Cum să vă verificați ruterul pentru malware
Securitatea routerului de securitate este destul de rău. Atacatorii profită de producătorii lipsiți de atacuri și atacă cantități mari de routere. Iată cum puteți verifica dacă ruterul dvs. a fost compromis.
Piața routerului de acasă este foarte asemănătoare pieței smartphone-urilor Android. Producătorii produc un număr mare de dispozitive diferite și nu-i deranjează să le actualizeze, lăsându-i să fie atacați.
Cum se poate conecta routerul la partea întunecată
Atacatorii încearcă deseori să modifice setarea serverului DNS de pe router, indicând-o la un server DNS rău intenționat. Când încercați să vă conectați la un site Web - de exemplu, site-ul băncii dvs. - serverul DNS rău intenționat vă spune să mergeți la un site de phishing. Este posibil să mai spui bankofamerica.com în bara de adrese, dar veți fi la un site de phishing. Serverul DNS rău intenționat nu răspunde neapărat la toate interogările. Este posibil să se limiteze la majoritatea solicitărilor și apoi să se redirecționeze interogările către serverul DNS prestabilit al ISP. Cererile DNS neobișnuit de încet sunt un semn că este posibil să aveți o infecție.
Persoanele cu ochi ascuți pot observa că un astfel de site de phishing nu va avea criptare HTTPS, dar mulți oameni nu ar observa. Atacurile de stripare de tip SSL pot chiar să elimine criptarea în tranzit.
Atacatorii pot, de asemenea, doar să injecteze anunțuri, să redirecționeze rezultatele căutării sau să încerce să instaleze descărcări de tip drive-by. Aceștia pot captura cereri de Google Analytics sau alte scripturi aproape de fiecare utilizare a site-ului web și redirecționează-le către un server care oferă un script care, în schimb, injectează anunțuri. Dacă vedeți reclame pornografice pe un site legitim cum ar fi How-To Geek sau New York Times, sunteți aproape sigur infectați cu ceva - fie pe router sau pe computerul dvs..
Multe atacuri fac uz de atacurile de tip "forgery request" (CSRF). Un atacator încorporează JavaScript malware pe o pagină web și că JavaScript încearcă să încarce pagina de administrare bazată pe web și să schimbe setările. Pe măsură ce JavaScript rulează pe un dispozitiv din rețeaua locală, codul poate accesa interfața web disponibilă numai în interiorul rețelei.
Unele routere pot avea interfețele de administrare de la distanță activate împreună cu numele de utilizator și parolele prestabilite - roboții pot să scaneze pentru astfel de routere pe Internet și să obțină acces. Alte exploatații pot profita de alte probleme legate de router. UPnP pare a fi vulnerabil pe multe routere, de exemplu.
Cum să verificați
Singurul semnal care arată că un router a fost compromis este că serverul DNS a fost modificat. Veți dori să vizitați interfața web a ruterului și să verificați setarea serverului DNS.
În primul rând, va trebui să accesați pagina de configurare web a ruterului. Verificați adresa gateway-ului conexiunii de rețea sau consultați documentația routerului pentru a afla cum.
Conectați-vă utilizând numele de utilizator și parola routerului, dacă este necesar. Căutați setarea "DNS" undeva, adesea în ecranul WAN sau în setările de conexiune la Internet. Dacă este setat la "Automat", este bine - o primește de la ISP. Dacă este setat la "Manual" și acolo sunt servere personalizate DNS introduse acolo, ar putea fi foarte bine o problemă.
Nu este o problemă dacă ați configurat routerul dvs. să utilizeze servere alternative DNS bune - de exemplu, 8.8.8.8 și 8.8.4.4 pentru Google DNS sau 208.67.222.222 și 208.67.220.220 pentru OpenDNS. Dar, dacă există servere DNS pe care nu le recunoașteți, acesta este un semn malware a schimbat router-ul dvs. pentru a utiliza serverele DNS. Dacă aveți îndoieli, efectuați o căutare web pentru adresele serverului DNS și vedeți dacă acestea sunt legitime sau nu. Ceva de genul "0.0.0.0" este bine și adesea doar înseamnă că câmpul este gol și ruterul obține automat un server DNS.
Experții recomandă să verificați ocazional această setare pentru a vedea dacă routerul dvs. a fost compromis sau nu.
Ajută, există un server DNS rău intenționat!
Dacă există un server DNS rău intenționat configurat aici, îl puteți dezactiva și spuneți-vă routerului să utilizeze serverul DNS automat de la ISP-ul tău sau să introducă adresele serverelor DNS legitime cum ar fi Google DNS sau OpenDNS aici.
Dacă există un server DNS rău intenționat introdus aici, este posibil să doriți să ștergeți toate setările routerului și să-l resetați din fabrică înainte de ao seta din nou - doar pentru a fi sigur. Apoi, utilizați trucurile de mai jos pentru a vă asigura că routerul nu mai poate ataca.
Îngrijirea routerului împotriva atacurilor
Cu siguranță vă puteți întări ruterul împotriva acestor atacuri - oarecum. Dacă routerul are găuri de securitate, producătorul nu a patch-uri, nu îl puteți asigura complet.
- Instalați actualizările de firmware: Asigurați-vă că este instalat cel mai recent firmware pentru routerul dvs. Activați actualizările automate ale firmware-ului în cazul în care router-ul oferă acest lucru - din păcate, majoritatea routerelor nu. Acest lucru vă asigură cel puțin că sunteți protejat de orice defecte care au fost patch-uri.
- Dezactivați accesul la distanță: Dezactivați accesul la distanță la paginile de administrare bazate pe web ale routerului.
- Schimbați parola: Schimbați parola pe interfața de administrare bazată pe web a routerului, astfel încât atacatorii să nu poată intra doar cu cel implicit.
- Dezactivați UPnP: UPnP a fost deosebit de vulnerabil. Chiar dacă UPnP nu este vulnerabil pe router, o malware care rulează undeva în interiorul rețelei locale poate folosi UPnP pentru a schimba serverul DNS. Acesta este modul în care funcționează UPnP - încredințează toate solicitările venite din rețeaua locală.
DNSSEC ar trebui să ofere securitate suplimentară, dar nu este un panaceu aici. În lumea reală, fiecare sistem de operare client are încredere în serverul DNS configurat. Serverul DNS rău intenționat ar putea susține că o înregistrare DNS nu are nicio informație DNSSEC sau că nu are informații despre DNSSEC și că adresa IP care este transmisă este cea reală.
Credit de imagine: nrkbeta pe Flickr