oggi tentando di connettermi ad una postazione remota tramite ssh (slogin) utilizzando l'indirizzo alfanumerico fornitomi da DYNDNS mi sono visto il messaggio:
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
Premetto che tale postazione è connessa ad internet tramite modem router telecom italia (in fibra) e il suo indirizzo DYNDNS è dato in automatico tramite consueta funzionalità del router.
Per pura fatalità l'accesso lo eseguivo da un nuovo computer, così abbastanza leggermente a seguito dell'avviso di ssh ho cancellato il "known_hosts" e ho digitato la password di accesso.
Insolitamente l'accesso non si stabiliva, così ho cominciato ad eseguire delle verifiche e ho scoperto che l'indirizzo fornitomi da DYNDNS puntava ad un ip in svizzera (la mia postazione remota è in veneto).
Allora interrogo con nmap tale indirizzo (109.232.95.252) e risulta:
general purpose|firewall|storage-misc
Running (JUST GUESSING): Linux 2.6.X|3.X (96%), WatchGuard Fireware 11.X (90%), Synology DiskStation Manager 5.X (90%)
Vado sul pannello DYDNS e trovo:
DYNDNS: L'host è in stato abbandonato. Ultima Conferma 16-10-2017 00:00:00. L'host non è stato confermato entro i 60 giorni previsti. Confermare l'host per riattivarlo.
A questo punto le domande:
1) perdendo il router (come capita spesso) la sua configurazione o parte di essa a seguito degli aggiornamenti remoti firmware di telecom, DYNDNS sostituisce l'ip della mia macchina remota con quello di chissà chi?
2) potrebbe trattarsi di un sistema remoto che si sia sostituito alla mia macchina (remota) con lo scopo di accedere alla password dell'utente?
3) come si può mettere in sicurezza dunque, l'accesso remoto di una macchina connessa con questi model telecom che obbligano gli utenti ad upgrade forzati del firmware il più delle volte in grado di resettare la configurazione degli stessi a insaputa degli utenti?
Grazie infinite!
Davide
