Pages:
Author

Topic: Безопасность - роутер (Read 17245 times)

newbie
Activity: 42
Merit: 0
April 13, 2020, 09:32:48 AM
Много полезной информации, про которую провайдер не говорил, спасибо. Позже выполню некоторые пункты, чтобы больше защитить свой роутер.
copper member
Activity: 1026
Merit: 177
[btc]
Есть виды сетей, подразумевающие под себя статическое подключение по WAN. Зачастую в таких настройках, DNS вводятся так-же вручную. Всё это делается для обеспечения стабильного, надежного моста между проводниками трафика. Не важно какой он будь провайдер, у каждого провайдера есть по несколько видов сетей. Например в определенных районах могут стоять признаки Динамической сети, на других-же Статические признаки.
От роутера в этом случае, можно ожидать безопасность в качестве дополнения к той, которую предоставляет провайдер. На край, для самых паранойных можно предусмотреть вариант отказа от покупки роутеров, так как производители роутеров, имеют полное право заключать конфиденциальные договоры/контракты с конфиденциальными организациями.
member
Activity: 436
Merit: 10
Proof-of-Stake Blockchain Network
January 30, 2020, 12:34:59 PM
На моем Асус роутере есть возможность ограничить число подключаемых гаджетов вплоть по наименованиям и ни кто сторонний без моего ведома  не сможет законнектится к нему, всегда вижу количество подключенных гаджетов и их марки, а еще есть режим  на 5 Ггц.
full member
Activity: 980
Merit: 132
January 19, 2020, 10:57:33 PM
А, что там за паника по поводу вирусов-майнеров на роутерах для скрытой добычи криптовалют? Интерпол бьет тревогу, настоящая эпидемия в Азии.

Вот вам и микротик, дай доступ к терминалу и напишут еще и не такое.
Хорошо что он только майнил, а не похищал еще и пароли, хотя это мы скорее всего не узнаем.
legendary
Activity: 1106
Merit: 1006
I ♥ BitcoinTalk
January 18, 2020, 03:17:11 PM
А, что там за паника по поводу вирусов-майнеров на роутерах для скрытой добычи криптовалют? Интерпол бьет тревогу, настоящая эпидемия в Азии.
legendary
Activity: 2044
Merit: 1231
January 17, 2020, 11:12:15 PM
Стройте защиту исходя из того, что на роутер надежды 100% нет. От роутера до сайта куча всякого сброда находится. Не роутер - так провайдер. Не провайдер, так мальчик из Москвы приедет и под видом техника покопается в проводах в ящике на лестничной площадке. Про шпионские закладки от производителя в железе для спецслужб я вообще молчу - рано или поздно инфу про них начинают продавать в даркнете.

Стройте защиту исходя из того, что на роутер надежды 100% нет. От роутера до сайта куча всякого сброда находится. Не роутер - так провайдер. Не провайдер, так мальчик из Москвы приедет и под видом техника покопается в проводах в ящике на лестничной площадке. Про шпионские закладки от производителя в железе для спецслужб я вообще молчу - рано или поздно инфу про них начинают продавать в даркнете.

...
Зато китайская компания...

По закладкам в прошивках китайские коммунисты самые окуевшие, недавно видел китайский ноут, в котором "под нужды железа" отожрали целых без малого 1,5Гб оперативы из доступной 8Гб. Про китайские смартфоны с троянами с завода легенды ходят.
full member
Activity: 980
Merit: 132
January 17, 2020, 11:00:42 PM
В общем-то нужно покупать только роутеры нормальных брендов, tp link например (у нас в городе только такие и есть), но не с Китая. Ну и перепрошить потом.

А разница в чем? Я имею ввиду из китая он или нет если Вы хотите их прошивать.
Я например давно не доверяю бренду tp-link, так как мне попадалось очень брака от этой компании.
Зато китайская компания tenda мне очень понравилась своей простотой настройки и качеством маршрутизатора.
Так же нравятся роутеры от keenetic(zyxel) и mikrotic(но эти роутеры нужно уметь правильно настроить).
member
Activity: 326
Merit: 10
January 17, 2020, 03:59:58 AM
В общем-то нужно покупать только роутеры нормальных брендов, tp link например (у нас в городе только такие и есть), но не с Китая. Ну и перепрошить потом.
sr. member
Activity: 742
Merit: 250
January 17, 2020, 03:45:21 AM
уже был случай подмены днс серверов у гугла, когда пользователи отправлялись на фишингувую страницу MEWa. подмену заметили буквально через пару часов - но многим хватило этого для облегчения кошельков.

