Co włamywacz może zrobić z twoim routerem?

Wyobraź sobie, że siedzisz w kawiarni i pracujesz na darmowym WiFi. Zwykle nie oznacza to problemów, ale i tak zachowujesz czujność, bo uczono Cię, że raz na jakiś czas możesz trafić na WiFi skonfigurowane przez złego człowieka i cała twoja transmisja przechodzi przez maszynę włamywacza. A teraz wyobraź sobie, że taką samą czujność musisz zachować w domu.

33156 urządzeń sieciowych – głównie routerów – zgłasza się dziś swoim właścicielom jako hacked-router-help-sos. To tylko niewielki ułamek routerów, nad którymi można w prosty sposób przejąć kontrolę. Co to oznacza dla zaatakowanych?

router i siekiera
Spowolnienie sieci
Po co ktoś miałby mnie atakować? Słyszałem to setki razy… Ciebie? Niekoniecznie – ale twój router może zostać wykorzystany do poprowadzenia ataku DDoS. I tak się dzieje z dużą częścią zaatakowanych urządzeń sieciowych. Włamywacze przekształcają je w maszyny-zombie wykonujące polecenia, najczęściej wysyłające duże ilości pakietów pod wskazany adres. Jeden z rozpowszechnionych botnetów, Mirai, osiągnął wielkość 200-300 tysięcy zainfekowanych urządzeń, jego odmiany opanowały kolejne setki tysięcy maszyn. Wykorzystano je m.in. do ataku na infrastrukturę OVH oraz firmę Dyn (dostawcy usług DNS) – na czym ucierpiała dostępność usług kilkudziesięciu najpopularniejszych serwisów na świecie.

Atak na cudzy serwer
Nie samymi DDoSami włamywacze żyją. By utrudnić namierzenie rzeczywistego źródła ataku, włamywacze podszywają się pod cudze adresy IP. Nie ma nic prostszego niż wykorzystanie w tym celu cudzego routera – całe oprogramowanie jest pod ręką, wystarczy jedna drobna zmiana w konfiguracji. Zgadnij, kto zostanie oskarżony o przeprowadzenie ataku, jeśli włamywacz skorzysta z twojego routera?

Uruchomienie własnych usług
Zdarza się to rzadko, ale nic nie stoi na przeszkodzie, by na średniej klasy routerze zainstalować węzeł TORa, klienta usługi torrent lub anonimową skrzynkę do wymiany informacji. To dość stabilne miejsce na postawienie własnych usług, a część współczesnych routerów cierpi na nadmiar wolnego miejsca (lub ma podpięte zewnętrzne dyski).

Podsłuchiwanie ruchu
Cały ruch przechodzący przez router może być podsłuchany. Dziś na szczęście większość naszej komunikacji w sieci jest szyfrowana między przeglądarką (lub klientem poczty) a serwerem, więc nie zawsze coś przyjdzie włamywaczowi z podglądania, ale być może wciąż korzystamy ze starego forum dyskusyjnego, gdzie o SSL jeszcze nikt nie pomyślał.

DNS poisoning
Ale nie samym podsłuchiwaniem włamywacz żyje. Przekierowując nasze zapytania o adres IP zewnętrznych serwerów, może przekierować naszą przeglądarkę na podstawiony serwer, wyglądający jak strona logowania do naszego ulubionego portalu, i spróbować przejąć nasze hasło. Trochę będzie miał to utrudnione przez brak możliwości zainstalowania prawidłowego certyfikatu SSL, ale część użytkowników nie zwróci uwagi na to, że wchodzi na stronę bez “kłódeczki” albo zignoruje komunikaty o błędnym certyfikacie.

Podrzucenie zainfekowanego pliku
Skoro już włamywacz może grzebać po naszym niezaszyfrowanym ruchu, nic nie stoi na przeszkodzie, byśmy zamiast kolejnego programu ściąganego z sieci, samodzielnie pobrali i zainstalowali klienta przekształcającego nasz komputer w maszynę-zombie jakiegoś botnetu, lub program wykradający nasze hasła do poczty, banku i dane portfela kryptowalut.

