Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
dawniej tego nie było.

http://pclab.pl/news56372.html

W połowie stycznia podaliśmy listę modeli routerów Wi-Fi, które są
podatne na ataki, a co za tym idzie - przez obecne w nich dziury dostęp
do urządzenia mogą uzyskać niepowołane osoby. Sprawa jest o tyle
poważna, że już zanotowano przypadki, w których ofiary utraciły niemałe
pieniądze. Jak się zabezpieczyć przed tego typu atakami?

Routery popularnych producentów podatne na ataki

Serwis Niebezpiecznik.pl poruszył kolejny raz temat dziurawych routerów
po tym, jak jeden z czytelników zwrócił uwagę na ten problem, przez
który utracił w mBanku 16 tysięcy złotych. Jak można przeczytać w
wiadomości udostępnionej na wspomnianym portalu, ,,przelew został
wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank),
ale i jednocześnie natychmiast został przelany na kolejne numery kont
(osób, które jak się okazało, też były ofiarami)." Jak się później
okazało, przyczyną był router AirLive WT-2000ARM, który... znalazł się na
opublikowanej dwa tygodnie temu rozpisce. Przestępcy dostali się do
urządzenia i zmienili DNS-y. Przed logowaniem do banku użytkownik nie
mógł dostać się na najnowszą wersję strony, a niepokojący okazał się nie
tyle brak ,,kłódki" w pasku adresu, co sam adres (ssl-.www.mbank.com.pl).

Jak przedstawia Niebezpiecznik.pl, atak polega najpierw na odnalezieniu
wrażliwych na ten proceder routerów, potem przestępca próbuje dostać się
za wszelką cenę do kopii zapasowej konfiguracji danego urządzenia.
Umożliwia to firmware ZyNOS obecny m.in. we wspomnianym AirLive
WT-2000ARM czy D-Link DSL-2640R albo Pentagram Cerberus P 6331-42. Jeśli
wierzyć danym udostępnionym przez rodzimy serwis, aż przeszło milion
routerów w Polsce może być dziurawych. Przejęcie kontroli nad routerem
oznacza, że atakujący mogą podmienić strony, np. każdego banku i
,,odczytać" dane, jakimi użytkownicy posługują się przy logowaniu. Warto
więc przed wykonaniem tej czynności sprawdzać, czy adres witryny
internetowej rzeczywiście się zgadza.

Przykładowy "dziurawy" router

Źródło podaje, że transfer środków bez potrzeby SMS-owego potwierdzenia
przelewów w mBanku był możliwy dzięki socjotechnice, a nie błędowi
logicznemu odnotowanemu wcześniej z kolei w innym banku. Metoda jest
prosta i, jak widać, łapie się na nią wielu - atakujący spróbował
przekonać użytkownika konta do ustalenia odbiorcy zdefiniowanego, a co
za tym idzie - wykonanie przelewu nie wymaga potwierdzenia SMS-em (o ile
tak właśnie ustalimy, ale tutaj w grę wchodziła tylko ta opcja). Potem
pieniądze mogły śmiało wypłynąć z rachunku...

Jak się zabezpieczyć przed tymi atakami? Przede wszystkim zablokować
,,dostęp do panelu administracyjnego routera od strony internetu", a żeby
sprawdzić czy taka opcja jest dostępna, można wykorzystać chociażby
skaner Orange, sprawdzający podatność routerów na ataki omówione przez
Niebezpiecznik.pl. Kolejnym sposobem może być ręczne wpisanie
odpowiednich adresów serwerów w pececie tak, aby ten nie ściągał po
połączeniu się z siecią ustawień DNS-ów z routera. To jednak nie daje
pełnej gwarancji, ale zdecydowanie utrudnia dostęp atakującym do
dziurawych routerów.

--
animka