Как проверить маршрутизатор на наличие вредоносных программ
Безопасность потребительского маршрутизатора довольно плохая. Злоумышленники пользуются преимуществами неадекватных производителей и атакуют большое количество маршрутизаторов. Вот как проверить, не был ли ваш роутер скомпрометирован.
Рынок домашних маршрутизаторов во многом похож на рынок смартфонов Android. Производители производят большое количество различных устройств и не удосуживаются обновлять их, оставляя их открытыми для атак.
Как ваш маршрутизатор может присоединиться к темной стороне
Злоумышленники часто пытаются изменить настройку DNS-сервера на вашем маршрутизаторе, направив его на вредоносный DNS-сервер. Когда вы пытаетесь подключиться к веб-сайту - например, веб-сайту вашего банка - злонамеренный DNS-сервер вместо этого говорит вам перейти на фишинговый сайт. Это может все еще сказать bankofamerica.com в вашей адресной строке, но вы будете на фишинговом сайте. Вредоносный DNS-сервер не обязательно отвечает на все запросы. Он может просто превысить время ожидания большинства запросов, а затем перенаправить запросы на DNS-сервер вашего интернет-провайдера по умолчанию. Необычно медленные DNS-запросы - признак того, что вы можете заразиться.
Люди с острыми глазами могут заметить, что на таком фишинговом сайте не будет шифрования HTTPS, но многие этого не заметят. Атаки с использованием SSL могут даже удалить шифрование при передаче.
Злоумышленники также могут просто вставлять рекламные объявления, перенаправлять результаты поиска или пытаться установить загрузку с диска. Они могут собирать запросы на Google Analytics или другие сценарии практически на каждом веб-сайте и перенаправлять их на сервер, предоставляя сценарий, который вместо этого вводит рекламу. Если вы видите порнографические рекламу на законных сайт как How-To Geek или Нью-Йорк Таймс, вы почти наверняка заражены с чем-то - либо на маршрутизаторе или самом компьютере.
Многие атаки используют атаки подделки межсайтовых запросов (CSRF). Злоумышленник внедряет вредоносный JavaScript на веб-страницу, и этот JavaScript пытается загрузить веб-страницу администрирования маршрутизатора и изменить настройки. Поскольку JavaScript работает на устройстве внутри вашей локальной сети, код может получить доступ к веб-интерфейсу, доступному только внутри вашей сети..
У некоторых маршрутизаторов могут быть активированы интерфейсы удаленного администрирования, а также имена пользователей и пароли по умолчанию - боты могут сканировать такие маршрутизаторы в Интернете и получать доступ. Другие эксплойты могут воспользоваться другими проблемами маршрутизатора. UPnP кажется уязвимым на многих маршрутизаторах, например.
Как проверить
Единственным признаком того, что маршрутизатор был скомпрометирован, является то, что его DNS-сервер был изменен. Вы захотите посетить веб-интерфейс вашего маршрутизатора и проверить его настройки DNS-сервера..
Во-первых, вам нужно получить доступ к веб-странице настройки вашего маршрутизатора. Проверьте адрес шлюза сетевого подключения или обратитесь к документации маршрутизатора, чтобы узнать, как.
При необходимости войдите в систему с именем пользователя и паролем вашего маршрутизатора. Найдите где-нибудь параметр «DNS», часто на экране настроек WAN или подключения к Интернету. Если он установлен на «Автоматически», это нормально - он получает его от вашего интернет-провайдера. Если для этого параметра установлено значение «Вручную» и в него введены настраиваемые DNS-серверы, это может стать проблемой..
Это не проблема, если вы настроили свой маршрутизатор на использование хороших альтернативных DNS-серверов - например, 8.8.8.8 и 8.8.4.4 для Google DNS или 208.67.222.222 и 208.67.220.220 для OpenDNS. Но если там есть DNS-серверы, которые вы не можете распознать, это признак того, что вредоносное ПО изменило ваш маршрутизатор для использования DNS-серверов. Если вы сомневаетесь, выполните веб-поиск адресов DNS-серверов и посмотрите, являются ли они законными или нет. Что-то вроде «0.0.0.0» хорошо и часто означает, что поле пусто, а маршрутизатор автоматически получает DNS-сервер.
Эксперты советуют проверять этот параметр время от времени, чтобы увидеть, был ли ваш роутер скомпрометирован или нет.
Помогите, есть вредоносный DNS-сервер!
Если здесь настроен злонамеренный DNS-сервер, вы можете отключить его и указать маршрутизатору использовать автоматический DNS-сервер от вашего интернет-провайдера или ввести адреса законных DNS-серверов, таких как Google DNS или OpenDNS, здесь.
Если здесь введен злонамеренный DNS-сервер, вы можете стереть все настройки вашего маршрутизатора и сбросить его до заводских настроек перед повторной настройкой - просто для безопасности. Затем используйте приведенные ниже приемы, чтобы защитить маршрутизатор от дальнейших атак..
Защищаем ваш роутер от атак
Вы можете, конечно, защитить свой маршрутизатор от этих атак - несколько. Если у маршрутизатора есть дыры в безопасности, которые производитель не исправил, вы не сможете полностью обезопасить его.
- Установите обновления прошивки: Убедитесь, что установлена последняя версия прошивки для вашего роутера. Включите автоматическое обновление прошивки, если маршрутизатор предлагает его - к сожалению, большинство маршрутизаторов этого не делают. Это по крайней мере гарантирует, что вы защищены от любых недостатков, которые были исправлены.
- Отключить удаленный доступ: Отключить удаленный доступ к веб-страницам администрирования маршрутизатора.
- Изменить пароль: Измените пароль на веб-интерфейс администрирования маршрутизатора, чтобы злоумышленники не могли просто войти в систему по умолчанию..
- Выключить UPnP: UPnP был особенно уязвим. Даже если UPnP не уязвим на вашем маршрутизаторе, вредоносная программа, работающая где-то внутри вашей локальной сети, может использовать UPnP для изменения вашего DNS-сервера. Вот как работает UPnP - он доверяет всем запросам, поступающим из вашей локальной сети..
DNSSEC должен обеспечивать дополнительную безопасность, но здесь это не панацея. В реальном мире каждая клиентская операционная система просто доверяет настроенному DNS-серверу. Злонамеренный DNS-сервер может утверждать, что запись DNS не содержит информации DNSSEC или что она действительно содержит информацию DNSSEC, а передаваемый IP-адрес является реальным..
Изображение предоставлено: nrkbeta на Flickr