Dostęp do danych na lokalnych komputerach
I wreszcie najciekawsze – w końcu nasza sieć lokalna jest zaufana, chroniona podwójną ścianą ognia i nawet Emacsem przez Sendmail się do niej nie da dostać. Więc nie przejmujemy się zabezpieczaniem komputerów i serwerów dyskowych, na którym trzymamy najbardziej prywatne dane. A gdybym Ci powiedział, że mając kontrolę nad routerem, włamywacz może nie tylko spróbować wejść na nasze prywatne maszyny, ale też odpowiednio przekierować porty i udostępnić zawartość naszych dysków całemu światu?

Jak się bronić?
Sposobów obrony jest kilka, ale – jak to zwykle w internecie bywa – żaden nie jest w pełni skuteczny. Większość zaleceń jest normalną higieną korzystania z sieci, więc raczej nie będzie zaskoczeniem:

  • jeśli nie potrzebujesz dostawać się ze świata do swojej lokalnej sieci – wyłącz u operatora dostęp z internetu do twojego routera;
  • zaktualizuj router;
  • jeśli producent przestał publikować poprawki, wymień router lub zainstaluj na nim niezależne oprogramowanie typu OpenWrt;
  • regularnie sprawdzaj, czy nie pojawiły się aktualizacje do routera – niestety, większość prostych maszyn nie potrafi się zaktualizować automatycznie;
  • zabezpiecz wszystkie komputery w sieci lokalnej – nawet jeśli teoretycznie nikt z nich nie zagląda do internetu;
  • upewnij się, że twoje kamery, drukarki, dyski sieciowe i odtwarzacze audio nie przydzieliły sobie publicznego adresu IP i nie są dostępne dla każdego zainteresowanego;
  • i co jakiś czas sprawdź swój router z zewnątrz nmapem, czy nie ma otwartych jakiś dziwnych portów (jeśli nie ma, wcale nie oznacza to, że ktoś się na niego nie włamał);
  • niezwiązane bezpośrednio z atakiem na routery: wydziel osobną sieć dla urządzeń internet-of-things (kamer, oczyszczaczy powietrza itp.)

A tak przy okazji – kiedy ostatnio aktualizowałeś router?

Źródła:

  • Shodan i wyniki poszukiwania urządzeń “zgłoszonych” właścicielom jako podatne
  • Dyn cyberattack (Wikipedia)
  • Mirai (Wikipedia)
  • Mirai (kod źródłowy)
  • OpenWrt – alternatywne oprogramowanie do routera
  • Gargoyle – prostsze w konfiguracji oprogramowanie do routera

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Zawodowo zajmuje się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i co drugiego odcinka podkastu Cyber Cyber... fundacji Bezpieczna Cyberprzestrzeń.

View all posts by lmj →

5 Comments on “Co włamywacz może zrobić z twoim routerem?”

  1. w sieciach moich klientów- raz w tygodniu sprawdzam czy nie pojawił sie nowy firmware
    A ponieważ w domu mam router taki sam jakich używam w pracy to mam zawsze aktualny soft.

  2. A ja mam u siebie ruter w postaci mini-PC działającym na OpenBSD. Koszt takiego rozwiązania to cena rutera ze średniej półki. Raz na pół roku aktualizuję do najnowszej wersji.

  3. Wchodzę na stronę gdzie producent wrzuca firmware i ręcznie sprawdzam, czy pojawił się nowy plik.

    1. Dzięki.

      IMHO brak autoaktualizacji jest jednym z powodów, dla których tak mało routerów jest bezpiecznych. Niektóre mają dziury tuż po wyjęciu z pudełka, a typowy użytkownik nie ma wiedzy potrzebnej dla samodzielnej aktualizacji.

      Stąd jestem wielkim fanem robaków internetowych, które wchodzą na dziurawe routery i je łatają w imieniu ich właścicieli 😉

Dodaj komentarz