Názory k článku
Útok na routery se objevil i v Česku
-
Popis toho útoku http://csirt.cz/page/2093/ a http://blog.nic.cz/2014/02/24/v-polsku-se-objevil-novy-a-obzvlast-zaludny-utok-na-domaci-uzivatele/ a nějaké senzaci nebo vážném nebezpečí moc neříká.
-
kdave (neregistrovaný)
Bohuzel existuje a je znamy alespon od roku 2008 (prvni zminka, kterou jsem nasel).
Jde o routery, na kterych bezi ZynOS a jeho RomPager web server. Tenhle OS pouziva vetsina vyrobcu. Pokud ma router otevreny port 80 do internetu, je mozne precist si obsah flash pameti, v ni je ulozene i administratorske heslo (ne v plaintextu, ale zakomprimovane).
Cteni te flashky pres url je trivialni, a neni chranene zadnym heslem, ktere je jinak nutne pro spravu konfigurace pres webove rozhrani.
Zkousel jsem to na nektere ASDL modemy co jsem mel doma z let 2005-2008, funguje. Nevim jestli je v novejsich modelech i opravena verze toho web serveru, ale tipuju, ze ne.
OS na routeru se da priblizne urcit pomoci 'nmap -O routerIP'.
-
kdave (neregistrovaný)
Popis v odkazu neprimo naznacuje, ze ten router mel port otevreny a "uzivatel mel nastavene netrivialni heslo".
Jednoduse opravit tu starou chybu nejde jinak nez zavrit ty porty, a i presto, ze je nekdo uvedomely uzivatel a zmeni defaultni heslo, pripadne nastavi ACL pro spravu, stejne je mozne se k te flashce dostat, ackoli by jeden cekal, ze provedl dostatecne zabezpeceni.
Netvrdim, ze to je jedina takova chyba, ten ZynOS je rozlezly, upgrady firmwaru se moc nevydavaji, o to mene je uzivatele provadeji.
Podle dostupnych informaci o tom utoku mi to nejvic sedi na tu starou chybu - je znama, zmena dns se pres to udela snadno, nezanechava zadne stopy (snad krome zaznamu 'administrator se prilogoval'). Ackoli je znama dlouho, ja jsem ji neznal dokud se v mediich neobjevily zpravy o tech utocich.
Porty se bezne skenuji router na sebe ochotne rekne, ze je v nem RomPager, (http://www.shodanhq.com/search?q=RomPager).
-
j (neregistrovaný)
99,999% uzivatelu ma doma "nejakou tu blikajici krabku" a dokud se z ni nezakouri ... tak nebudou resit vubec nic. Je pak uplne jedno jak zavazna je v ni dira, pripadne zda existuje nebo neexistuje zaplata.
Spousta BFu ma pak takovy uzasny zkusenosti, ze se jim (trebas) aktualizuje telefon/televize/... a "neco" prestane fungovat. (kuprikladtu ted sem na zaklade toho ze si v rodince koupili telku zjistil, ze u LG uz dva roky nejde prepnout audio stopa u filmu ... do te 2 roky stare aktualizace to slo ...). S touhle vyhlidkou jiste budou nadsene BFUcka klipat nekde na "aktualizovat".
Proste je treba se smirit s tim, ze deravych zarizeni bude jen pribyvat, a bude jich cim dal vic.
-
Petr M (neregistrovaný)
Jo, fajn argument.
Když si koupím výběhový auto a za půl roku ho přestanou dělat, koupím náhradní díly ještě za 10 let.
Když si koupím výběhový router, přestanou ho za půl roku dělat, ale tři roky starý firmware si v okmžiku koupě můžu updatovat na rok a půl starý s jistotou, že už je tam nafurt.
U mýho nynějšího routeru bylo vydáno poslední update od výrobce tři roky nazpátek a to se ještě normálně prodává s původním softem :( Ani heartbleed s výrobcem nehnul :Q
Ještě že "dráteníci samouci" nezapomenou kabel od APčka nikdy omotat kolem hromosvodu, pak bývá několikrát ročně update i s hardwarem :D
-
To není argument to je konstatování.
Stejně na tom budete i stím telefonem, autem ( firmware v řídící jednotce, firmware do navigace atd,) DVD přehrávačem, nebo i notebookem a novým BIOSem.
Proč by s výrobce routeru měl hnout heartbleed . Běží vám na routeru snad veřejný server s OpenSSL komponentou?
