Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
dawniej tego nie było.

http://pclab.pl/news56372.html

W połowie stycznia podaliśmy listę modeli routerów Wi-Fi, które są
podatne na ataki, a co za tym idzie - przez obecne w nich dziury dostęp
do urządzenia mogą uzyskać niepowołane osoby. Sprawa jest o tyle
poważna, że już zanotowano przypadki, w których ofiary utraciły niemałe
pieniądze. Jak się zabezpieczyć przed tego typu atakami?

Routery popularnych producentów podatne na ataki

Serwis Niebezpiecznik.pl poruszył kolejny raz temat dziurawych routerów
po tym, jak jeden z czytelników zwrócił uwagę na ten problem, przez
który utracił w mBanku 16 tysięcy złotych. Jak można przeczytać w
wiadomości udostępnionej na wspomnianym portalu, ,,przelew został
wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank),
ale i jednocześnie natychmiast został przelany na kolejne numery kont
(osób, które jak się okazało, też były ofiarami)." Jak się później
okazało, przyczyną był router AirLive WT-2000ARM, który... znalazł się na
opublikowanej dwa tygodnie temu rozpisce. Przestępcy dostali się do
urządzenia i zmienili DNS-y. Przed logowaniem do banku użytkownik nie
mógł dostać się na najnowszą wersję strony, a niepokojący okazał się nie
tyle brak ,,kłódki" w pasku adresu, co sam adres (ssl-.www.mbank.com.pl).

Jak przedstawia Niebezpiecznik.pl, atak polega najpierw na odnalezieniu
wrażliwych na ten proceder routerów, potem przestępca próbuje dostać się
za wszelką cenę do kopii zapasowej konfiguracji danego urządzenia.
Umożliwia to firmware ZyNOS obecny m.in. we wspomnianym AirLive
WT-2000ARM czy D-Link DSL-2640R albo Pentagram Cerberus P 6331-42. Jeśli
wierzyć danym udostępnionym przez rodzimy serwis, aż przeszło milion
routerów w Polsce może być dziurawych. Przejęcie kontroli nad routerem
oznacza, że atakujący mogą podmienić strony, np. każdego banku i
,,odczytać" dane, jakimi użytkownicy posługują się przy logowaniu. Warto
więc przed wykonaniem tej czynności sprawdzać, czy adres witryny
internetowej rzeczywiście się zgadza.

Przykładowy "dziurawy" router

Źródło podaje, że transfer środków bez potrzeby SMS-owego potwierdzenia
przelewów w mBanku był możliwy dzięki socjotechnice, a nie błędowi
logicznemu odnotowanemu wcześniej z kolei w innym banku. Metoda jest
prosta i, jak widać, łapie się na nią wielu - atakujący spróbował
przekonać użytkownika konta do ustalenia odbiorcy zdefiniowanego, a co
za tym idzie - wykonanie przelewu nie wymaga potwierdzenia SMS-em (o ile
tak właśnie ustalimy, ale tutaj w grę wchodziła tylko ta opcja). Potem
pieniądze mogły śmiało wypłynąć z rachunku...

Jak się zabezpieczyć przed tymi atakami? Przede wszystkim zablokować
,,dostęp do panelu administracyjnego routera od strony internetu", a żeby
sprawdzić czy taka opcja jest dostępna, można wykorzystać chociażby
skaner Orange, sprawdzający podatność routerów na ataki omówione przez
Niebezpiecznik.pl. Kolejnym sposobem może być ręczne wpisanie
odpowiednich adresów serwerów w pececie tak, aby ten nie ściągał po
połączeniu się z siecią ustawień DNS-ów z routera. To jednak nie daje
pełnej gwarancji, ale zdecydowanie utrudnia dostęp atakującym do
dziurawych routerów.

--
animka

do góry

W dniu 2014-02-05 23:47, animka pisze:
> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
> dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
> dawniej tego nie było.
A sraty pierdaty :) pewnie ktos mial zewnetrzne ip i haslo do routera
admin/admin z wlaczonym remote managment pewnie po jakims porcie przez
http lub otwarty dostep po ssh....z nieba to nie spadlo. Bez chec.


--
Pozdrawiam
Krzysiek

do góry

On 05/02/2014 23:24, Tasiorsa wrote:
> W dniu 2014-02-05 23:47, animka pisze:
>> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
>> dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
>> dawniej tego nie było.
> A sraty pierdaty :) pewnie ktos mial zewnetrzne ip i haslo do routera
> admin/admin z wlaczonym remote managment pewnie po jakims porcie przez
> http lub otwarty dostep po ssh....z nieba to nie spadlo. Bez chec.

No wlasnie haslo nie bylo potrzebne, ot co. Widac, ze nie czytales.

