9Jul
Securitatea routerului pentru consumatori este destul de rău. Atacatorii profită de producătorii lipsiți de droguri și atacă cantități mari de routere. Iată cum puteți verifica dacă ruterul dvs. a fost compromis.
Piața routerului de acasă este foarte asemănătoare pieței smartphone-urilor Android. Producătorii produc un număr mare de dispozitive diferite și nu le deranjează să le actualizeze, lăsându-le deschisă la atac.
Cum se poate conecta routerul dvs. la partea întunecată
Atacatorii încearcă adesea să schimbe setarea serverului DNS de pe router, indicând-o la un server DNS rău intenționat. Când încercați să vă conectați la un site web - de exemplu, site-ul băncii dvs. - serverul DNS rău intenționat vă spune să mergeți la un site de phishing. Este posibil să mai spui bankofamerica.com în bara de adrese, dar veți fi la un site de phishing. Serverul DNS rău intenționat nu răspunde neapărat la toate interogările. Este posibil să se termine pe cele mai multe cereri și apoi să se redirecționeze interogările către serverul DNS implicit al ISP-ului. Cererile DNS neobișnuit de încet sunt un semn că este posibil să aveți o infecție.
Oamenii cu ochi ascuți pot observa că un astfel de site de phishing nu va avea criptare HTTPS, dar mulți oameni nu ar observa. Atacurile de stripare SSL pot chiar să elimine criptarea în tranzit.
atacatorii pot, de asemenea, doar să injecteze anunțuri, să redirecționeze rezultatele căutării sau să încerce să instaleze descărcări de tip drive-by. Aceștia pot captura cereri pentru Google Analytics sau alte scripturi, aproape fiecare utilizare a site-ului web și redirecționarea acestora către un server care oferă un script care, în schimb, injectează anunțuri. Dacă vedeți reclame pornografice pe un site legitim, cum ar fi How-To Geek sau New York Times, sunteți aproape sigur infectați cu ceva - fie pe routerul dvs., fie pe computerul dvs. în sine.
Multe atacuri fac uz de atacurile de tip "forgery request"( CSRF).Un atacator încorporează JavaScript malware pe o pagină web și că JavaScript încearcă să încarce pagina de administrare bazată pe web și să schimbe setările. Pe măsură ce JavaScript rulează pe un dispozitiv din rețeaua locală, codul poate accesa interfața web disponibilă numai în interiorul rețelei.
Unele routere pot avea interfața de administrare de la distanță activată împreună cu numele de utilizator și parolele prestabilite - roboții pot să scaneze pentru astfel de routere pe Internet și să obțină acces. Alte exploatații pot profita de alte probleme ale routerului. UPnP pare a fi vulnerabil pe multe routere, de exemplu.
Cum se verifică
Semnul indicator unu că un router a fost compromis este că serverul DNS a fost modificat. Veți dori să vizitați interfața web a ruterului și să verificați setarea serverului DNS.
În primul rând, va trebui să accesați pagina de configurare web a ruterului. Verificați adresa gateway-ului conexiunii de rețea sau consultați documentația routerului pentru a afla cum.
Conectați-vă utilizând numele de utilizator și parola routerului, dacă este necesar. Căutați setarea "DNS" undeva, adesea în ecranul de setări pentru conexiunea WAN sau Internet. Dacă este setat la "Automat", este bine - o primește de la ISP.Dacă este setat la "Manual" și există servere personalizate DNS introduse acolo, ar putea fi foarte bine o problemă.
Nu este o problemă dacă ați configurat routerul să utilizeze servere alternative DNS bune - de exemplu, 8.8.8.8 și 8.8.4.4 pentru Google DNS sau 208.67.222.222 și 208.67.220.220 pentru OpenDNS.Dar, dacă există servere DNS acolo nu recunoașteți, acesta este un semn malware a schimbat router-ul dvs. pentru a utiliza servere DNS.Dacă aveți îndoieli, efectuați o căutare web pentru adresele serverului DNS și vedeți dacă acestea sunt legitime sau nu. Ceva de genul "0.0.0.0" este bine și adesea doar înseamnă că câmpul este gol și routerul obține automat un server DNS.
Experții recomandă să verificați ocazional această setare pentru a vedea dacă ruterul dvs. a fost compromis sau nu.
Ajută, există un server DNS rău intenționat!
Dacă există un server DNS rău intenționat configurat aici, îl puteți dezactiva și puteți spune că routerul dvs. să utilizeze serverul DNS automat de la ISP-ul dvs. sau să introducă adresele serverelor DNS legitime cum ar fi Google DNS sau OpenDNS aici.
Dacă există un server DNS rău intenționat introdus aici, este posibil să doriți să ștergeți toate setările routerului și să-l resetați din fabrică înainte de ao seta din nou - doar pentru a fi siguri. Apoi, utilizați trucurile de mai jos pentru a vă asigura că routerul nu mai poate ataca.
Încărcarea routerului dvs. împotriva atacurilor
Cu siguranță vă puteți întări ruterul împotriva acestor atacuri - oarecum. Dacă routerul are găuri de securitate, producătorul nu a patch-uri, nu îl puteți asigura complet.
- Actualizări firmware : Asigurați-vă că este instalat cel mai recent firmware pentru routerul dvs. Activează actualizările automate ale firmware-ului în cazul în care ruterul o oferă - din păcate, majoritatea routerelor nu. Acest lucru vă asigură cel puțin că sunteți protejat de orice defecte care au fost patch-uri.
- Dezactivați accesul la distanță : Dezactivați accesul la distanță la paginile de administrare bazate pe web ale routerului.
- Schimbați parola : Schimbați parola pe interfața de administrare bazată pe web a routerului, astfel încât atacatorii să nu poată intra doar cu cel implicit.
- Opriți UPnP : UPnP a fost deosebit de vulnerabil. Chiar dacă UPnP nu este vulnerabil pe router, o malware care rulează undeva în interiorul rețelei locale poate folosi UPnP pentru a schimba serverul DNS.Acesta este modul în care funcționează UPnP - încredințează toate solicitările venite din rețeaua locală.
DNSSEC ar trebui să ofere securitate suplimentară, dar nu este un panaceu aici.În lumea reală, fiecare sistem de operare client are încredere în serverul DNS configurat. Serverul DNS rău intenționat ar putea susține că o înregistrare DNS nu conține nicio informație DNSSEC sau că nu are informații despre DNSSEC, iar adresa IP care este transmisă este una reală.
Credit de imagine: nrkbeta pe Flickr