Безопасность потребительского маршрутизатора довольно плохая. Злоумышленники пользуются преимуществами неадекватных производителей и атакуют большое количество маршрутизаторов. Вот как проверить, не был ли ваш роутер скомпрометирован.
Рынок домашних маршрутизаторов во многом похож на рынок смартфонов Android. Производители производят большое количество различных устройств и не заботятся об их обновлении, оставляя их открытыми для атак.
Как ваш маршрутизатор может присоединиться к темной стороне
Злоумышленники часто пытаются изменить настройку DNS-сервера на вашем маршрутизаторе, направив его на вредоносный DNS-сервер. Когда вы пытаетесь подключиться к веб-сайту – например, веб-сайту вашего банка – злонамеренный DNS-сервер вместо этого предлагает вам перейти на фишинговый сайт. В адресной строке все равно может быть написано bankofamerica.com, но вы будете на фишинговом сайте. Вредоносный DNS-сервер не обязательно отвечает на все запросы. Он может просто превысить время ожидания большинства запросов, а затем перенаправить запросы на DNS-сервер вашего интернет-провайдера по умолчанию. Необычно медленные DNS-запросы являются признаком того, что вы можете заразиться.
Люди с острыми глазами могут заметить, что такой фишинговый сайт не будет иметь HTTPS-шифрование, но многие не заметят. Атаки с использованием SSL могут даже удалить шифрование при передаче.
Злоумышленники также могут вставлять рекламные объявления, перенаправлять результаты поиска или пытаться установить загрузку с диска. Они могут собирать запросы на Google Analytics или другие сценарии практически на каждом веб-сайте и перенаправлять их на сервер, предоставляя сценарий, который вместо этого вводит рекламу. Если вы видите порнографические рекламу на законных сайт как TutoryBird или Нью-Йорк Таймс, вы почти наверняка заражены с чем-то – либо на маршрутизаторе или самом компьютере.
Многие атаки используют атаки подделки межсайтовых запросов (CSRF). Злоумышленник встраивает вредоносный JavaScript на веб-страницу, и этот JavaScript пытается загрузить веб-страницу администрирования маршрутизатора и изменить настройки. Поскольку JavaScript работает на устройстве внутри вашей локальной сети, код может получить доступ к веб-интерфейсу, доступному только внутри вашей сети.
Некоторые маршрутизаторы могут иметь активированные интерфейсы удаленного администрирования вместе с именами пользователей и паролями по умолчанию – боты могут сканировать такие маршрутизаторы в Интернете и получать доступ. Другие эксплойты могут воспользоваться другими проблемами роутера. Например, UPnP уязвим на многих маршрутизаторах.
Как проверить
Единственный признак того, что маршрутизатор скомпрометирован, заключается в том, что его DNS-сервер был изменен. Вы захотите посетить веб-интерфейс вашего маршрутизатора и проверить его настройки DNS-сервера.
Во-первых, вам нужно получить доступ к веб-странице настройки вашего маршрутизатора. Проверьте адрес шлюза сетевого подключения или обратитесь к документации маршрутизатора, чтобы узнать, как это сделать.
При необходимости войдите в систему с именем пользователя и паролем вашего маршрутизатора. Найдите где-нибудь параметр «DNS», часто на экране настроек WAN или подключения к Интернету. Если он установлен на «Автоматически», это нормально – он получает его от вашего интернет-провайдера. Если для этого параметра установлено значение «Вручную» и на него введены настраиваемые DNS-серверы, это вполне может стать проблемой.
Это не проблема, если вы настроили свой маршрутизатор на использование хороших альтернативных DNS-серверов – например, 8.8.8.8 и 8.8.4.4 для Google DNS или 208.67.222.222 и 208.67.220.220 для OpenDNS. Но если там есть DNS-серверы, которые вы не можете распознать, это признак того, что вредоносное ПО изменило ваш маршрутизатор на использование DNS-серверов. Если вы сомневаетесь, выполните веб-поиск адресов DNS-серверов и посмотрите, являются ли они законными или нет. Что-то вроде «0.0.0.0» хорошо и часто означает, что поле пусто, и вместо этого маршрутизатор автоматически получает DNS-сервер.
Эксперты советуют периодически проверять этот параметр, чтобы увидеть, был ли ваш маршрутизатор скомпрометирован или нет.
Помогите, есть вредоносный DNS-сервер!
Если здесь настроен злонамеренный DNS-сервер, вы можете отключить его и указать маршрутизатору использовать автоматический DNS-сервер от вашего интернет-провайдера или ввести адреса законных DNS-серверов, таких как Google DNS или OpenDNS, здесь.
Если здесь введен злонамеренный DNS-сервер, вы можете стереть все настройки вашего маршрутизатора и сбросить его до заводских настроек перед повторной настройкой – просто для безопасности. Затем используйте приведенные ниже приемы, чтобы защитить маршрутизатор от дальнейших атак.
Защищаем ваш роутер от атак
Вы можете, конечно, защитить свой маршрутизатор от этих атак – несколько. Если у маршрутизатора есть дыры в безопасности, которые производитель не исправил, вы не сможете полностью защитить его.
- Установить обновления прошивки . Убедитесь, что установлена последняя версия прошивки для вашего маршрутизатора. Включите автоматическое обновление прошивки, если маршрутизатор предлагает его – к сожалению, большинство маршрутизаторов этого не делают.Это по крайней мере гарантирует, что вы защищены от любых недостатков, которые были исправлены.
- Отключить удаленный доступ . Отключите удаленный доступ к веб-страницам администрирования маршрутизатора.
- Изменить пароль . Измените пароль на веб-интерфейс администрирования маршрутизатора, чтобы злоумышленники не могли просто войти в систему по умолчанию.
- Отключить UPnP . UPnP был особенно уязвим. Даже если UPnP не уязвим на вашем маршрутизаторе, вредоносная программа, работающая где-то внутри вашей локальной сети, может использовать UPnP для изменения вашего DNS-сервера. Так работает UPnP – он доверяет всем запросам, поступающим из вашей локальной сети.
DNSSEC должен обеспечивать дополнительную безопасность, но здесь это не панацея. В реальном мире каждая клиентская операционная система просто доверяет настроенному DNS-серверу. Злонамеренный DNS-сервер может утверждать, что запись DNS не имеет информации DNSSEC или что она действительно содержит информацию DNSSEC, и передаваемый IP-адрес является реальным.
Изображение предоставлено: nrkbeta на Flickr