If-Koubou

Как да проверите маршрутизатора си за злонамерен софтуер

Как да проверите маршрутизатора си за злонамерен софтуер (Как да)

Потребителската рутерна сигурност е доста лоша. Атакуващите се възползват от липсващите производители и атакуват големи количества маршрутизатори. Ето как да проверите дали маршрутизаторът ви е бил компрометиран.

Пазарът на домашен рутер е много подобен на пазара на Android смартфони. Производителите произвеждат голям брой различни устройства и не се притесняват да ги актуализират, като ги оставят отворени за нападение.

Как вашият маршрутизатор може да се присъедини към тъмната страна

Нападателите често се опитват да променят настройката на DNS сървъра на вашия маршрутизатор, като го насочват към злонамерен DNS сървър. Когато се опитате да се свържете с уебсайт - например уебсайта на банката ви - злонамереният DNS сървър ви каже да посетите сайта за фишинг. Може все пак да се каже bankofamerica.com в адресната лента, но ще бъдете на фишинг сайт. Злонамереният DNS сървър не отговаря непременно на всички заявки. Това може просто да отнеме време за повечето заявки и след това да пренасочи заявки към DNS сървъра по подразбиране на вашия ISP. Необичайно бавните заявки за DNS са знак, че може да имате инфекция.

Хората с остри очи може да забележат, че такъв фишинг сайт няма да има шифроване на HTTPS, но много хора не биха забелязали. SSL-stripping атаки дори може да премахне шифроването в транзит.

Атакуващите може също да инжектират реклами, да пренасочват резултатите от търсенето или да се опитват да инсталират изтегляния от устройството. Те могат да запишат заявки за Google Анализ или други скриптове, които почти използват всеки уебсайт, и да ги пренасочат към сървър, който предоставя скрипт, който вместо това инжектира реклами. Ако виждате порнографски реклами на легитимен уебсайт като "Как да" Geek или "Ню Йорк Таймс", вие почти сигурно сте заразени с нещо - или на вашия рутер, или на самия компютър.

Много нападения използват атаки за отхвърляне на заявки за кръстосан сайт (CSRF). Атакуващият вмъква злонамерен JavaScript в уеб страница и JavaScript се опитва да зареди уеб администрацията на рутера и да промени настройките. Тъй като JavaScript работи на устройство в локалната ви мрежа, кодът може да има достъп до уеб интерфейса, който е достъпен само във вашата мрежа.

Някои маршрутизатори могат да имат активирани интерфейси за отдалечено администриране заедно с потребителски имена и пароли по подразбиране - ботовете могат да сканират за такива маршрутизатори в Интернет и да получат достъп. Другите злоупотреби могат да се възползват от други проблеми на маршрутизатора. UPnP изглежда уязвим на много маршрутизатори, например.

Как да проверите

Един сигнален знак, че маршрутизаторът е компрометиран е, че неговият DNS сървър е променен. Ще искате да посетите уеб базирания интерфейс на рутера и да проверите настройката му за DNS сървър.

Първо, ще трябва да осъществите достъп до уеб страницата за настройки на рутера. Проверете адреса на шлюза на вашата мрежова връзка или се консултирайте с документацията на рутера, за да разберете как.

Влезте с потребителското име и паролата на вашия рутер, ако е необходимо. Потърсете някъде настройка "DNS", често в екрана за настройки за WAN или интернет връзка. Ако е настроено на "Автоматично", това е добре - това става от вашия интернет доставчик. Ако е зададено "Ръчно" и има въведени персонализирани DNS сървъри, това може да е проблем.

Няма проблем, ако сте конфигурирали рутера си да използва добри алтернативни DNS сървъри - например 8.8.8.8 и 8.8.4.4 за Google DNS или 208.67.222.222 и 208.67.220.220 за OpenDNS. Но ако има DNS сървъри, които не разпознавате, това е знак, че злонамереният софтуер е променил рутера ви, за да използва DNS сървъри. Ако имате съмнения, извършете търсене в мрежата за адресите на DNS сървъра и вижте дали те са законни или не. Нещо като "0.0.0.0" е добре и често просто означава, че полето е празно и маршрутизаторът автоматично получава DNS сървър.

Експертите препоръчват да проверявате тази настройка от време на време, за да видите дали вашият рутер е бил компрометиран или не.

Помощ, има зловреден DNS сървър!

Ако има злонамерен DNS сървър, конфигуриран тук, можете да го деактивирате и да кажете на вашия рутер да използва автоматичния DNS сървър от вашия ISP или да въведе адресите на легитимни DNS сървъри като Google DNS или OpenDNS тук.

Ако има злонамерен DNS сървър, който сте въвели тук, може да искате да изтриете всички настройки на маршрутизатора и да го върнете фабрично, преди да го зададете отново - само за да сте сигурни. След това използвайте триковете по-долу, за да защитите рутера от по-нататъшни атаки.

Втвърдяване на маршрутизатора ви срещу атаките

Можете със сигурност да втвърдите рутера си срещу тези атаки - донякъде. Ако маршрутизаторът има отвори за сигурност, производителят не е кръпка, не можете напълно да го защитите.

  • Инсталиране на актуализации на фърмуера: Уверете се, че е инсталиран най-новия фърмуер за вашия маршрутизатор. Активирайте автоматичните актуализации на фърмуера, ако маршрутизаторът предлага това - за съжаление повечето маршрутизатори не го правят. Това поне гарантира, че сте защитени от всякакви недостатъци, които са били защитени.
  • Деактивирайте отдалечения достъп: Деактивиране на отдалечен достъп до уеб адресите на администратора на рутера.
  • Променете паролата: Променете паролата на уеб базирания интерфейс за управление на рутера, така че нападателите не могат просто да влязат в стандартната.
  • Изключете UPnP: UPnP е особено уязвим. Дори ако UPnP не е уязвим на вашия маршрутизатор, част от зловреден софтуер, който се изпълнява някъде в локалната ви мрежа, може да използва UPnP, за да промени вашия DNS сървър. Точно така работи UPnP - вярва, че всички искания идват от вашата локална мрежа.

DNSSEC трябва да осигури допълнителна сигурност, но тук не е панацея. В реалния свят, всяка операционна система на клиента просто се доверява на конфигурирания DNS сървър. Злонамереният DNS сървър може да претендира, че DNS записът няма информация за DNSSEC или че той има DNSSEC информация, а IP адресът, който се предава, е истинският.

Image Credit: nrkbeta на Flickr