Topic: Безопасность - роутер - page 2. (Read 17163 times)

Любопытный способ проникновения из "роутерной" тематики:

Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

«Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы».

Подробнее: https://www.securitylab.ru/news/498445.php

Для взломаного роутера можно было на самом роутере ставить "полхой" DHCP-сервер, либо настраивать DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

Любителям пользовать Win XP через виртуалку через общий LAN тоже можно так проблем доставить.

Обещают, что саму уязвимость в ОС закрыли.

https://www.grc.com/x/ne.dll?bh0bkyd2

По данной ссылке можно проверить состояние портов, провести тест Universal Plug n'Play (UPnP) Internet Exposure Test. Сайт на английском, но понять можно что к чему.

Также на главной странице можно почитать интересную информацию по безопасности веб-сёрфинга (английский) https://www.grc.com/default.htm

Здесь наверное лучше дополнить - службы выключить, а те приложения которые уже прописаны прописать вручную.
Например тот же скайп, торрент и т.д - опять же отфильтруете ненужные приложения которые смотрят в инет.

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.

Хакеры открывают SMB-порты роутеров, чтобы использовать против них эксплоиты АНБ

Специалисты компании Akamai предупредили о новой вредоносной кампании EternalSilence, направленной на массовую компрометацию роутеров. Злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.

Исследователи пишут, что преступники эксплуатируют технику UPnProxy, о которой впервые стало известно в апреле 2018 года. Данный метод подразумевает эксплуатацию уязвимых UPnP-сервисов и последующую модификацию таблиц NAT (Network Address Translation). Так атакующие создают кастомые правила, позволяющие, например, обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.

Но если в апреле UPnProxy применялась для проксирования трафика, то теперь эксперты Akamai обнаружили новый вариант применения этой техники. Теперь атакующие модифицируют таблицы NAT таким образом, чтобы иметь возможность извне подключиться к SMB портам (139, 445) и устройствам, расположенным за роутером.

По подсчетам исследователей, перед подобными атаками уязвимы порядка 277 000 роутеров, и 45 113 из них уже подверглись компрометации. Так, один атакующий или одна и та же хак-группа внесли в NAT пострадавших устройств запись «galleta silenciosa». Специалисты считают, что взлом такого количество роутеров привел к компрометации множества других устройств за ними, и оценивают число пострадавших девайсов примерно в 1,7 млн.

Что именно злоумышленники делают с пострадавшими устройствами далее, не совсем ясно, однако специалисты убеждены, что дальнейшая вредоносная активность связана с использованием знаменитого эксплоита EternalBlue. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. В частности, он использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе атак малвари NotPetya.

Более того, аналитики Akamai считают, что в данной вредоносной кампании задействован также и эксплоит EternalRed – это вариация EternalBlue, предназначенная для заражения Linux-систем и работающая с Samba.

, — резюмируют исследователи.

Источник: https://xakep.ru/2018/11/29/eternalsilence/

Вам это не поможет, со своей машины вообще нельзя ничего делать

Чуть обновлю ветку - много полезной информации про настройку, проверку и действующие днс сервера можно почитать здесь
https://www.bootdev.ru/2018/04/DNS-Server-list.html
Есть скрины должно быть понятно.

Но это уже перебор. Может еще и продавца проверить, что он не сотрудник спец служб.
Ровно как и так трепетно относиться к обновлению прошивки. Качайте ее с официального сайта и на этом все.

Меры, которые описаны в постах (ссылки ниже) легко применимы и даже избыточны, но их использование не только оберегает от взлома, но и воспитывает в Вас привычку заботиться о безопасности
https://bitcointalksearch.org/topic/m.30241748
https://bitcointalksearch.org/topic/m.30819504

При условии прямых рук, конечно можно всё настроить должным образом

Можно и самому реализовать микротик на старом ПК (какой нибудь Пень 3 пойдет),скачиваем Microtik RouterOS,записываем ну скажем так на что нибудь (флэшка, диск,жесткий небольшого обьема) и вперед, инструкции по настройке и как поломать лицензию в инете есть.
Если хочется полного тоталь с извращениями тогда Pfsense - подробнее тут https://habr.com/post/257787/

На самом деле это только один из многих взломов, о которых мы даже еще не знаем. В любом случае, даже после таких процедур, мошенники не будут спать и будут думать как дальше продолжать обкрадывать народ.