Вроде летом это было,у меня ничего не пропало но слышал многих тогда хорошо обули,у меня тоже роутер от провайдера,никогда об этом не задумывался,надо будет внимательно приглядеться.
sr. member
Activity: 1092
Merit: 273
ONLY BTC- https://github.com/cgewecke
October 02, 2019, 03:42:58 AM
Сейчас в дарквебе уже не удивишь никого взломом роутеров, любой роутер взламывается менее чем за час с правильными руками и оборудованием.
Сейчас переход уже на маршрутизаторы высокого уровня взлом которых приведёт к тому что ваш роутер не надо будет взламывать так как человек посередине будет на уровне поставщика и вы даже не заметите что весь трафик у вас могут отслеживать.
legendary
Activity: 2044
Merit: 1231
September 26, 2019, 07:49:23 AM
Группировки Magecart нацелились на маршрутизаторы промышленного класса


До недавнего времени злоумышленники заражали скиммерами только сайты, но теперь они нацелились на маршрутизаторы.
Объединенные под названием Magecart киберпреступные группировки совершенствуют свои атаки таким образом, что их становится все сложнее обнаруживать.
Группировки Magecart занимаются так называемым web-скиммингом – внедряют в сайты интернет-магазинов вредоносный код, похищающий данные банковских карт пользователей. До недавнего времени злоумышленники заражали скрытым в файлах JavaScript или PHP вредоносным ПО только сайты. Однако теперь их атаки перешли на новый уровень, и вместо сайтов киберпреступники стали внедрять код в маршрутизаторы.
Если говорить точнее, группировки Magecart нацелились на маршрутизаторы с функциональностью уровня Layer 7 (L7) – промышленные высокомощные устройства, устанавливаемые в отелях, торговых центрах, аэропортах, правительственных сетях, общественных местах и пр. Данные маршрутизаторы работают как и все остальные, но также способны управлять трафиком на седьмом уровне (уровне приложений) сетевой модели OSI. То есть, они могут реагировать на трафик, основываясь не на одном только IP-адресе, а также на файлах cookie, доменных именах, типах браузера и т.д.

Как сообщают специалисты из IBM X-Force Incident Response and Intelligence Services (IRIS), компрометация маршрутизаторов промышленного класса позволит злоумышленникам использовать их способность манипулировать трафиком для внедрения вредоносных скриптов в активные сеансы браузера.

Выявленные исследователями скрипты предназначены специально для похищения и отправки на удаленный сервер данных банковских карт. Скрипты были обнаружены после того, как злоумышленники загрузили их на VirusTotal, вероятно, с целью проверить, детектируются ли они антивирусными решениями.
Используемые домены и вредоносные коды указывают на то, что новую технику атак тестирует группировка Magecart 5, являющаяся одной из самых «продвинутых» в семействе Magecart.

Источник: https://www.securitylab.ru/news/501381.php
member
Activity: 188
Merit: 67
Тут наверное будет более правильно после подмены DNS оно будет выдавать ip фишинговых серверов кибер преступников.
legendary
Activity: 2044
Merit: 1231

