Рынок домашних маршрутизаторов во многом похож на рынок смартфонов Android. Производители производят большое количество различных устройств и не беспокоят их обновление, оставляя их открытыми для атаки.
Как ваш маршрутизатор может присоединиться к темной стороне
Атакующие часто пытаются изменить настройки DNS-сервера на вашем маршрутизаторе, указывая на злонамеренный DNS-сервер. Когда вы пытаетесь подключиться к веб-сайту - например, веб-сайт вашего банка - вредоносный DNS-сервер говорит вам перейти на сайт фишинга. Он все равно может сказать bankofamerica.com в адресной строке, но вы будете на фишинговом сайте. Злонамеренный DNS-сервер не обязательно отвечает на все запросы. Он может просто отключить большинство запросов, а затем перенаправить запросы на ваш DNS-сервер по умолчанию вашего интернет-провайдера. Необычно медленные запросы DNS являются признаком того, что у вас может быть инфекция.
Люди с острыми глазами могут заметить, что на таком фишинговом сайте не будет HTTPS-шифрования, но многие люди не заметят. Атаки SSL-дескрипции могут даже удалить шифрование при переходе.
Атакующие могут также просто вводить рекламу, перенаправлять результаты поиска или пытаться установить загрузочные файлы. Они могут захватывать запросы на Google Analytics или другие скрипты почти на каждом веб-сайте и перенаправлять их на сервер, предоставляя сценарий, который вместо этого вводит объявления. Если вы видите порнографические рекламу на законных сайт как How-To Geek или Нью-Йорк Таймс, вы почти наверняка заражены с чем-то - либо на маршрутизаторе или самом компьютере.
Многие атаки используют атаки подделок на основе межсайтового запроса (CSRF). Злоумышленник внедряет вредоносный JavaScript на веб-страницу и что JavaScript пытается загрузить веб-страницу администрирования маршрутизатора и изменять настройки. Поскольку JavaScript работает на устройстве внутри вашей локальной сети, код может получить доступ к веб-интерфейсу, доступному только в вашей сети.
Некоторые маршрутизаторы могут активировать свои интерфейсы удаленного администрирования вместе с именами и паролями по умолчанию - боты могут сканировать такие маршрутизаторы в Интернете и получать доступ. Другие эксплойты могут воспользоваться другими проблемами маршрутизатора. Например, UPnP уязвим для многих маршрутизаторов.
Как проверить
Один контрольный знак, что маршрутизатор был скомпрометирован, заключается в том, что его DNS-сервер был изменен. Вы захотите посетить веб-интерфейс своего маршрутизатора и проверить его настройку DNS-сервера.
Во-первых, вам нужно получить доступ к веб-странице настройки вашего маршрутизатора. Проверьте адрес шлюза сетевого подключения или обратитесь к документации вашего маршрутизатора, чтобы узнать, как это сделать.
При необходимости войдите в систему с помощью имени пользователя и пароля вашего маршрутизатора. Ищите параметр «DNS» где-нибудь, часто на экране настроек WAN или интернет-соединения. Если установлено значение «Автоматически», все в порядке - оно получается от вашего интернет-провайдера. Если он настроен на «Руководство», и там есть пользовательские DNS-серверы, это может быть проблемой.
Это не проблема, если вы настроили маршрутизатор для использования хороших альтернативных DNS-серверов - например, 8.8.8.8 и 8.8.4.4 для Google DNS или 208.67.222.222 и 208.67.220.220 для OpenDNS. Но если есть DNS-серверы, которые вы не узнаете, это признак вредоносного ПО изменил ваш маршрутизатор на использование DNS-серверов. В случае сомнений выполните веб-поиск адресов DNS-сервера и выясните, являются ли они законными или нет. Что-то вроде «0.0.0.0» прекрасно, и часто просто означает, что поле пустое, а маршрутизатор автоматически получает DNS-сервер.
Эксперты советуют периодически проверять этот параметр, чтобы узнать, был ли ваш маршрутизатор скомпрометирован или нет.
Справка, Есть вредоносный DNS-сервер!
Если здесь настроен вредоносный DNS-сервер, вы можете отключить его и сообщить своему маршрутизатору использовать автоматический DNS-сервер у вашего интернет-провайдера или ввести адреса легитимных DNS-серверов, таких как Google DNS или OpenDNS.
Если здесь введен вредоносный DNS-сервер, вы можете стереть все настройки своего маршрутизатора и восстановить заводские настройки перед его повторной настройкой - просто для того, чтобы быть в безопасности. Затем используйте трюки ниже, чтобы защитить маршрутизатор от дальнейших атак.
Укрепление вашего маршрутизатора от атак
Вы можете, конечно, закрепить свой маршрутизатор от этих атак. Если у маршрутизатора есть дыры в безопасности, производитель не заплатил, вы не можете полностью его защитить.
- Установка обновлений прошивки: Убедитесь, что установлена последняя версия прошивки для вашего маршрутизатора. Включите автоматические обновления прошивки, если маршрутизатор предлагает его, - к сожалению, большинство маршрутизаторов этого не делают. Это по крайней мере гарантирует, что вы защищены от любых недостатков, которые были исправлены.
- Отключить удаленный доступ: Отключить удаленный доступ к веб-страницам администрирования маршрутизатора.
- Изменить пароль: Измените пароль на веб-интерфейс администрирования маршрутизатора, чтобы злоумышленники не могли просто войти в стандартную конфигурацию.
- Выключить UPnP: UPnP был особенно уязвим. Даже если UPnP не уязвим на вашем маршрутизаторе, часть вредоносного ПО, работающая где-то внутри вашей локальной сети, может использовать UPnP для изменения вашего DNS-сервера.Именно так работает UPnP - он доверяет всем запросам, поступающим из вашей локальной сети.
DNSSEC должен обеспечить дополнительную безопасность, но здесь нет никакой панацеи. В реальном мире каждая клиентская операционная система просто доверяет настроенному DNS-серверу. Злоумышленный DNS-сервер может требовать, чтобы DNS-запись не содержала DNSSEC-информации или что у нее есть информация DNSSEC и передаваемый IP-адрес, является реальной.
