Πώς να ελέγξετε τον δρομολογητή σας για κακόβουλο λογισμικό
Η ασφάλεια του router του καταναλωτή είναι πολύ κακή. Οι επιτιθέμενοι επωφελούνται από ελλειμματικούς κατασκευαστές και επιτίθενται σε μεγάλες ποσότητες δρομολογητών. Δείτε πώς μπορείτε να ελέγξετε εάν ο δρομολογητής σας έχει παραβιαστεί.
Η αγορά router στο σπίτι είναι πολύ παρόμοια με την αγορά Android smartphone. Οι κατασκευαστές παράγουν μεγάλο αριθμό διαφορετικών συσκευών και δεν ενοχλούν την ενημέρωσή τους, αφήνοντάς τους ανοιχτές για επίθεση.
Πώς ο δρομολογητής σας μπορεί να ενταχθεί στην σκοτεινή πλευρά
Οι επιτιθέμενοι προσπαθούν συχνά να αλλάξουν τη ρύθμιση του διακομιστή DNS στο δρομολογητή σας, δείχνοντάς τον σε κακόβουλο διακομιστή DNS. Όταν προσπαθείτε να συνδεθείτε σε έναν ιστότοπο - για παράδειγμα, στον ιστότοπο της τράπεζάς σας - ο κακόβουλος διακομιστής DNS σας λέει να μεταβείτε σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος" (phishing). Μπορεί ακόμα να πει bankofamerica.com στη γραμμή διευθύνσεών σας, αλλά θα βρίσκεστε σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος". Ο κακόβουλος διακομιστής DNS δεν απαντά απαραίτητα σε όλα τα ερωτήματα. Ίσως χρονοτριβεί στα περισσότερα αιτήματα και στη συνέχεια ανακατευθύνει τα ερωτήματα στον προεπιλεγμένο διακομιστή DNS του ISP σας. Οι ασυνήθιστα αργές αιτήσεις DNS είναι ένα σημάδι που μπορεί να έχετε λοίμωξη.
Τα άτομα με αιχμηρά μάτια μπορεί να παρατηρήσουν ότι ένας τέτοιος ιστότοπος ηλεκτρονικού "ψαρέματος" δεν θα έχει κρυπτογράφηση HTTPS, αλλά πολλοί άνθρωποι δεν θα το προσέξουν. Οι επιθέσεις απογύμνωσης SSL μπορούν ακόμη και να αφαιρέσουν την κρυπτογράφηση κατά τη μεταφορά.
Οι επιτιθέμενοι μπορούν επίσης να εγχέουν διαφημίσεις, να ανακατευθύνουν τα αποτελέσματα αναζήτησης ή να προσπαθούν να εγκαταστήσουν λήψεις με κίνηση. Μπορούν να συλλάβουν αιτήματα για το Google Analytics ή άλλα σενάρια σχεδόν σε κάθε χρήση του ιστότοπου και να τα ανακατευθύνουν σε ένα διακομιστή που παρέχει μια δέσμη ενεργειών, η οποία αντί να εισάγει διαφημίσεις. Εάν βλέπετε διαφημίσεις πορνογραφικού περιεχομένου σε νόμιμο ιστότοπο, όπως το How-To Geek ή οι New York Times, είστε σχεδόν σίγουρα μολυσμένοι με κάτι - είτε στον δρομολογητή σας είτε στον ίδιο τον υπολογιστή σας.
Πολλές επιθέσεις κάνουν χρήση επιθέσεων παραποίησης / απομίμησης αιτήσεων μεταξύ των ιστότοπων (CSRF). Ένας εισβολέας ενσωματώνει κακόβουλο JavaScript σε μια ιστοσελίδα και ότι η JavaScript προσπαθεί να φορτώσει τη σελίδα διαχείρισης του web του δρομολογητή και να αλλάξει τις ρυθμίσεις. Καθώς το JavaScript εκτελείται σε μια συσκευή μέσα στο τοπικό σας δίκτυο, ο κώδικας μπορεί να έχει πρόσβαση στην διεπαφή ιστού που είναι διαθέσιμη μόνο στο εσωτερικό του δικτύου σας.
Ορισμένοι δρομολογητές μπορεί να έχουν ενεργοποιημένες τις διεπαφές απομακρυσμένης διαχείρισης μαζί με τα προεπιλεγμένα ονόματα χρήστη και τους κωδικούς πρόσβασης - οι μποτς μπορούν να ανιχνεύσουν τέτοιους δρομολογητές στο Διαδίκτυο και να αποκτήσουν πρόσβαση. Άλλα εκμεταλλεύματα μπορούν να επωφεληθούν από άλλα προβλήματα δρομολογητή. Το UPnP φαίνεται να είναι ευάλωτο σε πολλούς δρομολογητές, για παράδειγμα.
Πώς να ελέγξετε
Το ένα ενδεικτικό μήνυμα ότι ένας δρομολογητής έχει παραβιαστεί είναι ότι ο διακομιστής DNS του έχει αλλάξει. Θα θελήσετε να επισκεφθείτε το διαδικτυακό περιβάλλον του δρομολογητή σας και να ελέγξετε τη ρύθμιση του διακομιστή DNS του.
Πρώτον, θα πρέπει να έχετε πρόσβαση στη σελίδα εγκατάστασης του δρομολογητή στο διαδίκτυο. Ελέγξτε τη διεύθυνση της πύλης σύνδεσης του δικτύου σας ή συμβουλευτείτε την τεκμηρίωση του δρομολογητή σας για να μάθετε πώς.
