Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come capire se il router è infetto

di

Nel mondo dell’informatica moderna, le minacce sono praticamente all’ordine del giorno: di continuo vengono creati nuovi virus, programmi dannosi e malware di vario tipo, ai quali è possibile far fronte tenendo aggiornati i programmi e le app di sicurezza installati sui propri dispositivi. Esiste, tuttavia, una minaccia meno evidente ma altrettanto insidiosa, che può influenzare l’attività di navigazione dell’utente e la sicurezza dei dati in transito su Internet: il router hijacking.

Questa pratica, nel concreto, consiste nell’alterare i server DNS dei router sfruttando una o più vulnerabilità dei rispettivi sistemi operativi: in tal modo, è possibile dirottare le vittime verso pagine Internet non gradite, senza che l’utente faccia assolutamente nulla. In alcuni casi, oltretutto, i criminali sono in grado di spiare il traffico generato dai dispositivi collegati al router, sfruttando le informazioni ottenute a proprio vantaggio. Come ti ho già detto, si tratta di una minaccia che non dà traccia di sé nel router, sebbene possa coinvolgere, e anche in modo serio, i dispositivi collegati a quest’ultimo.

Come dici? A questo punto, vorresti una mano a capire se il router è infetto? Nessun problema: leggi con molta attenzione i capitoli successivi di questa guida, nei quali mi accingo a spiegarti una serie di tecniche per rispondere adeguatamente alla domanda che ti sei, giustamente, posto. A questo punto, non mi resta altro da fare, se non augurarti buona lettura e farti un grosso in bocca al lupo per tutto!

Indice

Metodi per capire se il router è infetto

Come ti ho accennato nelle battute introduttive di questa guida, la stragrande maggioranza delle “infezioni” contraibili da un router comporta la modifica dei DNS, cioè dei server utilizzati per “tradurre” gli indirizzi letterali in indirizzi IP numerici, e viceversa. Usando dei DNS creati “ad-hoc”, i criminali informatici hanno la possibilità di provocare la comparsa di annunci pubblicitari indesiderati su browser, programmi e app, rendere irraggiungibili determinati siti Web o, peggio ancora, spiare il traffico Internet in entrata e in uscita, ottenendo preziose informazioni di navigazione.

Per questo motivo, puoi capire se il router è infetto osservando attentamente il comportamento dei browser in esecuzione sui dispositivi collegati alla tua rete, oltre che alcune specifiche sezioni del pannello di gestione dell’apparato. Qui sotto ti fornisco informazioni più approfondite su quest’argomento.

Controllare il comportamento del browser

Come capire se il router è infetto - Controllare il browser

Uno dei campanelli d’allarme da tenere maggiormente in considerazione è il comportamento del browser o di altri programmi/app installati sui dispositivi collegati al router. In caso di infezione, è molto probabile che, in modo del tutto inaspettato, vengano automaticamente aperte finestre contenenti pubblicità indesiderata, puro spaminviti a installare software potenzialmente dannosi (ma spacciati come sani e potenzialmente molto utili). In quest’ultimo caso, potresti ricevere dei falsi messaggi d’allarme, contenuti spesso in una scheda o finestra del browser, che ti avvisano riguardo le (false) minacce già attive sul tuo dispositivo.

Se hai riscontrato un comportamento del genere, ti consiglio di analizzare il tuo device con un programma o un’app mirati alla distruzione dei virus e dei malware attivi. Qualora avessi bisogno di una mano al riguardo, puoi consultare la guida che ti ho appena linkato.

Qualora l’esito dell’analisi fosse positivo, provvedi a rimuovere le minacce utilizzando gli strumenti offerti dal programma o dall’app che hai scelto, quindi riavvia il dispositivo e osserva nuovamente il comportamento del browser (o del software che ti ha insospettito): qualora questo dovesse verificarsi nuovamente, anche dopo la pulizia, è molto probabile che la causa sia proprio il router.

Controllare le impostazioni di port forwarding

Come capire se il router è infetto - Controllare le impostazioni di port forwarding

In alcuni casi, i virus attivi sui router sono in grado di effettuare in completa autonomia le operazioni di port forwarding (la cosiddetta apertura delle porte), per far sì che i criminali siano in grado di controllare comodamente da remoto una o più postazioni connesse.

Per verificare se sul tuo router agisce una minacci di questo genere, accedi al pannello di gestione del dispositivo visitando, tramite browser, un indirizzo tra  192.168.1.1192.168.0.1192.168.1.254 e digitando, quando necessario, la combinazione di nome utentepassword per effettuare il login (che, di solito, è admin/admin o admin/password). Qualora non dovessi riuscirci, puoi dare un’occhiata alla mia guida su come entrare nella pagina del router per ottenere istruzioni più precise sul da farsi.