"Бразильские пользователи становятся жертвами необычных кибератак
 
Злоумышленники взламывают маршрутизаторы и меняют настройки DNS.
Уже почти год бразильские пользователи страдают от кибератак, нигде больше в мире не встречающихся. Атаки проходят почти незаметно и могут привести к прямым финансовым потерям.
То, что происходит сейчас в Бразилии, должно стать предупреждающим сигналом для интернет-провайдеров и пользователей по всему миру, уверены эксперты. По их мнению, провайдеры и пользователи должны успеть принять соответствующие меры предосторожности, пока атаки не вышли за пределы Бразилии.
Вышеупомянутые атаки впервые были зафиксированы летом прошлого года специалистами компании Radware. По словам ИБ-экспертов, на то время неизвестные киберпреступники взломали порядка 100 тыс. домашних маршрутизаторов и модифицировали настройки DNS таким образом, чтобы при попытке воспользоваться сервисом online-банкинга жертва перенаправлялась на точную копию настоящего сайта.
По данным исследователей из Ixia, злоумышленники использовали не только копии сайтов бразильских банков, но также подделывали такие ресурсы, как Netflix, Google и PayPal, с целью похищения учетных данных пользователей.
Прошел год, но атаки не прекратились, отмечают эксперты Avast. Напротив, в первой половине 2019 года злоумышленники взломали около 18 тыс. маршрутизаторов в Бразилии и изменили их настройки DNS. Более того, методы атаки усложнились, а количество причастных к ним киберпреступников увеличилось.
По данным Avast, чаще всего пользователи становятся жертвами злоумышленников при посещении, спортивных сайтов, стриминговых видеосервисов и порталов «для взрослых». Размещенная на таких ресурсов реклама содержит вредоносный код, способный определять IP-адрес и модель маршрутизатора и подбирать к ним учетные данные по умолчанию из прилагающегося списка. Этот процесс занимает некоторое время, но пользователи обычно ничего не замечают, поскольку заняты просмотром видео.
Если взлом прошел успешно, вредоносная реклама внедряет дополнительный код, меняющий IP-адреса легитимных DNS-серверов на IP-адреса серверов, подконтрольных киберпреступникам. Когда в следующий раз устройство пользователя подключится к маршрутизатору, вместо полученных от провайдера IP-адресов нужных DNS-серверов оно получит IP-адреса серверов киберпреступников."


Источник: https://www.securitylab.ru/news/499963.php
jr. member
Activity: 380
Merit: 1
Спасибо за полезную информацию.Уже пора в школах обучать всех информационной безопасности!!
member
Activity: 188
Merit: 67
Опять подниму тему касательно роутеров микротик - двольно полезно будет знать что в этих роутерах есть функция логгирования.
Ничего настраивать ненужно (хотя и можно).
Если у вас присходит что то непонятное напр. брутфорс роутера - то это можно увидеть в логах и отключить или заблокировать брутфорсера.
member
Activity: 188
Merit: 67
Или еще круче - поднять свой DHCP с DNS (можно даже готовую виртуалку скачать) и в момент когда отвалится линк провайдера (тот который раздающий L3 на чердаке дома) раздать свои настройки. И вуа ля весь трафик у вас - т.к в основном настройки приезжают по привязанному ип к маку.
sr. member
Activity: 550
Merit: 272
Эта уязвимость уже давно известна - проблема заключается в том что большинство пользователей использует одинаковый пароль для входа на роутер и беспроводную сеть. Путем нехитрых манипуляций днс можно менять пачками.

Зачем так усложнять? Можно просто устроиться на работу в Ростелеком техником по подключению интернета и менять ДНС пачками не отходя от лоха клиента.
member
Activity: 188
Merit: 67
Эта уязвимость уже давно известна - проблема заключается в том что большинство пользователей использует одинаковый пароль для входа на роутер и беспроводную сеть. Путем нехитрых манипуляций днс можно менять пачками.
sr. member
Activity: 550
Merit: 272
Через без малого полтора года дошло до журналистов ("как до жирафа").

Киберпреступники переадресовывают трафик маршрутизаторов D-Link на вредоносные сайты

Для компрометации устройств злоумышленники используют известные уязвимости в прошивке.

В последние три месяца некая киберпреступная группировка взламывает домашние маршрутизаторы (в основном речь идет о моделях D-Link), меняет настройки DNS-сервера и перенаправляет трафик на вредоносные web-сайты. Для компрометации устройств злоумышленники используют известные уязвимости в прошивке...


Читать далее: https://www.securitylab.ru/news/498650.php

Техника с Ростелекома в новости явно не хватает, эдакая вишенка на торте получилась бы.
member
Activity: 188
Merit: 67
Обновлю ветку - для владельцев роутеров Mikrotik.
На данный момент активно растет уязвимость CVE-2018-14847, ботнет hajime атакует роутеры по порту 8291 который используется для утилиты Winbox.
Атаке подвержены роутеры с версией ПО 6.38.4 и ниже. Так что незыбываем обновлять ПО своих роутеров.
Более подробно можно почитать здесь  https://xakep.ru/2018/03/29/hajime-hunts-mikrotik/ и здесь https://www.kaspersky.ru/about/press-releases/2017_hajime-the-mysterious-evolving-botnet
Pages:
Jump to: