Як перевірити маршрутизатор на наявність шкідливих програм

Безпека споживчого маршрутизатора досить погана. Зловмисники користуються перевагою неналежних виробників і атакують велику кількість маршрутизаторів. Нижче описано, як перевірити, чи було порушено маршрутизатор.

Ринок домашнього маршрутизатора дуже схожий на ринок смартфонів Android. Виробники виробляють велику кількість різних пристроїв і не турбують їх оновлення, залишаючи їх відкритими для атаки.

Як ваш маршрутизатор може приєднатися до темної сторони

Зловмисники часто прагнуть змінити налаштування DNS-сервера на вашому маршрутизаторі, вказавши його на зловмисний DNS-сервер. Під час спроби підключення до веб-сайту, наприклад веб-сайту вашого банку, шкідливий DNS-сервер повідомляє про те, що потрібно перейти на фішинговий сайт. У вашому адресному рядку все одно можна сказати bankofamerica.com, але ви будете на сайті фішингу. Зловмисний сервер DNS не обов'язково відповідає на всі запити. Він може просто затримати більшість запитів, а потім перенаправити запити на DNS-сервер вашого провайдера за замовчуванням. Незвично повільні запити DNS є ознакою, що може виникнути інфекція.

Люди різкого очікування можуть помітити, що такий фішинговий сайт не матиме шифрування HTTPS, але багато хто не помітить. Атаки SSL-зачистки можуть навіть видалити шифрування в дорозі.

Зловмисники також можуть просто вставляти рекламу, перенаправляти результати пошуку або намагатися встановити завантаження на диску. Вони можуть захоплювати запити Google Analytics або інші сценарії майже на кожному веб-сайті та перенаправляти їх на сервер, який надає сценарій, який замість цього вводить оголошення. Якщо ви бачите порнографічні оголошення на законному веб-сайті, як How-To Geek або New York Times, ви майже напевно заражені чимось - або на маршрутизаторі, або на самому комп'ютері.

Багато атак використовують атаки на підробку запитів між сайтами (CSRF). Зловмисник вбудовує шкідливий JavaScript на веб-сторінку, а JavaScript намагається завантажити веб-сторінку адміністратора маршрутизатора та змінити параметри. Оскільки JavaScript працює на пристрої у вашій локальній мережі, код може отримати доступ до веб-інтерфейсу, який доступний лише у вашій мережі.

Деякі маршрутизатори можуть мати активовані інтерфейси віддаленого адміністрування разом з іменами користувача та паролями за замовчуванням - боти можуть сканувати такі маршрутизатори в Інтернеті і отримати доступ. Інші можливості можуть скористатися іншими проблемами маршрутизатора. Наприклад, UPnP є вразливим для багатьох маршрутизаторів.

Як перевірити

Одним з ознак того, що маршрутизатор був скомпрометований, є те, що його DNS-сервер був змінений. Ви хочете відвідати веб-інтерфейс вашого маршрутизатора і перевірити його налаштування DNS-сервера.

По-перше, потрібно отримати доступ до веб-сторінки маршрутизатора. Перевірте адресу шлюзу мережі або зверніться до документації маршрутизатора, щоб дізнатися, як це зробити.

Якщо необхідно, увійдіть із іменем користувача та паролем вашого маршрутизатора. Шукайте налаштування “DNS” де-небудь, часто на екрані WAN або налаштування підключення до Інтернету. Якщо встановлено значення "Automatic" (Автоматично), це нормально - він отримує його від вашого провайдера. Якщо встановлено значення "Manual" (Ручний) і там введені власні DNS-сервери, це може бути проблемою.

Це не проблема, якщо ви налаштували маршрутизатор на використання хороших альтернативних DNS-серверів - наприклад, 8.8.8.8 і 8.8.4.4 для Google DNS або 208.67.222.222 і 208.67.220.220 для OpenDNS. Але, якщо там DNS-сервери там не розпізнаються, це знак, що зловмисне програмне забезпечення змінило ваш маршрутизатор на використання DNS-серверів. Якщо ви сумніваєтеся, виконайте пошук в Інтернеті для адрес DNS-серверів і перевірте, чи є вони законними чи ні. Щось на зразок "0.0.0.0" - це нормально і часто означає, що поле порожнє, а маршрутизатор автоматично отримує DNS-сервер.

Експерти радять перевіряти цей параметр, щоб перевірити, чи був ваш маршрутизатор скомпрометованим чи ні.

Довідка: існує зловмисний DNS-сервер!

Якщо тут настроєний зловмисний DNS-сервер, ви можете вимкнути його і повідомити маршрутизатору про використання автоматичного DNS-сервера від вашого провайдера або ввести адреси законних DNS-серверів, таких як Google DNS або OpenDNS..

Якщо тут введений зловмисний DNS-сервер, можна стерти всі налаштування вашого маршрутизатора та скинути заводські налаштування перед тим, як налаштувати його знову - просто щоб бути безпечними. Потім скористайтеся трюками нижче, щоб допомогти захистити маршрутизатор від подальших атак.

Зміцнення маршрутизатора проти атак

Ви можете, звичайно, затвердіти ваш маршрутизатор від цих атак - дещо. Якщо в маршрутизаторі є отвори безпеки, виробник не зморщився, ви не можете повністю захистити його.

• Встановіть оновлення мікропрограми: Переконайтеся, що встановлено останню версію прошивки для вашого маршрутизатора. Увімкніть автоматичне оновлення програмного забезпечення, якщо маршрутизатор пропонує його, - на жаль, більшість маршрутизаторів цього не роблять. Це принаймні гарантує, що ви захищені від будь-яких помилок, які були виправлені.
• Вимкнути віддалений доступ: Вимкнути віддалений доступ до веб-сторінок адміністратора маршрутизатора.
• Змініть пароль: Змініть пароль на веб-інтерфейс адміністратора маршрутизатора, щоб зловмисники не могли просто потрапити до стандартного.
• Вимкніть UPnP: UPnP був особливо вразливим. Навіть якщо UPnP не є вразливим для вашого маршрутизатора, шматок шкідливого програмного забезпечення, запущеного десь у вашій локальній мережі, може використовувати UPnP для зміни вашого DNS-сервера. Саме так працює UPnP - він довіряє всім запитам, які надходять з вашої локальної мережі.

DNSSEC має забезпечити додаткову безпеку, але тут немає панацеї. У реальному світі кожна клієнтська операційна система просто довіряє налаштованому DNS-серверу. Зловмисний сервер DNS міг би стверджувати, що запис DNS не має інформації DNSSEC, або що він має інформацію DNSSEC, а IP-адреса, що передається, є реальною.

Кредит на зображення: nrkbeta на Flickr