet e il nostro Internet Provider ci manda a casa il suo router, noi lo installiamo, lo configuriamo e crediamo che tutto sia a posto così. Lo stesso vale se preferiamo comprare un "router libero": lo portiamo a casa, lo installiamo, lo configuriamo e iniziamo a navigare. Se siamo particolarmente attenti alla sicurezza facciamo un passo in più: cambiamo il nome utente e la password di serie del router con dati di login personalizzati.
Tutto questo è sufficiente per farci navigare sicuri? Secondo il Fraunhofer Institute for Communication (FKIE) di Wachtberg, in Germania, no. L'importante centro di ricerca tedesco, infatti, a giugno 2020 ha pubblicato l'Home router security report 2020, che raccoglie i risultati di numerosi test condotti su 127 modelli di router, prodotti da 7 costruttori famosi (Asus, AVM, D-Link, Linksys, Netgear, TP-Link e Zyxel, tutti molto apprezzati nel mercato del "router libero"). Dai test, purtroppo, non emergono buone notizie.
Sicurezza router: come stanno le cose
Il Fraunhofer Institute ha scoperto che moltissimi dei router testati sono affetti da vulnerabilità ben note da tempo. Ha trovato anche che molti produttori non inseriscono negli update del firmware dei loro router le fix alle vulnerabilità già disponibili. Molti router, poi, montano sistemi operativi in versioni vecchie e, conseguentemente, non sicure. Altrettanti usano chiavi crittografiche stranote agli hacker e persino deboli. Il centro di ricerca, poi, ha svelato che alcuni router non ricevevano un update da oltre cinque anni. Ma la cosa più preoccupante è che il FKIE non è riuscito a trovare, tra i 127 modelli esaminati, un solo router senza almeno un problema di sicurezza.
Sicurezza router: gli aggiornamenti del firmware
Sebbene 81 router siano stati aggiornati negli ultimi 365 giorni prima dei test del FKIE (che sono stati svolti dal 27 marzo 2019 al 27 marzo 2020) il numero medio di giorni dall'ultimo aggiornamento era di 378. Ben 27 dispositivi non venivano aggiornati da almeno due anni, mentre il router peggiore in assoluto non veniva aggiornato da 1.969 giorni, più di cinque anni. Asus, AVM e Netgear hanno pubblicato aggiornamenti per i loro dispositivi nell'ultimo anno e mezzo. Giusto per fare un confronto: la maggior parte dei programmi antivirus più diffusi pubblica aggiornamenti almeno quotidianamente.
Sicurezza router: il sistema operativo
Il 90% dei router testati dal Fraunhofer Institute for Communication aveva un sistema operativo Linux, un terzo dei router funzionava con il kernel Linux 2.6.36, versione che è stata rilasciata a fine ottobre 2010. Uno dei router analizzati, il Linksys WRT54GL, montava addirittura un Linux 2.4.20, che risale al 2002. È chiaro che un sistema operativo così vecchio non può essere sicuro e, infatti, le vulnerabilità relative al sistema operativo scoperte dal FKIE in media erano 53 per ogni router. Il migliore ne aveva "solo" 21, il peggiore ben 348.
Sicurezza router: le chiavi di crittografia
La maggior parte dei firmware dei router analizzati usavano una chiave crittografica privata. Ciò significa che tutto ciò che cercano di proteggere con un meccanismo di crittografia pubblico-privato non è affatto sicuro. Una chiave privata archiviata nel firmware, infatti, è fin troppo facile da estrarre per un hacker e per questo l'Open Web Application Security Project (OWASP) suggerisce di non usare chiavi private o, se proprio è necessario usarle, di archiviarle fuori dal firmware, su chip separati. Il FKIE ha riscontrato che sono state rese pubbliche in rete almeno cinque chiavi private provenienti da questi firmware e che all'interno del firmware del router Netgear R6800 c'erano ben 13 chiavi private.
Sicurezza router: le credenziali di accesso
La maggior parte dei router usa credenziali di accesso (cioè nome e utente e password necessari all'utente per accedere all'interfaccia Web di configurazione del router) di tipo "hard-coded". Cioè scritte direttamente nel firmware, senza alcuna crittografia. Ancor peggio, le credenziali di accesso (username e password) del tipo "Admin-Password" o "User-Password" abbondano. Il problema riscontrato dal Fraunhofer Institute for Communication sulle credenziali di accesso è stato che solo il 60% dei router analizzati non aveva credenziali hard-coded, mentre ben 50 modelli le avevano e 16 di questi avevano addirittura credenziali hard-coded già note da anni.
Sicurezza router: come migliorarla
Alla luce di quanto scoperto dal FKIE, come provare a rendere più sicuro il proprio modem-router? Intanto va specificato che la maggior parte dei prodotti analizzati non sono utilizzati dai principali Internet Provider, ma sono rivolti all'utente finale che sceglie e compra il modem-router "libero" per avere migliori prestazioni, funzionalità aggiuntive o (paradossalmente) più sicurezza. Per tenere alta la sicurezza del proprio router, quindi, l'utente deve assicurarsi di installare tutti gli aggiornamenti del firmware disponibili, cosa che molto spesso gli Internet Provider fanno automaticamente da remoto per i loro clienti con il modem-router in comodato d'uso. È fondamentale, poi, cambiare le credenziali d'accesso all'interfaccia Web del router non appena esso viene installato.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.