Jak sprawdzić router pod kątem złośliwego oprogramowania
Bezpieczeństwo routera klienta jest dość złe. Atakujący korzystają z marudnych producentów i atakują duże ilości routerów. Oto, jak sprawdzić, czy router nie został naruszony.
Rynek routerów domowych przypomina rynek smartfonów z Androidem. Producenci produkują dużą liczbę różnych urządzeń i nie zadają sobie trudu aktualizacji, pozostawiając je otwartym na ataki.
Jak twój router może dołączyć do ciemnej strony
Atakujący często próbują zmienić ustawienia serwera DNS na routerze, wskazując go na szkodliwy serwer DNS. Podczas próby połączenia się ze stroną internetową - na przykład z witryną banku - złośliwy serwer DNS informuje, aby zamiast tego przejść do witryny phishingowej. Nadal można powiedzieć, że bankofamerica.com w pasku adresu, ale będziesz na stronie phishingowej. Szkodliwy serwer DNS niekoniecznie odpowiada na wszystkie zapytania. Może po prostu przekroczyć limit czasu dla większości żądań, a następnie przekierować zapytania do domyślnego serwera DNS usługodawcy internetowego. Niezwykle powolne żądania DNS są znakiem, że możesz mieć infekcję.
Ludzie o ostrych oczach mogą zauważyć, że taka strona wyłudzająca informacje nie będzie miała szyfrowania HTTPS, ale wiele osób tego nie zauważy. Ataki z wykorzystaniem usuwania SSL mogą nawet usunąć szyfrowanie podczas przesyłania.
Atakujący mogą również po prostu wprowadzać reklamy, przekierowywać wyniki wyszukiwania lub próbować instalować drive-by download. Mogą przechwytywać żądania dotyczące Google Analytics lub innych skryptów niemal przy każdym użyciu strony internetowej i przekierowywać je na serwer, który zapewnia skrypt, który zamiast tego wstrzykuje reklamy. Jeśli widzisz pornograficzne reklamy na legalnej stronie internetowej, takiej jak How-To Geek lub New York Times, prawie na pewno jesteś zainfekowany czymś - albo na routerze, albo na twoim komputerze.
Wiele ataków wykorzystuje ataki typu cross-site request phishing (CSRF). Atakujący umieszcza złośliwy kod JavaScript na stronie internetowej, a JavaScript próbuje załadować stronę administracyjną routera i zmienić ustawienia. Ponieważ JavaScript działa na urządzeniu wewnątrz sieci lokalnej, kod może uzyskać dostęp do interfejsu internetowego, który jest dostępny tylko w sieci.
Niektóre routery mogą mieć włączone zdalne interfejsy administracyjne wraz z domyślnymi nazwami użytkowników i hasłami - boty mogą skanować takie routery w Internecie i uzyskać do nich dostęp. Inne exploity mogą wykorzystywać inne problemy z routerem. Wydaje się, że UPnP jest narażony na wiele routerów, na przykład.
Jak sprawdzić
Jedynym znakiem ostrzegawczym, że router został naruszony, jest to, że jego serwer DNS został zmieniony. Będziesz chciał odwiedzić internetowy interfejs routera i sprawdzić jego ustawienia serwera DNS.
Najpierw musisz uzyskać dostęp do internetowej konfiguracji routera. Sprawdź adres bramy połączenia sieciowego lub zapoznaj się z dokumentacją routera, aby dowiedzieć się, jak to zrobić.
Zaloguj się przy użyciu nazwy użytkownika i hasła routera, jeśli to konieczne. Szukaj gdzieś ustawienia "DNS", często na ekranie ustawień WAN lub połączenia z Internetem. Jeśli jest ustawiony na "Automatyczny", wszystko jest w porządku - pobiera je od usługodawcy internetowego. Jeśli jest ustawiony na "Ręczny" i są tam wprowadzone niestandardowe serwery DNS, może to stanowić problem.
Nie ma problemu, jeśli skonfigurowałeś router do korzystania z dobrych alternatywnych serwerów DNS - na przykład 8.8.8.8 i 8.8.4.4 dla Google DNS lub 208.67.222.222 i 208.67.220.220 dla OpenDNS. Ale jeśli są tam serwery DNS, których nie rozpoznajesz, oznacza to, że złośliwe oprogramowanie zmieniło twój router na korzystanie z serwerów DNS. W razie wątpliwości należy przeprowadzić wyszukiwanie w Internecie adresów serwerów DNS i sprawdzić, czy są one zgodne z prawem, czy nie. Coś takiego jak "0.0.0.0" jest w porządku i często oznacza to, że pole jest puste, a router automatycznie otrzymuje serwer DNS.
Eksperci zalecają od czasu do czasu sprawdzanie tego ustawienia, aby sprawdzić, czy router nie został naruszony.
Pomoc, istnieje "złośliwy serwer DNS!
Jeśli istnieje skonfigurowany złośliwy serwer DNS, możesz go wyłączyć i nakazać routerowi korzystanie z automatycznego serwera DNS od usługodawcy internetowego lub wprowadzić adresy legalnych serwerów DNS, takich jak Google DNS lub OpenDNS tutaj.
Jeśli wprowadzono szkodliwy serwer DNS, możesz wymazać wszystkie ustawienia routera i przywrócić je do stanu fabrycznego przed ponownym skonfigurowaniem go - po prostu dla bezpieczeństwa. Następnie użyj poniższych trików, aby zabezpieczyć router przed dalszymi atakami.
Utrwalanie routera przed atakami
Z pewnością możesz stwardnieć routera przed tymi atakami - w pewnym sensie. Jeśli router ma luki w zabezpieczeniach, których producent nie naprawił, nie możesz go całkowicie zabezpieczyć.
- Zainstaluj aktualizacje oprogramowania układowego: Upewnij się, że zainstalowane jest najnowsze oprogramowanie układowe routera. Włącz automatyczne aktualizacje oprogramowania układowego, jeśli router to oferuje - niestety większość routerów tego nie robi. Zapewnia to przynajmniej ochronę przed błędami, które zostały załatane.
- Wyłącz dostęp zdalny: Wyłącz zdalny dostęp do internetowych stron administracyjnych routera.
- Zmień hasło: Zmień hasło do internetowego interfejsu administracyjnego routera, aby napastnicy nie mogli po prostu połączyć się z domyślnym.
- Wyłącz UPnP: UPnP jest szczególnie wrażliwy. Nawet jeśli UPnP nie jest zagrożony na twoim routerze, kawałek szkodliwego oprogramowania działającego gdzieś w twojej sieci lokalnej może użyć UPnP do zmiany twojego serwera DNS. Tak właśnie działa UPnP - ufa wszystkim żądaniom przychodzącym z twojej lokalnej sieci.
DNSSEC ma zapewniać dodatkowe zabezpieczenia, ale nie jest tu panaceum. W rzeczywistym świecie każdy system operacyjny klienta po prostu ufa skonfigurowanemu serwerowi DNS. Szkodliwy serwer DNS może zażądać, aby rekord DNS nie zawierał informacji DNSSEC lub miał informacje DNSSEC, a adres IP przekazywany wzdłuż jest prawdziwy.
Image Credit: nrkbeta na Flickr