Συνδεθείτε με το όνομα χρήστη και τον κωδικό πρόσβασης του δρομολογητή σας, εάν είναι απαραίτητο. Αναζητήστε μια ρύθμιση "DNS" κάπου, συχνά στην οθόνη ρυθμίσεων σύνδεσης WAN ή Internet. Εάν έχει ρυθμιστεί σε "Αυτόματο", αυτό είναι καλό - το παίρνει από τον ISP σας. Εάν έχει οριστεί σε "Μη αυτόματη" και υπάρχουν προσωπικοί διακομιστές DNS που έχουν εισαχθεί εκεί, αυτό θα μπορούσε να είναι πολύ καλό πρόβλημα.
Δεν υπάρχει πρόβλημα αν έχετε ρυθμίσει το δρομολογητή σας να χρησιμοποιεί καλούς εναλλακτικούς διακομιστές DNS - για παράδειγμα, 8.8.8.8 και 8.8.4.4 για το Google DNS ή 208.67.222.222 και 208.67.220.220 για το OpenDNS. Αλλά, αν υπάρχουν διακομιστές DNS εκεί που δεν αναγνωρίζετε, αυτό είναι ένα σημάδι malware έχει αλλάξει το δρομολογητή σας για να χρησιμοποιήσετε διακομιστές DNS. Σε περίπτωση αμφιβολίας, εκτελέστε μια αναζήτηση ιστού για τις διευθύνσεις του διακομιστή DNS και δείτε εάν είναι νόμιμες ή όχι. Κάτι σαν το "0.0.0.0" είναι καλό και συχνά απλά σημαίνει ότι το πεδίο είναι κενό και ο δρομολογητής λαμβάνει αυτόματα έναν διακομιστή DNS.
Οι ειδικοί συμβουλεύουν τον έλεγχο αυτής της ρύθμισης περιστασιακά για να διαπιστώσετε εάν ο δρομολογητής σας έχει συμβιβαστεί ή όχι.
Βοήθεια, υπάρχει ένας κακόβουλος διακομιστής DNS!
Εάν υπάρχει κακόβουλος διακομιστής DNS ρυθμισμένος εδώ, μπορείτε να τον απενεργοποιήσετε και να πείτε στο δρομολογητή σας να χρησιμοποιεί τον αυτόματο διακομιστή DNS από τον ISP σας ή να εισάγει τις διευθύνσεις των νόμιμων διακομιστών DNS όπως το DNS του Google ή το OpenDNS εδώ.
Εάν υπάρχει εδώ ένας κακόβουλος διακομιστής DNS, ίσως θελήσετε να σκουπίσετε όλες τις ρυθμίσεις του δρομολογητή σας και να τον επαναφέρετε από το εργοστάσιο πριν τον επαναφέρετε ξανά - μόνο για να είστε ασφαλείς. Στη συνέχεια, χρησιμοποιήστε τα παρακάτω κόλπα για να διασφαλίσετε ότι ο δρομολογητής θα αντιμετωπίσει περαιτέρω επιθέσεις.
Σκλήρυνση του δρομολογητή σας ενάντια στις επιθέσεις
Μπορείτε σίγουρα να σκληρύνετε το δρομολογητή σας ενάντια σε αυτές τις επιθέσεις - κάπως. Εάν ο δρομολογητής διαθέτει τρύπες ασφαλείας, ο κατασκευαστής δεν έχει διορθώσει, δεν μπορείτε να τον ασφαλίσετε πλήρως.
- Εγκατάσταση ενημερώσεων υλικολογισμικού: Βεβαιωθείτε ότι έχει εγκατασταθεί το πιο πρόσφατο υλικολογισμικό για το δρομολογητή σας. Ενεργοποιήστε τις αυτόματες ενημερώσεις υλικολογισμικού αν το προσφέρει ο δρομολογητής - δυστυχώς, οι περισσότεροι δρομολογητές δεν το κάνουν. Αυτό εξασφαλίζει τουλάχιστον ότι προστατεύεστε από τυχόν ατέλειες που έχουν διορθωθεί.
- Απενεργοποίηση απομακρυσμένης πρόσβασης: Απενεργοποιήστε την απομακρυσμένη πρόσβαση στις σελίδες διαχείρισης του διαδικτυακού κόμβου του δρομολογητή.
- Αλλάξτε τον κωδικό πρόσβασης: Αλλάξτε τον κωδικό πρόσβασης στη διαδικτυακή διεπαφή διαχείρισης του δρομολογητή, οπότε οι επιτιθέμενοι δεν μπορούν απλώς να εισέλθουν στην προεπιλεγμένη.
- Απενεργοποιήστε το UPnP: Το UPnP ήταν ιδιαίτερα ευάλωτο. Ακόμα και αν το UPnP δεν είναι ευάλωτο στο δρομολογητή σας, ένα κομμάτι malware που τρέχει κάπου μέσα στο τοπικό σας δίκτυο μπορεί να χρησιμοποιήσει το UPnP για να αλλάξει τον διακομιστή DNS. Αυτός είναι ο τρόπος λειτουργίας του UPnP - εμπιστεύεται όλα τα αιτήματα που προέρχονται από το τοπικό σας δίκτυο.
Το DNSSEC υποτίθεται ότι παρέχει πρόσθετη ασφάλεια, αλλά δεν υπάρχει πανάκεια εδώ. Στον πραγματικό κόσμο, κάθε λειτουργικό σύστημα πελάτη απλώς εμπιστεύεται τον διαμορφωμένο διακομιστή DNS. Ο κακόβουλος διακομιστής DNS μπορεί να ισχυριστεί ότι μια εγγραφή DNS δεν περιέχει πληροφορίες DNSSEC ή ότι διαθέτει πληροφορίες DNSSEC και ότι η διεύθυνση IP που διαβιβάζεται είναι η πραγματική.
Πιστοποίηση εικόνας: nrkbeta στο Flickr