Ad accesso effettuato, recati nelle impostazioni avanzate del router, individua la sezione relativa alla configurazione delle porte, che puoi trovare sotto il nome di Port forwarding, Port triggeringVirtual server, NAT Forwarding o simili, quindi verifica che al suo interno non siano presenti impostazioni differenti da quelle che hai specificato di tua volontà, magari seguendo la mia guida dedicata all’apertura delle porte sul router.

Qualora la tua analisi dovesse avere esito positivo, elimina prontamente tutte le regole che non conosci: è molto probabile che il tuo router sia rimasto vittima di un attacco informatico e che, di conseguenza, permetta il controllo remoto di uno o più dispositivi collegati.

Controllare i DNS

Come capire se il router è infetto

A prescindere dall’esito dei precedenti due controlli, puoi ottenere la “prova definitiva” della compromissione del tuo router controllando i DNS: come ti ho accennato in precedenza, la maggior parte degli attacchi rivolti ai router si basa sulla modifica di questo importante parametro, in grado di provocare il dirottamento dell’utente su siti contenenti pubblicità o software non gradito, o conseguenze ancor più gravi, come il furto dei dati in transito sulla rete.

Puoi verificare che il tuo router non stia usando dei DNS nocivi nel seguente modo: collegati a questo sito Internet usando il browser di qualsiasi dispositivo connesso al router (sul quale, però, non dev’essere stata effettuata l’impostazione manuale dei DNS), premi il pulsante Controlla il router e attendi qualche secondo affinché l’analisi venga portata a termine.

In caso di esito negativo, visualizzerai il messaggio Nessun problema rilevato sul router, indice che l’apparato in tuo possesso non è, di fatto, infetto. Per ottenere informazioni sui server DNS attualmente in uso, visita il link Visualizza i risultati nel dettaglio. Qualora, invece, il router sia effettivamente infetto, riceverai un messaggio che ti avvisa della sua compromissione: in tal caso, ti consiglio di mettere immediatamente in pratica i consigli che mi accingo a fornirti nel capitolo successivo di questa guida.

Cosa fare quando il router è infetto

Cosa fare quando il router è infetto

Hai seguito pedissequamente le istruzioni che ti ho fornito in precedenza per effettuare i controlli del caso e, ahimè, il tuo router è risultato effettivamente infetto? Sebbene si tratti di un problema di sicurezza decisamente non trascurabile, non è detto che la situazione sia irrimediabilmente compromessa.

A questo punto, ciò che devi fare è agire in modo tempestivo, effettuando una serie di passaggi necessari per mettere in sicurezza, il prima possibile, i dati memorizzati sui tuoi dispositivi, l’integrità di questi ultimi e, soprattutto, il tuo traffico Internet. Di seguito ti spiego tutto nel dettaglio.

Scollegare tutti i dispositivi dal router

Scollegare tutti i dispositivi dal router

Dopo aver effettivamente verificato che il router è stato compromesso, devi immediatamente scollegare tutti i device connessi a quest’ultimo, in modo da interrompere l’eventuale controllo/traffico dei dati verso i server dei criminali. Dunque, elimina la rete wireless generata dal router dai device dotati di connettività Wi-Fi (ad es. smartphone, tablet, Smart TV o altri dispositivi connessi). Se non riesci a farlo, onde evitare rischi, spegni completamente i dispositivi coinvolti, almeno finché non provvederai a ripristinare il router.

Fatto ciò, provvedi a scollegare fisicamente i cavi Ethernet dalle prese collocate sul retro del router: in questo modo, la connessione verso i dispositivi collegati via cavo verrà immediatamente interrotta. Infine, scollega anche il cavo dell’ADSL/Fibra (che, solitamente, è inserito nella porta “Internet” dell’apparato di rete) e spegni il router.

Effettuare una scansione antivirus

Effettuare una scansione antivirus

Dopo aver interrotto il collegamento fisico tra il tuo router e i criminali che ne avevano preso il controllo, è giunto il momento di mettere in sicurezza tutti i dispositivi che avevi collegato a Internet tramite l’apparecchio compromesso, effettuando una scansione antivirus che possa stanare ed eliminare i software nocivi.

Quest’operazione è assolutamente necessaria per i PC Windows e per i dispositivi Android, notoriamente più vulnerabili alle minacce esterne a causa dell’estrema diffusione e delle dinamiche alla base di tali sistemi operativi. Sebbene i Mac, gli iPhone, gli iPad e altre categorie di device con sistema operativo differente siano in genere più “resistenti” ai più diffusi malware, sarebbe buona norma procedere comunque con l’analisi dei dischi.

Se non sai come effettuare una scansione antivirus e/o non conosci gli strumenti da impiegare, ti consiglio di dare un’occhiata alle mie guide dedicate agli antivirus per Windows, agli antivirus per Mac, agli antivirus per Android e alle tecniche di rimozione dei malware su iPhone (valide anche per iPad).

