Bezpieczeństwo routera klienta jest dość złe. Atakujący korzystają z marudnych producentów i atakują duże ilości routerów. Oto, jak sprawdzić, czy router został naruszony.
Rynek routerów domowych przypomina rynek smartfonów z Androidem. Producenci produkują dużą liczbę różnych urządzeń i nie zadają sobie trudu aktualizacji, pozostawiając je otwartym na ataki.
Atakujący często próbują zmienić ustawienia serwera DNS na routerze, wskazując go na szkodliwy serwer DNS. Podczas próby połączenia się ze stroną internetową - na przykład ze stroną internetową Twojego banku - złośliwy serwer DNS nakazuje, abyś zamiast tego odwiedził witrynę phishingową. Nadal można powiedzieć, że bankofamerica.com w pasku adresu, ale będziesz na stronie phishingowej. Szkodliwy serwer DNS niekoniecznie odpowiada na wszystkie zapytania. Może po prostu przekroczyć limit czasu dla większości żądań, a następnie przekierować zapytania do domyślnego serwera DNS usługodawcy internetowego. Niezwykle powolne żądania DNS są znakiem, że możesz mieć infekcję.
Ludzie o ostrych oczach mogą zauważyć, że taka strona wyłudzająca informacje nie będzie miała szyfrowania HTTPS, ale wiele osób tego nie zauważy. Ataki z wykorzystaniem usuwania SSL mogą nawet usunąć szyfrowanie podczas przesyłania.
Atakujący mogą również po prostu wprowadzać reklamy, przekierowywać wyniki wyszukiwania lub próbować instalować pliki do pobrania z dysku. Mogą przechwytywać żądania dotyczące Google Analytics lub innych skryptów niemal przy każdym użyciu strony internetowej i przekierowywać je na serwer zapewniający skrypt, który zamiast tego wprowadza reklamy. Jeśli widzisz reklamy pornograficzne na legalnej stronie internetowej, takiej jak How-To Geek lub New York Times, prawie na pewno jesteś zarażony - na swoim routerze lub na komputerze.
Wiele ataków wykorzystuje ataki typu "cross-site request phishing" (CSRF). Atakujący umieszcza złośliwy kod JavaScript na stronie internetowej i ten JavaScript próbuje załadować stronę administracyjną routera i zmienić ustawienia. Ponieważ JavaScript działa na urządzeniu wewnątrz sieci lokalnej, kod może uzyskać dostęp do interfejsu internetowego, który jest dostępny tylko w sieci.
Niektóre routery mogą mieć włączone zdalne interfejsy administracyjne wraz z domyślnymi nazwami użytkowników i hasłami - boty mogą skanować takie routery w Internecie i uzyskać do nich dostęp. Inne exploity mogą wykorzystywać inne problemy z routerem. Wydaje się, że UPnP jest podatny na wiele routerów, na przykład.
Jedynym znakiem ostrzegawczym, że router został naruszony, jest to, że jego serwer DNS został zmieniony. Będziesz chciał odwiedzić internetowy interfejs routera i sprawdzić jego ustawienia serwera DNS.
Najpierw musisz uzyskać dostęp do internetowej konfiguracji routera. Sprawdź adres bramy połączenia sieciowego lub zapoznaj się z dokumentacją routera, aby dowiedzieć się, jak to zrobić.
Zaloguj się przy użyciu nazwy użytkownika i hasła routera, jeśli to konieczne. Szukaj gdzieś "DNS", często na ekranie ustawień WAN lub połączenia z Internetem. Jeśli jest ustawiony na "Automatyczny", jest to w porządku - pobiera je od usługodawcy internetowego. Jeśli jest ustawiony na "Ręczny" i są tam wprowadzone niestandardowe serwery DNS, może to stanowić problem.
Nie ma problemu, jeśli skonfigurowałeś router do korzystania z dobrych alternatywnych serwerów DNS - na przykład 8.8.8.8 i 8.8.4.4 dla Google DNS lub 208.67.222.222 i 208.67.220.220 dla OpenDNS. Ale jeśli są tam serwery DNS, których nie rozpoznajesz, oznacza to, że złośliwe oprogramowanie zmieniło twój router na korzystanie z serwerów DNS. W razie wątpliwości przeprowadź wyszukiwanie w poszukiwaniu adresów serwerów DNS i sprawdź, czy są one poprawne, czy nie. Coś takiego jak "0.0.0.0" jest w porządku i często oznacza to, że pole jest puste, a router automatycznie otrzymuje serwer DNS.
Eksperci zalecają od czasu do czasu sprawdzanie tego ustawienia, aby sprawdzić, czy router nie został naruszony.
Jeśli istnieje skonfigurowany złośliwy serwer DNS, możesz go wyłączyć i nakazać routerowi korzystanie z automatycznego serwera DNS od usługodawcy internetowego lub wprowadzić adresy legalnych serwerów DNS, takich jak Google DNS lub OpenDNS.
Jeśli wprowadzono szkodliwy serwer DNS, możesz wymazać wszystkie ustawienia routera i przywrócić je do stanu fabrycznego przed ponownym skonfigurowaniem go - po prostu dla bezpieczeństwa. Następnie użyj poniższych sztuczek, aby zabezpieczyć router przed dalszymi atakami.
Z pewnością możesz stwardnieć routera przed tymi atakami - w pewnym sensie. Jeśli router ma luki w zabezpieczeniach, których producent nie naprawił, nie możesz go całkowicie zabezpieczyć.
DNSSEC ma zapewniać dodatkowe zabezpieczenia, ale nie jest tu panaceum. W rzeczywistym świecie każdy system operacyjny klienta po prostu ufa skonfigurowanemu serwerowi DNS. Szkodliwy serwer DNS może zażądać, aby rekord DNS nie zawierał informacji DNSSEC lub miał informacje DNSSEC, a adres IP przekazywany wzdłuż jest prawdziwy.
Image Credit: nrkbeta na Flickr
