Ataki na e-bankowość poprzez przejmowanie kontroli nad domowymi routerami - jak im zapobiegać

18-03-2015, 23:59

W drugim tygodniu marca eksperci z zespołu CERT Polska poinformowali o nowej fali ataków na domowe routery. Zobaczmy, jakie mogą być konsekwencje utraty kontroli nad takim urządzeniem, jak wykryć, czy jest się ofiarą ataku i co zrobić, żeby się przed nim zabezpieczyć.

Przejęcie kontroli nad routerem ofiary może skutkować naruszeniem prywatności (przestępca jest w stanie sprofilować użytkownika na podstawie odwiedzanych przez niego stron). Jeszcze groźniejsza może być zmiana ustawień serwerów DNS, nie mówiąc już o instalacji złośliwego oprogramowania na zaatakowanym sprzęcie.

Na czym polega atak

Istnieje kilka scenariuszy pozwalających przestępcom uzyskać kontrolę nad urządzeniem ofiary. Jeżeli router daje dostęp do interfejsu zarządzania przez połączenia Telnet, WWW albo SSH z internetu, atakujący od razu mogą spróbować złamać do niego hasło. Względne bezpieczeństwo zapewnia wyłączenie możliwości konfigurowania routera „z zewnątrz”, warto jednak pamiętać, że odgadnięcie lokalnego adresu IP nie jest wielką sztuką – większość urządzeń tego typu trzyma się standardowej adresacji z zakresu 192.168.0.0/16 lub 10.0.0.0/8. Skrypt odgadujący adres IP routera może zostać umieszczony w kodzie źródłowym strony, na którą udało się zwabić ofiarę. Taki przypadek odnotowała w ubiegłym roku firma Sucuri, a parę tygodni temu podobny scenariusz ataku przedstawił Proofpoint.

Wielu użytkowników zapomina o zmianie domyślnego hasła. Starając się przejąć kontrolę nad routerem, przestępcy sięgną zapewne po jedną z dostępnych w internecie baz danych, w której zgromadzono domyślne loginy i hasła stosowane przez różnych producentów (przykładowa baza). Odwiedzona przez ofiarę strona może zawierać kilkadziesiąt pływających ramek (IFrame) próbujących zgadywać hasła na predefiniowanych adresach IP routera – mówimy o sytuacji, gdy możliwość konfigurowania routera spoza sieci lokalnej została zablokowana. Dostępność panelu zarządzania od strony internetu ułatwia atakującym zadanie.

W takim przypadku, jeśli okaże się, że hasło zostało zmienione, przestępcy mogą jeszcze spróbować klasycznego ataku brute force, czyli sukcesywnego sprawdzania wszystkich możliwych kombinacji w poszukiwaniu właściwego ciągu znaków. W internecie nie brakuje też „słowników” zawierających najczęściej używane hasła.

Dziura na dziurze dziurą pogania

Inną metodą przejęcia kontroli nad urządzeniem ofiary może być wykorzystanie odkrytych przez ekspertów podatności. Chociaż producenci starają się je regularnie łatać, wielu użytkowników tanich routerów domowych nie zdaje sobie sprawy z możliwości aktualizowania firmware’u i w ogóle tego nie robi. Wykorzystywane przez nich urządzenia takich firm, jak TP-Link, D-Link, ASUS, NetGear czy ZTE, są pełne błędów, które mogą przestępcom pomóc w uzyskaniu dostępu do interfejsu zarządzania.

Przykładowo, na początku marca dwóch niezależnych od siebie badaczy odkryło kilka luk w licznych modelach routerów D-Linka i TRENDnetu. Najpoważniejsza z nich umożliwiała wstrzykiwanie dowolnych poleceń w tandemie z komendą ping, która służy do diagnozowania połączeń sieciowych. Nieco wcześniej ujawniono błąd w protokole komunikacyjnym SOAP używanym przez routery firmy NetGear. Atakujący mogli dzięki niemu pozyskać hasło administratora i inne poufne dane.

Najważniejszy problem, czyli zmiana konfiguracji DNS

Opisane powyżej zabiegi służą najczęściej jednemu celowi: po przejęciu kontroli nad podatnym urządzeniem przestępcy zmieniają ustawienia DNS, przekierowując ruch na kontrolowane przez siebie serwery. W rezultacie uzyskują nie tylko dostęp do przesyłanych danych, ale także możliwość ich modyfikacji w czasie rzeczywistym. Taki atak nosi nazwę man-in-the-middle (z ang. człowiek pośrodku).

Podstawione serwery DNS działają tak samo jak legalne z tą tylko różnicą, że fałszują odpowiedzi dla określonych domen bankowych. Przy próbie odwiedzenia którejś z nich użytkownik jest kierowany na serwer pośredniczący, na którym mieści się podrobiona strona, do złudzenia przypominająca oryginalną. Złośliwy serwer łączy się z bankiem, ale – jak podaje CERT Polska – nie bezpośrednio, tylko przez któryś z przejętych routerów. Takie działanie utrudnia ekspertom wykrycie ataku.

Nikomu nie trzeba chyba tłumaczyć, że podanie jakichkolwiek danych na sfałszowanej stronie skutkuje ich przekazaniem w ręce przestępców, co może prowadzić do kradzieży pieniędzy z konta ofiary. Atak obejmuje wszystkich użytkowników danej sieci lokalnej, którzy pobierają dynamicznie ustawienia DNS z routera, i to niezależnie od wykorzystywanych przez nich systemów operacyjnych.

Najpewniejszą metodą weryfikacji, czy nie ulegliśmy temu atakowi, jest sprawdzenie adresów serwerów DNS w panelu konfiguracyjnym routera (jak się do niego dostać, dowiemy się z instrukcji obsługi urządzenia). Jeżeli coś wzbudzi nasze wątpliwości, należy przywrócić router do ustawień fabrycznych. Konfigurując go na nowo, warto zastosować porady zamieszczone na końcu tego artykułu. Można też skorzystać z narzędzi online stworzonych przez F-Secure i Orange Polska, które pozwalają sprawdzić, czy wykorzystywany przez nas router jest podatny na atak.

Jak bronić się przed atakiem

Obrona przed opisanym zagrożeniem jest dosyć prosta – wystarczy przestrzegać kilku podstawowych zasad.

  1. W trakcie pierwszej konfiguracji routera należy pamiętać o zmianie domyślnych danych logowania do panelu. Jeżeli jest taka opcja, to warto włączyć ochronę przed zgadywaniem hasła.

  2. Kolejnym krokiem jest zablokowanie możliwości zarządzania routerem spoza sieci lokalnej. Szczegółowy opis tej czynności powinien znajdować się w instrukcji obsługi urządzenia.

  3. Warto pamiętać, że routery nie aktualizują swego oprogramowania (firmware’u) automatycznie. Należy ręcznie sprawdzać dostępność poprawek na stronie producenta i instalować je zgodnie z instrukcją.

  4. Można też rozważyć wgranie na router alternatywnego oprogramowania, takiego jak OpenWRT albo Tomato.

  5. Innym rozwiązaniem jest skorzystanie ze statycznie przypisanych serwerów DNS, udostępnianych przez operatora lub otwartych (np. należących do firmy Google 8.8.8.8, 8.8.4.4).

  6. Używaną przez nas przeglądarkę należy zaopatrzyć we wtyczkę NoScript, która pozwala zablokować generowanie żądań do sieci lokalnej z poziomu publicznej strony internetowej. Można tego dokonać, wybierając w ustawieniach zakładkę Advanced | ABE.

  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031