9Jul
Bezpieczeństwo routera klienta jest dość złe. Atakujący korzystają z marudnych producentów i atakują duże ilości routerów. Oto, jak sprawdzić, czy router został naruszony.
Rynek routerów domowych przypomina rynek smartfonów z Androidem. Producenci produkują dużą liczbę różnych urządzeń i nie zadają sobie trudu aktualizacji, pozostawiając je otwartym na ataki.
Jak twój router może dołączyć do ciemnej strony
Atakujący często starają się zmienić ustawienia serwera DNS na routerze, wskazując go na szkodliwy serwer DNS.Podczas próby połączenia się ze stroną internetową - na przykład z witryną banku - złośliwy serwer DNS informuje, aby zamiast tego przejść do witryny phishingowej. Nadal można powiedzieć, że bankofamerica.com w pasku adresu, ale będziesz na stronie phishingowej. Szkodliwy serwer DNS niekoniecznie odpowiada na wszystkie zapytania. Może po prostu przekroczyć limit czasu dla większości żądań, a następnie przekierować zapytania do domyślnego serwera DNS usługodawcy internetowego. Niezwykle powolne żądania DNS są znakiem, że możesz mieć infekcję.
Ostrożni ludzie mogą zauważyć, że taka strona wyłudzająca informacje nie będzie miała szyfrowania HTTPS, ale wiele osób tego nie zauważy. Ataki z wykorzystaniem usuwania SSL mogą nawet usunąć szyfrowanie podczas przesyłania.
Atakujący mogą również po prostu wstrzykiwać reklamy, przekierowywać wyniki wyszukiwania lub próbować instalować pobieranie z dysku. Mogą przechwytywać żądania dotyczące Google Analytics lub innych skryptów niemal na każdym korzystaniu z witryny i przekierowywać je na serwer udostępniający skrypt, który zamiast tego wprowadza reklamy. Jeśli widzisz reklamy pornograficzne na legalnej stronie internetowej, takiej jak How-To Geek lub New York Times, prawie na pewno jesteś zarażony - na routerze lub na komputerze.
Wiele ataków wykorzystuje ataki typu "cross-site request phishing"( CSRF).Atakujący umieszcza złośliwy kod JavaScript na stronie internetowej i ten JavaScript próbuje załadować stronę administracyjną routera i zmienić ustawienia. Ponieważ JavaScript działa na urządzeniu wewnątrz sieci lokalnej, kod może uzyskać dostęp do interfejsu internetowego, który jest dostępny tylko w sieci.
Niektóre routery mogą mieć włączone zdalne interfejsy administracyjne wraz z domyślnymi nazwami użytkowników i hasłami - boty mogą skanować takie routery w Internecie i uzyskać do nich dostęp. Inne exploity mogą wykorzystywać inne problemy z routerem. Wydaje się, że UPnP jest podatny na wiele routerów, na przykład.
Jak sprawdzić
Jedynym znakiem ostrzegawczym, że router został naruszony, jest to, że jego serwer DNS został zmieniony. Będziesz chciał odwiedzić internetowy interfejs routera i sprawdzić jego ustawienia serwera DNS.
Najpierw musisz uzyskać dostęp do internetowej konfiguracji routera. Sprawdź adres bramy połączenia sieciowego lub zapoznaj się z dokumentacją routera, aby dowiedzieć się, jak to zrobić.
Zaloguj się przy użyciu nazwy użytkownika i hasła routera, jeśli to konieczne. Szukaj gdzieś "DNS", często na ekranie ustawień WAN lub połączenia z Internetem. Jeśli jest ustawiony na "Automatyczny", jest to w porządku - pobiera je od usługodawcy internetowego. Jeśli jest ustawiony na "Ręczny" i są tam wprowadzone niestandardowe serwery DNS, może to stanowić problem.
Nie ma problemu, jeśli skonfigurowałeś router do korzystania z dobrych alternatywnych serwerów DNS - na przykład 8.8.8.8 i 8.8.4.4 dla Google DNS lub 208.67.222.222 i 208.67.220.220 dla OpenDNS.Ale jeśli są tam serwery DNS, których nie rozpoznajesz, oznacza to, że złośliwe oprogramowanie zmieniło twój router na korzystanie z serwerów DNS.W razie wątpliwości przeprowadź wyszukiwanie w poszukiwaniu adresów serwerów DNS i sprawdź, czy są one poprawne, czy nie. Coś takiego jak "0.0.0.0" jest w porządku i często oznacza to, że pole jest puste, a router automatycznie otrzymuje serwer DNS.
Eksperci zalecają od czasu do czasu sprawdzanie tego ustawienia, aby sprawdzić, czy router nie został naruszony.
Help, There 'a Malicious DNS Server!
Jeśli istnieje skonfigurowany złośliwy serwer DNS, możesz go wyłączyć i nakazać routerowi korzystanie z automatycznego serwera DNS od usługodawcy internetowego lub wprowadzić adresy legalnych serwerów DNS, takich jak Google DNS lub OpenDNS.
Jeśli istnieje szkodliwy serwer DNS, możesz wyczyścić wszystkie ustawienia routera i przywrócić je do stanu fabrycznego przed ponownym skonfigurowaniem - aby zapewnić bezpieczeństwo. Następnie użyj poniższych sztuczek, aby zabezpieczyć router przed dalszymi atakami.
Hardening Your Router Against Attacks
Z pewnością możesz stwardnieć routera przed tymi atakami - w pewnym sensie. Jeśli router ma luki w zabezpieczeniach, których producent nie naprawił, nie możesz go całkowicie zabezpieczyć.
- Zainstaluj aktualizacje oprogramowania układowego : Upewnij się, że zainstalowane jest najnowsze oprogramowanie układowe routera. Włącz automatyczne aktualizacje oprogramowania układowego, jeśli router to oferuje - niestety większość routerów tego nie robi. Zapewnia to przynajmniej ochronę przed błędami, które zostały załatane.
- Wyłącz dostęp zdalny : Wyłącz zdalny dostęp do internetowych stron administracyjnych routera.
- Zmień hasło : Zmień hasło na internetowy interfejs routera, aby napastnicy nie mogli uzyskać dostępu do domyślnego.
- Wyłącz UPnP : UPnP jest szczególnie podatny na ataki. Nawet jeśli UPnP nie jest zagrożony na twoim routerze, kawałek szkodliwego oprogramowania działającego gdzieś w twojej sieci lokalnej może użyć UPnP do zmiany twojego serwera DNS.Tak właśnie działa UPnP - ufa wszystkim żądaniom przychodzącym z twojej lokalnej sieci.
DNSSEC ma zapewniać dodatkowe zabezpieczenia, ale nie jest tu panaceum. W rzeczywistym świecie każdy system operacyjny klienta po prostu ufa skonfigurowanemu serwerowi DNS.Szkodliwy serwer DNS może zażądać, aby rekord DNS nie zawierał informacji DNSSEC lub miał informacje DNSSEC, a adres IP przekazywany wzdłuż jest prawdziwy.
Image Credit: nrkbeta na Flickr