Η ασφάλεια των routers που αγοράζουν οι χρήστες, σχεδόν δεν υπάρχει. Οι επιτιθέμενοι εκμεταλλεύονται τα χαμηλής ποιότητας routers και επιτίθενται σε συσκευές που είναι ευάλωτες.
Δείτε πώς μπορείτε να ελέγξετε εάν το router σας έχει παραβιαστεί.
Η αγορά οικιακού δρομολογητή μοιάζει πολύ με την αγορά ενός smartphone με Android . Οι κατασκευαστές παράγουν μεγάλο αριθμό διαφορετικών συσκευών και δεν ενημερώνουν το λογισμικό τους, αφήνοντάς τα ανοιχτά σε κάποια επίθεση.
Πώς μπορεί να παραβιαστεί το router σας
Οι επιτιθέμενοι προσπαθούν συχνά να αλλάξουν τη ρύθμιση των διακομιστών DNS στο router σας, προσθέτοντας σε κακόβουλους διακομιστές DNS.
Έτσι όταν προσπαθήσετε να συνδεθείτε σε έναν ιστότοπο – για παράδειγμα, στην τράπεζάς σας – ο κακόβουλος διακομιστής DNS σας μεταφέρει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος. Η διεύθυνση μπορεί να λέει nbg.gr, αλλά θα βρίσκεστε σε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing).
Ο κακόβουλος διακομιστής DNS δεν ανταποκρίνεται απαραίτητα σε όλα τα ερωτήματα. Μπορεί να μην ανταποκρίνεται στα περισσότερα αιτήματα ή να τα ανακατευθύνει στον προεπιλεγμένο διακομιστή DNS του ISP σας. Τα αργά αιτήματα DNS είναι ένα σημάδι ότι μπορεί να έχετε πέσει θύμα μιας επίθεσης hacking.
Μπορεί να παρατηρήσετε ότι ένας ιστότοπος ηλεκτρονικού ψαρέματος (phishing) δεν διαθέτει κρυπτογράφηση HTTPS, αλλά υπάρχουν πολλοί που δεν θα το προσέξουν. Οι επιθέσεις SSL-stripping μπορούν και να αφαιρέσουν την κρυπτογράφηση κατά τη μεταφορά δεδομένων.
Μπορούν να “πιάσουν” αιτήματα για το Google Analytics ή άλλα scripts σχεδόν από κάθε ιστότοπο και να τα ανακατευθύνουν σε έναν διακομιστή μέσω ενός άλλου script που σερβίρει διαφημίσεις ή οτιδήποτε άλλο. Εάν βλέπετε πορνογραφικές διαφημίσεις σε μια σελίδα που δεν το συνηθίζει όπως το iguru, είναι σχεδόν σίγουρο ότι κάτι υπάρχει στο router σας, ή στον ίδιο τον υπολογιστή σας.
Πολλές επιθέσεις χρησιμοποιούν επιθέσεις πλαστογραφίας αιτήσεων (CSRF). Ένας εισβολέας προσθέτει ένα κακόβουλο JavaScript σε μια ιστοσελίδα και η JavaScript επιχειρεί να φορτώσει τη σελίδα διαχείρισης του router και να αλλάξει τις ρυθμίσεις. Καθώς η JavaScript τρέχει από μια συσκευή μέσα στο τοπικό σας δίκτυο, ο κώδικας μπορεί να έχει πρόσβαση στη UI των ρυθμίσεων του router σας που είναι διαθέσιμο μόνο στο δίκτυό σας.
Ορισμένοι δρομολογητές μπορεί να έχουν ενεργοποιημένο το UI απομακρυσμένης διαχείρισης μαζί με προεπιλεγμένα ονόματα χρήστη και κωδικούς πρόσβασης. Υπάρχουν bot που σαρώσουν aαυτόματα για αυτά τα routers.
Πώς να το ελέγξετε
Το μόνο ενδεικτικό σημάδι ότι ένα router έχει παραβιαστεί είναι αν ο διακομιστής DNS του έχει αλλάξει. Ανοίξτε το web UI του δρομολογητή σας για να ελέγξετε τη ρύθμιση του διακομιστή DNS.
Η σελίδα αυτή υπάρχει κάτω από μια τοπική IP, και για να την βρείτε θα πρέπει να ψάξετε στο διαδίκτυο, ή στο εγχειρίδιο χρήσης. Στο διαδίκτυο βάλτε το όνομα του κατασκευαστή και το μοντέλο του router που χρησιμοποιείτε και αναζητήστε για το login URL.
Συνδεθείτε με το όνομα χρήστη και τον κωδικό πρόσβασης του δρομολογητή σας (συνήθως υπάρχουν σε ένα αυτοκόλλητο στην κάτω πλευρά του router. Αναζητήστε για μα ρύθμιση “DNS”. Θα τη βρείτε συνήθως στην οθόνη ρυθμίσεων της σύνδεσης WAN ή Internet. Εάν έχει οριστεί σε “Αυτόματο”, είναι εντάξει – παίρνει την IP από τον ISP σας. Εάν έχει οριστεί σε “Χειροκίνητο” και υπάρχουν προσαρμοσμένοι διακομιστές DNS, μπορεί να είναι πρόβλημα, αν δεν τους έχετε βάλει εσείς.
Δεν υπάρχει πρόβλημα αν έχετε ρυθμίσει το δρομολογητή σας να χρησιμοποιεί εναλλακτικούς διακομιστές DNS – για παράδειγμα τους 8.8.8.8 και 8.8.4.4 για το Google DNS, τους 208.67.222.222 και 208.67.220.220 για το OpenDNS και τον 1.1.1.1 για την Cloudflare.
Ωστόσο, εάν υπάρχουν διακομιστές DNS που δεν αναγνωρίζετε, αυτό σημαίνει ότι κάποιο κακόβουλο λογισμικό έχει αλλάξει τις ρυθμίσεις του router για να χρησιμοποιεί δικούς του διακομιστές DNS. Εάν έχετε αμφιβολίες, αναζητήστε στον ιστό για τις IPS αυτές και δείτε αν είναι ακίνδυνες ή όχι. Κάτι σαν το “0.0.0.0” είναι καλό και συχνά σημαίνει ότι το πεδίο είναι κενό και ο δρομολογητής λαμβάνει αυτόματα έναν διακομιστή DNS.
Βοήθεια, υπάρχει ένας κακόβουλος διακομιστής DNS!
Αν βρείτε κάποιον κακόβουλο διακομιστής DNS, μπορείτε να τον απενεργοποιήσετε και να “πείτε” στο router σας να χρησιμοποιήσει τον αυτόματο διακομιστή DNS από τον ISP σας ή να περάσετε τις παραπάνω διευθύνσεις νόμιμων διακομιστών DNS.
Μπορεί να θέλετε να διαγράψετε όλες τις ρυθμίσεις του δρομολογητή σας και να τον επαναφέρετε στις εργοστασιακές του ρυθμίσεις ξανά. Στη συνέχεια, χρησιμοποιήστε τις παρακάτω ρυθμίσεις για να προστατέψετε το router σας από επερχόμενες επιθέσεις.
Ρυθμίσεις του router σας
Μπορείτε σίγουρα να ρυθμίσετε το router σας ενάντια σε αυτές τις επιθέσεις, αλλά αν δρομολογητής έχει κενά ασφαλείας που δεν έχει διορθώσει ο κατασκευαστής, δεν μπορείτε να κάνετε τίποτα
- Εγκατάσταση ενημερώσεων υλικολογισμικού (firmware): Βεβαιωθείτε ότι είναι εγκατεστημένο το τελευταίο firmware για το δρομολογητή σας . Ενεργοποιήστε τις αυτόματες ενημερώσεις λογισμικού εάν διαθέτει την ρύθμιση το router σας. Δυστυχώς, τα περισσότερα δεν το κάνουν.
- Απενεργοποίηση απομακρυσμένης πρόσβασης: Απενεργοποίηση της απομακρυσμένης πρόσβασης στις σελίδες διαχείρισης.
- Αλλαγή του κωδικού πρόσβασης: Αλλαγή του κωδικού πρόσβασης ώστε οι εισβολείς να μην μπορούν να μπουν με τον προεπιλεγμένο.
- Απενεργοποίηση UPnP: Το UPnP ήταν και είναι ιδιαίτερα ευάλωτο . Ακόμα κι αν το UPnP δεν είναι ευάλωτο στο router σας, ένα κακόβουλο λογισμικό που τρέχει κάπου μέσα στο τοπικό σας δίκτυο μπορεί να χρησιμοποιήσει το UPnP για να αλλάξει τον διακομιστή DNS. Έτσι λειτουργεί το UPnP – εμπιστεύεται όλα τα αιτήματα που προέρχονται από το τοπικό σας δίκτυο.
Το DNSSEC υποτίθεται ότι παρέχει πρόσθετη ασφάλεια, αλλά δεν είναι ακόμα διαθέσιμο. Στον πραγματικό κόσμο, κάθε client εμπιστεύεται τον διαμορφωμένο διακομιστή DNS. Ο κακόβουλος διακομιστής DNS θα μπορούσε να ισχυριστεί ότι μια εγγραφή DNS δεν έχει πληροφορίες DNSSEC και ότι η διεύθυνση IP που διαβιβάζεται είναι η πραγματική.