Как да проверите рутера си за злонамерен софтуер

Потребителската сигурност на рутера е доста лоша. Нападателите се възползват от ненатрапчивите производители и атакуват големи количества рутери. Ето как да проверите дали вашият рутер е компрометиран.

Пазарът на домашни рутери е много подобен на пазара на Android смартфони. Производителите произвеждат голям брой различни устройства и не се притесняват да ги актуализират, оставяйки ги отворени за атаки.

Как вашият рутер може да се присъедини към тъмната страна

Нападателите често се опитват да променят настройките на DNS сървъра на вашия рутер, като го насочат към злонамерен DNS сървър. Когато се опитате да се свържете с уебсайт - например уеб сайта на вашата банка - злонамерения DNS сървър ви казва да отидете на фишинг сайт. Може все пак да каже bankofamerica.com в адресната лента, но ще бъдете на фишинг сайт. Зловредният DNS сървър не отговаря непременно на всички заявки. Той може просто да изчака по-голямата част от заявките и след това да пренасочи заявките към DNS сървъра по подразбиране на вашия ISP. Необичайно бавните DNS заявки са знак, че може да имате инфекция.

Хората с остър поглед могат да забележат, че подобен фишинг сайт няма да има HTTPS криптиране, но много хора не биха забелязали. Атаките за отстраняване на SSL могат дори да премахнат криптирането при транзит.

Нападателите могат също така да инжектират реклами, да пренасочват резултатите от търсенето или да се опитат да инсталират изтегляния чрез устройство. Те могат да улавят заявки за Google Анализ или други скриптове, почти всяка употреба на уебсайтове и да ги пренасочват към сървър, който предоставя скрипт, който вместо това инжектира реклами. Ако виждате порнографски реклами на законен уебсайт като How-To Geek или New York Times, почти сигурно сте заразени с нещо - или на маршрутизатора или на самия компютър.

Много атаки използват атаки за подправяне на заявки за различни сайтове (CSRF). Хакерът вгражда злонамерен JavaScript в уеб страница и JavaScript се опитва да зареди уеб-базираната администраторска страница на рутера и да промени настройките. Тъй като JavaScript се изпълнява на устройство във вашата локална мрежа, кодът може да има достъп до уеб интерфейса, който е достъпен само във вашата мрежа.

Някои рутери могат да имат активирани интерфейси за отдалечено администриране заедно с потребителски имена по подразбиране и пароли - ботове могат да сканират за такива рутери в Интернет и да получат достъп. Други подвизи могат да се възползват от други проблеми с рутера. UPnP изглежда е уязвим по много маршрутизатори, например.

Как да проверите

Единственият сигнален знак, че рутерът е компрометиран е, че DNS сървърът е променен. Вие ще искате да посетите уеб-базирания интерфейс на вашия рутер и да проверите настройките на DNS сървъра.

Първо, ще трябва да влезете в страницата за настройка на вашия рутер. Проверете адреса на шлюза на вашата мрежова връзка или вижте документацията на маршрутизатора, за да разберете как.

Влезте с потребителското име и паролата на маршрутизатора, ако е необходимо. Потърсете някъде настройка „DNS“, често в екрана за настройки на WAN или интернет връзка. Ако е настроено на „Автоматично“, това е чудесно - това става от вашия интернет доставчик. Ако е настроено на „Ръчно“ и там са въведени персонализирани DNS сървъри, това може да е проблем.

Няма проблем, ако сте конфигурирали маршрутизатора да използва добри алтернативни DNS сървъри - например 8.8.8.8 и 8.8.4.4 за Google DNS или 208.67.222.222 и 208.67.220.220 за OpenDNS. Но ако има DNS сървъри, които не познавате, това е знак, че зловредният софтуер е променил маршрутизатора ви да използва DNS сървъри. Ако имате съмнения, извършете търсене в мрежата за адресите на DNS сървъра и вижте дали те са законни или не. Нещо като „0.0.0.0“ е добре и често означава, че полето е празно и рутерът автоматично получава DNS сървър.

Експертите съветват да проверявате тази настройка от време на време, за да видите дали вашият рутер е бил компрометиран или не.

Помощ, има злонамерен DNS сървър!

Ако има конфигуриран злонамерен DNS сървър, можете да го деактивирате и да кажете на маршрутизатора да използва автоматичния DNS сървър от вашия доставчик на интернет или да въведете адресите на законните DNS сървъри като Google DNS или OpenDNS тук.

Ако влезе злонамерен DNS сървър, може да искате да изтриете всички настройки на рутера и да го нулирате фабрично, преди да го настроите отново - само за да бъдете безопасни. След това използвайте триковете по-долу, за да защитите маршрутизатора от по-нататъшни атаки.

Втвърдяване на рутера срещу атаки

Със сигурност можете да втвърдите рутера срещу тези атаки - донякъде. Ако рутерът има дупки в защитата, производителят не е закърпил, не можете да го защитите напълно.

• Инсталирайте актуализации на фърмуера: Уверете се, че е инсталиран последният фърмуер за вашия рутер. Активирайте автоматичните актуализации на фърмуера, ако рутерът го предлага - за съжаление повечето рутери не го правят. Това поне гарантира, че сте защитени от всички поправени пропуски.
• Деактивирайте отдалечения достъп: Изключване на отдалечен достъп до уеб-базираните администраторски страници на маршрутизатора.
• Променете паролата: Променете паролата в уеб-базирания административен интерфейс на маршрутизатора, така че атакуващите да не могат просто да влязат с подразбиращия се.
• Изключете UPnP: UPnP е особено уязвима. Дори ако UPnP не е уязвим на вашия рутер, част от зловреден софтуер, който се изпълнява някъде в локалната ви мрежа, може да използва UPnP, за да промени вашия DNS сървър. Това е начинът, по който работи UPnP - той вярва на всички заявки, идващи от вашата локална мрежа.

DNSSEC трябва да осигури допълнителна сигурност, но тук не е панацея. В реалния свят всяка клиентска операционна система просто вярва на конфигурирания DNS сървър. Зловредният DNS сървър може да твърди, че DNS записът няма DNSSEC информация, или че има DNSSEC информация и IP адресът, който се предава, е реалният.

Кредит за изображения: nrkbeta на Flickr