9Jul
A segurança do roteador do consumidor é bastante ruim. Os atacantes estão aproveitando os fabricantes desastrosos e atacando grandes quantidades de roteadores. Veja como verificar se seu roteador está comprometido.
O mercado do roteador doméstico é muito parecido com o mercado de smartphones Android. Os fabricantes estão produzindo um grande número de dispositivos diferentes e não incomodando atualizá-los, deixando-os abertos para atacar.
Como o seu roteador pode se juntar ao lado escuro
Os atacantes geralmente procuram alterar a configuração do servidor DNS no seu roteador, apontando-o para um servidor DNS mal-intencionado. Quando você tenta se conectar a um site - por exemplo, o site do seu banco - o servidor DNS mal-intencionado diz que você deve ir para um site de phishing. Ainda pode dizer bankofamerica.com na sua barra de endereços, mas você estará em um site de phishing. O servidor DNS mal-intencionado não responde necessariamente a todas as consultas. Pode simplesmente expirar a maioria dos pedidos e depois redirecionar consultas para o servidor de DNS padrão do seu ISP.Os pedidos de DNS excepcionalmente lentos são um sinal de que você pode ter uma infecção.
Pessoas com olhos afiados podem notar que tal site de phishing não terá criptografia HTTPS, mas muitas pessoas não notariam. Os ataques de remoção de SSL podem até mesmo remover a criptografia em trânsito.
Os atacantes também podem simplesmente injetar propagandas, redirecionar resultados de pesquisa ou tentar instalar downloads de drive-by. Eles podem capturar pedidos para o Google Analytics ou outros scripts que quase todos os sites usam e redirecioná-los para um servidor que fornece um script que injetar anúncios. Se você vê anúncios pornográficos em um site legítimo, como How-To Geek ou New York Times, você certamente está infectado com algo - seja no seu roteador ou no seu próprio computador.
Muitos ataques usam ataques de falsificação de solicitações entre sites( CSRF).Um invasor incorpora JavaScript malicioso em uma página da Web e que o JavaScript tenta carregar a página de administração baseada no web do roteador e alterar as configurações.À medida que o JavaScript está sendo executado em um dispositivo dentro de sua rede local, o código pode acessar a interface da web que está disponível apenas dentro da sua rede.
Alguns roteadores podem ter suas interfaces de administração remota ativadas juntamente com nomes de usuário e senhas padrão - os robôs podem procurar esses roteadores na Internet e obter acesso. Outras explorações podem tirar proveito de outros problemas do roteador. UPnP parece ser vulnerável em muitos roteadores, por exemplo.
Como verificar
O sinal indicador de que um roteador foi comprometido é que seu servidor DNS foi alterado. Você quer visitar a interface baseada no web do seu roteador e verificar a configuração do servidor DNS.
Primeiro, você precisará acessar a página de configuração baseada em web do roteador. Verifique o endereço de gateway da sua conexão de rede ou consulte a documentação do seu roteador para descobrir como.
Faça login com o nome de usuário e a senha do seu roteador, se necessário. Procure uma configuração "DNS" em algum lugar, muitas vezes na tela WAN ou Internet connection settings. Se estiver configurado para "Automático", está tudo bem - está obtendo o seu ISP.Se estiver configurado para "Manual" e há servidores DNS personalizados inseridos lá, isso poderia muito bem ser um problema.
Não é problema se você configurou seu roteador para usar bons servidores DNS alternativos - por exemplo, 8.8.8.8 e 8.8.4.4 para o Google DNS ou 208.67.222.222 e 208.67.220.220 para o OpenDNS.Mas, se houver servidores DNS lá, você não reconhece, isso é um sinal de malware que mudou seu roteador para usar servidores DNS.Em caso de dúvida, realize uma pesquisa na web para os endereços do servidor DNS e veja se eles são legítimos ou não. Algo como "0.0.0.0" está bem e muitas vezes só significa que o campo está vazio e o roteador está recebendo automaticamente um servidor DNS.
Os especialistas aconselham verificar esta configuração ocasionalmente para ver se o seu roteador foi comprometido ou não. Ajuda do
, existe um servidor DNS mal-intencionado!
Se houver um servidor DNS malicioso configurado aqui, você pode desativá-lo e dizer ao seu roteador que use o servidor DNS automático do seu ISP ou insira os endereços de servidores DNS legítimos como o Google DNS ou o OpenDNS aqui.
Se houver um servidor DNS malicioso inserido aqui, você pode querer limpar todas as configurações do seu roteador e restaurá-lo de fábrica antes de voltar a configurá-lo novamente - apenas para estar seguro. Em seguida, use os truques abaixo para ajudar a proteger o roteador contra novos ataques.
Endurecendo seu roteador contra ataques
Você pode certamente endurecer seu roteador contra esses ataques - um pouco. Se o roteador tiver furos de segurança, o fabricante não corrigiu, você não pode protegê-lo completamente.
- Instale Atualizações de Firmware : Certifique-se de que o firmware mais recente para o seu roteador esteja instalado. Habilite atualizações automáticas de firmware se o roteador o oferecer - infelizmente, a maioria dos roteadores não. Isso pelo menos garante que você esteja protegido de quaisquer falhas corrigidas.
- Desativar acesso remoto : Desative o acesso remoto às páginas de administração baseadas na web do roteador.
- Altere a senha : altere a senha para a interface de administração baseada no web do roteador para que os invasores não consigam simplesmente entrar com o padrão.
- Desligue UPnP : UPnP foi particularmente vulnerável. Mesmo que o UPnP não seja vulnerável no seu roteador, um pedaço de malware que esteja em algum lugar dentro de sua rede local pode usar UPnP para mudar seu servidor de DNS.É assim que o UPnP funciona - confia em todos os pedidos provenientes da sua rede local.
DNSSEC deve fornecer segurança adicional, mas não é uma panacéia aqui. No mundo real, todo o sistema operacional do cliente apenas confia no servidor DNS configurado. O servidor DNS mal-intencionado pode reivindicar um registro DNS não possui informações DNSSEC, ou que ele tenha informações DNSSEC e o endereço IP que está sendo passado é o real.
Crédito de Imagem: nrkbeta no Flickr