3 марта 2014

Роутеры под угрозой: почему следует внимательнее относиться к маршрутизаторам

Бизнес

Поводом для написания данной заметки стала новость о новом черве, который целенаправленно атакует роутеры марки Linksys определённых моделей. Червь The Moon ([1], [2]) эксплуатирует уязвимость в прошивках этих роутеров, позволяющую обойти надлежащую авторизацию, и пытается распространять себя дальше по адресам, извлечённым из компьютеров, подключённых к устройству. Существует ли у него какой бы то ни было вредоносный (действительно вредоносный) функционал, пока остаётся неизвестным, но сам факт того, что целью атак стали роутеры, заставляет задуматься.

Дело в том, что роутеры атакуют, как говорится, редко, но метко, с серьёзными последствиями. Эффективность атак,  если они происходят, как правило, обусловлена безалаберным отношением к делу со стороны самих пользователей беспроводных маршрутизаторов: слабые или даже фабричные пароли (а они известны для всех моделей, даже перебирать не нужно), настройки по умолчанию, это самые очевидные причины. Сложные пароли, отличные от заводских или от «admin/1234», это азбука безопасности, но и её часто игнорируют.

Как уже сказано, The Moon — не первый случай, когда роутеры оказались под угрозой. И, в общем-то, даже не самый серьёзный, по крайней мере, пока.

Куда серьёзнее был эпизод со злополучным троянцем DNSChanger (существовавшим и под Windows, и под Mac OS X), который учинил масштабную эпидемию несколько лет назад: его жертвами стали порядка 4 млн человек, то есть их компьютеры и роутеры. DNSChanger появился где-то в 2007 году, а его вариант, целивший в роутеры, был замечен в 2008-м.

Главная опасность для бизнеса состоит в том, что, заразив роутер, удачливые злоумышленники могут незаметно и довольно долго перехватывать весь трафик, проходящий через него, а это отличная «позиция» для шпионажа.

Попадая на компьютеры, этот троянец пытался, судя по итоговому количеству заражённых, поменять настройки роутера, и в первую очередь DNS, так чтобы перенаправлять весь трафик через серверы, принадлежавшие злоумышленникам. В результате пользователям отображалась совершенно не прошеная реклама, часто относившаяся к категории 18+, и избавиться от неё было крайне сложно, особенно если не знать, что зараза сидит не на компьютере, как обычно, а в роутере.

DNSChanger, к слову, создала эстонская коммерческая компания Rove Digital, чьих работников — кибер-романтиков с большой дороги — в конце 2011 года повязали эстонские правоохранители, в то время как ФБР перехватило контроль над контрольными серверами DNSChanger и вынужденно поддерживало их работу, покуда параллельно проводилась обширная информационная кампания на тему того, как пользователям избавиться от DNSChanger и вернуть себе нормальную переадресацию. В противном случае юзеры потеряли бы доступ в Сеть.

Наконец, нельзя не вспомнить недавнее обнаружение ботнета, состоявшего в значительной степени из «умной» домашней электроники (как минимум один холодильник участвовал в рассылке спама) и, увы, всё тех же роутеров.

Откровенно говоря, довольно странно, что атаки на роутеры происходят не то, чтобы очень часто: слишком много преимуществ получают киберпреступники, которым удаётся взять под свой контроль беспроводной маршрутизатор. Самые очевидные — это возможность перехвата всего трафика, который проходит через устройство, и скрытность. Если появляются признаки заражения локальной сети зловредами, то в первую очередь будут проверять «конечный рубеж» — компьютеры, серверы, мобильные устройства. Роутеры оказываются далеко не в начале списка подозреваемых, и проверять их будут не в первую очередь.

С другой стороны, успешное заражение роутера при условии, что пароль на нём сложнее, чем «admin/1234», как правило, — не такая простая задача. Подавляющее большинство роутеров используют файловые системы, располагающиеся в оперативной памяти, так что после каждой перезагрузки роутер надо «перезаражать», а заражение в большинстве случаев возможно только изнутри локальной сети (роутеры обычно защищены от воздействия с внешних IP-адресов). Поэтому чтобы захватить контроль над устройством, злоумышленнику необходимо сначала тем или иным способом установить вредоносное ПО на какую-либо из машин внутри сети. С неё же потом маршрутизатор и будет «перезаражаться». При этом, если пользовательские компьютеры перезагружаются относительно часто, то роутер могут не трогать месяцами (при условии, что он нормально работает), поэтому зараза может сидеть в роутере весьма и весьма продолжительное время.

К тому же, ещё в 2008 году проходила информация о том, что специалисту по безопасности удалось разработать вредоносный руткит для роутеров Cisco. Учитывая популярность роутеров этой марки, новость о рутките тогда наделала много шуму.

Как следует из вышесказанного, главная опасность для бизнеса состоит в том, что, заразив роутер, удачливые злоумышленники могут незаметно и довольно долго перехватывать весь трафик, проходящий через него, а это отличная «позиция» для шпионажа.

Обезопаситься от этого относительно просто: во-первых, никаких «простых» паролей; во-вторых, адекватная настройка: в большинстве прошивок роутеров присутствует масса инструментов для защиты локальной сети. И, в-третьих, обновление прошивок сразу после их выхода: как и во всех программных оболочках, там могут присутствовать бреши вроде той, которую эксплуатирует червь The Moon.