Jinak pohádka o apéčkářích ubohá a víte že problém kromě athernetových routerů byl i u ADSL routerů ?
Základem je problém že lidé kupují nejlevnější krabky do 2500,- s DPH a nechávají si je x let po skončení záruky(životnost)
-
Pepa Procházka (neregistrovaný)
tak můj router byl postižen také, bohužel moje heslo nebylo moc složité (nebylo výchozí) tak nemohu podpořit tvrzení o chybě ve firmware. Vlastním pevnou IP adresu a měl jsem povolenu vzdálenou administraci.
Krátce před objevením výzev k instalaci aktualizace jsem zaznamenal nefunkčnost připojení k internetu. Žena používá na svém PC windows a instalaci "aktualizace" naštěstí zabránil antivirus. Při ohledání problému jsem narazil na podvržený dns server, ale měl jsem za to, že napadený je její systém ,ale neměl jsem čas to dořešit.
Podvržené stránky seznam.cz, google.cz a adobe.com mi přišly podezřelé, což mně nasměrovalo na problém s dns , pro bfu jsou stránky téměř nerozlišitelné. -
Pepa Procházka (neregistrovaný)
no to vím taky, ale původně byl za modem ještě firewall přes NAT 1:1. Na svém stroji jsem měl nastavené pevné DNS servery. A abych řekl pravdu tak mě nenapadlo, že ten modem má povolenou vzdálenou správu z "venku". Navíc není jisté jestli je tento útok veden pře vzdálenou administraci a já bych tak byl ušetřen.
DNS nastavení jsem sice opravil a "zvýšil" složitost všech hesel + zákaz vzdálené správy. Ale pokud mohli změnit nastavení DNS, nemůžu si být jistý, že ten router ještě patří mě :-).
Novější firmware ze stránek výrobce router odmítá přijmout (stejně je to verze z roku 2010).
Žíly mi to netrhá a spíš mně zajímá jestli bude útok opakován i přes výše uvedená opatření.
Nezapomínejte, že velká část ADSL modemů je dodávána ISP nastavena tak, aby umožnila určitou formu vzdálené konfigurace nebo diagnostiky a to nemluvím o "samo instalačních balíčcích". -
Petr M (neregistrovaný)
NAT ale přece neí ochrana, maximálně odstíní, co se děje za ním. A pokud je to 1:1...
Většina lidí konfiguruje router nebo modem jenom podle průvodce, ketrý se ukáže při prvním zapnutí. Když v něm není checkbox pro vzdálenou správu, nenapadne je, že tam může být něco navíc... Rozšířený volby jsou o něco hůř dokumentovaný, nepřehledný a hodně lidem nic neřeknou, tak do toho raděj nevrtají :(
Jenom se děsím, že jednoho dne přijde návštěva, která se napojí s infekšním mobilem/tabletem na wifinu, odemkne si zevnitř a bude vymalováno..
-
Petr M (neregistrovaný)
Ono snad není mpžný napsat aplikaci, která projde testování v obchodě, ale dva měsíce po releasu začne něco vyvádět? Ono se nedá do aplikace propašovat skenování sítě, komunikace s webem (webovým rozhraním routeru,...)? Sice napsat něco takovýho je o kočičí chlup složitější než vytáhnout informace o klientech ze serverů Wustenrotu, ale jde to.
U PLC připojených k LAN taky nikdo bezpečnost flashování programu neřešil, protože vnitřní síť je přece bezpečná a jak dopadli se Stuxnetem? Aha...
-
Petr M (neregistrovaný)
... když 99% lidí nechá router prostě přebírat DNS od poskytovatele připojení, aniž by věděli, jak má poskytovatel zajištěný svoje DNS. Proto mám nastavený primárně cz.nic a sekundárně 8.8.8.8...
A administrace na dálku je první věc, kterou udělám při instalaci ještě před změnou hesla. Nejsem šílenec, abych na pevnou veřejnou IP pustil administraci low cost zařízení, ke kterýmu nejsou roky žádný update...
A update jsou taky slabý místo. Buďto nejsou, nebo si to musí člověk hlídat sám.
WRT to taky moc nezachrání, to běžně prodávaný železo je rádo, když uroutuje 20Mbps :Q protože procesor nezmí být dražší než 1$ a RAMka není. Takže momentálně starý netbook s Atomem, druhá síťovka po USB... a od příštího týdne nasazuju Turris.