Спасибо автору за тему,кому то будет полезно наперед знать,что и как.Свой роутер прошивал и настраивал сам нО!подключать  в телефонном режиме провайдер отказались секретная информация! приехали порты при мне свои прописали и все)))я думал денег возьмут,Нет! ) зачем сии выезды были!?

А что насчет перспективы сделать собственный роутер? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.

При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.

Тут точной информации никто не предоставит.
Если по порядку
1 Микротик - многофункциональный роутер который позволяет работать далеко не с одним и даже не парой днс, можно скриптом настроить проверку адреса сайта от разных днс, расширенные функции в плане безопасности, файрволл можно настроить вплоть до параноидальной реакции.Аналогично можно подключить 2 провайдера и работать с 2мя днсами провайдера с проброской к внешним днс сервисам и жесткой привязкой маршрута.Также можно вывести рабочий пк в отдельную подсеть.
Минус - сложность настройки.
2 Cisco - основной упор делают на бесперебойность работы, также позволяет реализовать отдельный влан.
Минусы - зачастую бюджетные модели режут скорость и в плане безопасности нужно самостоятельно следить за обновлениями ПО
3 Linksys - подразделение Cisco для домашнего пользования, особых отличий от обыкновенных роутеров незамеченно.
4 Zyxel - Давно зарекомендовавший себя производитель, в большинстве вланить умеет только гостевую сеть беспроводных устройств, безопасный интернет реализовывает через днс яндекса ( дальше я думаю можно нерассказывать), в плане взлома аналогичен тп-линку.

провайдер видит ресурсы, где вы сидите. Преступник это узнает и приезжает с утюгом.

инсталяторы краденных прог прописывают туда нулевые айпи по адресам обновления/проверки лицензии для этих прог. По сути это вмешательство, с прописывание ложных айпи.
поэтому заходите и проверяйте глазками, там все понятно.
(данная информация не является руководством к действию и предоставлена только в ознакомительных целях, лично я категорически осуждаю установку нелицензионного краденного ПО)

мое мнение - лучше использовать ДНС не от Гугла, а ОпенДНС, которым владеет Циско.
https://ru.wikipedia.org/wiki/OpenDNS)
или от Комодо
https://ru.wikipedia.org/wiki/Comodo#Comodo_Secure_DNS[32]
и точно не от Яндекса.

P.S. народ, есть ли рейтинг роутеров по безопасности ?
на ру-источниках находил такой список: MikroTik, Linksys и Zyxel.
Может кто владеет инфой.
И верно ли я понимаю, что сейчас следует избегать моделей, на которые можно ставить софт ?

Как вариант можно еще себя обезопасить прошив роутер альтернативной прошивкой dd-wrt или opewnwrt
Почитать с чем его едят здесь
https://ru.wikipedia.org/wiki/DD-WRT
https://ru.wikipedia.org/wiki/OpenWrt

Прошивки брать здесь
https://openwrt.org/
и здесь  https://dd-wrt.com/

Что то я так подумал и... чёрт его знает, как оно там обновляется, по шифрованному каналу или по открытому. И чем лучше админ (на сервере) техника? Лучше подписаться на новости или проверять периодически. И ставить вручную.

Конкретный пример:

Обновление первого поста (выделено красным):

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS;
• желательно, чтобы файл прошивки роутера был такой же, как файл прошивки на сайте производителя (проверять по контрольным суммам).

По-поводу прошивки - могут загрузить левую, при этом настройки в веб-конфигураторе будут правильными, но перехват траффика будет происходить.