--
Pozdr
G

do góry

W dniu 06-02-2014 00:24, Tasiorsa pisze:
> W dniu 2014-02-05 23:47, animka pisze:
>> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
>> dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
>> dawniej tego nie było.
> A sraty pierdaty :) pewnie ktos mial zewnetrzne ip i haslo do routera
> admin/admin z wlaczonym remote managment pewnie po jakims porcie przez
> http lub otwarty dostep po ssh....z nieba to nie spadlo. Bez chec.
>
>
Nie do konca tak
Wystarczy przeczytac
http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-
mial-dziurawy-router-prawie-12-miliona-polakow-moze-
byc-podatnych-na-ten-atak/

--
Krzysztof Kulesza

do góry

Moja babcia trzymała pieniądze w telewizorze, nikt by nie wiedział, ale panowie przy
przeprowadzce się ździwili.
Jesteś babcią?
Jak to mówią, Animko, lepszy jeden twardy drut od tuzina miękkich antenek.
Umiesz na drutach?


-----
> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest dziurawy.

do góry

On 2014-02-05 23:47, animka wrote:

> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
> dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
> dawniej tego nie było.

Nie chcialbym straszyc, ale to niejednokrotnie przejaw grzebania hakiem
przez jakiegos hakera. Charakterystyczne skrobanie po sciezkach. Takie
terkotanie, chrobot, rumor przechodzacy w rwetes.





--

memento lorem ipsum

do góry

Dnia 2014-02-06 07:24, Użytkownik Krzysztof Kulesza napisał:

>>> Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
>>> dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
>>> dawniej tego nie było.
>> A sraty pierdaty :) pewnie ktos mial zewnetrzne ip i haslo do routera
>> admin/admin z wlaczonym remote managment pewnie po jakims porcie przez
>> http lub otwarty dostep po ssh....z nieba to nie spadlo. Bez chec.
>>
>>
> Nie do konca tak
> Wystarczy przeczytac
> http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-
mial-dziurawy-router-prawie-12-miliona-polakow-moze-
byc-podatnych-na-ten-atak/

I w którym miejscy doczytałeś że to router mu zdefiniował
płatność zdefiniowaną nie wymagającą potwierdzenia kodem z
SMSa czy jakiejś tablicy kodów.
Dla niezorientowanych ten idiota w pancernych drzwiach z trzema zamkami
kazał zrobić dziurę pół metra na pół metra, zakrył powieszonym
kocem i jest zdziwiony że poza kotem wszedł też złodziej.


Pozdrawiam

do góry

W dniu 2014-02-06 13:51, RadoslawF pisze:

>> Nie do konca tak
>> Wystarczy przeczytac
>> http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-
mial-dziurawy-router-prawie-12-miliona-polakow-moze-
byc-podatnych-na-ten-atak/
>
>
> I w którym miejscy doczytałeś że to router mu zdefiniował
> płatność zdefiniowaną nie wymagającą potwierdzenia kodem z
> SMSa czy jakiejś tablicy kodów.
> Dla niezorientowanych ten idiota w pancernych drzwiach z trzema zamkami
> kazał zrobić dziurę pół metra na pół metra, zakrył powieszonym
> kocem i jest zdziwiony że poza kotem wszedł też złodziej.
>
>
> Pozdrawiam

No właśnie, to nie wina routera tylko durnego właściciela.
Powielanie bzdurnych wiadomości i tyle, gdyby to było takie proste już
większość posiadaczy kont to golasy.Gość szuka dziury w całym, żeby
odzyskać kasę, ale niestety to wyłącznie jego wina.
Pozdrawiam

do góry

Dawid wrote:

> No właśnie, to nie wina routera tylko durnego właściciela.
> Powielanie bzdurnych wiadomości i tyle, gdyby to było takie proste już
> większość posiadaczy kont to golasy.Gość szuka dziury w całym, żeby
> odzyskać kasę, ale niestety to wyłącznie jego wina.

Jeżeli router ma fabrycznie ustawiony dostęp zdalny do panelu
zarządzania od strony WAN, to jest nie tylko dyletanctwo usera, ale
także producenta routera.

do góry

W dniu 2014-02-06 15:13, Poldek pisze:
> Dawid wrote:
>
>> No właśnie, to nie wina routera tylko durnego właściciela.
>> Powielanie bzdurnych wiadomości i tyle, gdyby to było takie proste już
>> większość posiadaczy kont to golasy.Gość szuka dziury w całym, żeby
>> odzyskać kasę, ale niestety to wyłącznie jego wina.
>
> Jeżeli router ma fabrycznie ustawiony dostęp zdalny do panelu
> zarządzania od strony WAN, to jest nie tylko dyletanctwo usera, ale
> także producenta routera.
>
Ale ten router sam z siebie przelewu nie zatwierdzi, nie poda hasła i
nie podrzuci złodziejowi tokena.

do góry