Qualora non avessi già a disposizione un antivirus e ti si presentasse la necessità di scaricarlo da Internet, non accendere nuovamente il router per effettuare il collegamento Ethernet o Wi-Fi, poiché potresti vanificare quest’operazione o ritrovarti impossibilitato a eseguire il download (i DNS impostati dai criminali, infatti, potrebbero impedirti di raggiungere le pagine dedicate agli antivirus).

Per questo motivo, ti consiglio di affidarti al collegamento tramite rete cellulare: se devi agire su smartphone e/o di tablet dotato di modulo 3G, devi attivare la connessione dati; se, invece, hai necessità di scaricare il tutto sul PC o su altri dispositivi dotati di connettività senza fili, puoi usare il telefono o il tablet per condividere la connessione cellulare tramite hotspot.

Cambiare le password

Cambiare le password

Potrebbe non essere il tuo caso ma, molto spesso, i criminali informatici infettano i router per spiare il traffico in transito da e per i dispositivi collegati alla rete, password incluse. Grazie ai moderni standard di cifratura, le chiavi d’accesso inserite sui siti sicuri (home banking, social network, servizi di posta elettronica e così via) non possono essere intercettate in alcun modo.

Per una maggiore sicurezza, però, ti consiglio comunque di modificare le password dei siti e dei servizi sui quali hai effettuato l’accesso utilizzando un dispositivo collegato al router compromesso: lo so, è un’operazione che potrebbe richiedere tempo, ma è fondamentale per garantire la sicurezza e l’integrità delle tue informazioni personali (e non). Per comodità, ti segnalo di seguito una serie di tutorial, disponibili sul mio sito Web, dedicati alla modifica della password per i più noti siti portali online.

Ripristinare e aggiornare il router

Ripristinare e aggiornare il router

Ora che hai messo in sicurezza i dispositivi coinvolti e i tuoi dati personali, puoi finalmente tornare al router e tentare di rimetterlo in piedi: per farlo, devi innanzitutto ripristinare il firmware del dispositivo, per annullare gli effetti dell’infezione contratta in precedenza.

In che modo? Te lo spiego subito. Per prima cosa, assicurati che il router sia scollegato da Internet, controllando che il cavo dell’ADSL/Fibra-rame/Fibra ottica non sia inserito nella porta preposta, quindi collegalo all’alimentazione elettrica, accendilo e attendi qualche minuto affinché questo si avvii completamente.

In seguito, provvedi a effettuare un ripristino del router, intervenendo sul tasto fisico presente sull’apparecchio: esso si presenta come un piccolo puntino nero rivolto verso l’interno, identificato dalla dicitura RSTRESET. Quando l’hai trovato, premi delicatamente il tasto in questione utilizzando un oggetto appuntito, come la punta di una penna, uno stuzzicadenti, una matita o una graffetta aperta, e tienilo premuto per circa 30 secondi, fin quando le luci del dispositivo non si spengono e si riaccendono velocemente.

A ripristino del router ultimato, devi accedere al suo pannello gestionale tramite un qualsiasi PC (collegato, se possibile, tramite cavo Ethernet) ed effettuare nuovamente la configurazione iniziale, specificando i parametri necessari per l’accesso a Internet, il nome e la password della rete wireless, le regole per l’apertura delle porte, e così via. Se non sai come procedere, puoi seguire le istruzioni che ti ho fornito nella mia guida alla configurazione iniziale del router, nella quale ho trattato l’argomento con dovizia di dettagli.

Aggiornamento firmware

Una volta rimesso “online” il router, ti consiglio di effettuare immediatamente un aggiornamento firmware dello stesso, così da portare la versione del sistema operativo interno all’ultima versione, rendendola, ove possibile, invulnerabile alle infezioni già note: tieni però presente che si tratta di un’operazione molto delicata, e che un passaggio errato (ad es. l’installazione di un firmware non adatto) potrebbe rompere definitivamente il dispositivo. Per questo motivo, se non sei sicuro di ciò che stai per fare, ti consiglio di chiedere aiuto a un esperto che possa assisterti.

Ad ogni modo, puoi ottenere il file dell’aggiornamento recandoti sul sito del produttore del router, accedendo alla sezione relativa al download dei firmware e scaricando quello più recente dedicato al router in tuo possesso. In alternativa, puoi digitare su Google le parole “download firmware [marca e modello router]” e utilizzare i risultati forniti per recuperare il file necessario, avendo cura di scaricarlo soltanto da fonti ufficiali.

Fatto ciò, accedi nuovamente al pannello di gestione del router, entra nella sezione dedicata agli aggiornamenti e, seguendo le istruzioni fornite a schermo, provvedi a caricare e installare il file scaricato in precedenza. Se hai bisogno di ulteriori indicazioni in merito, consulta il manuale del router in tuo possesso, oppure effettua una ricerca su Google, utilizzando la frase “aggiornamento firmware [marca e modello router]”.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.