Mellékleteink: HUP | Gamekapocs
Keres

A Symantec szerint fertőzöttek lehetnek egyes D-Link routerek

Ady Krisztián, 2008. március 27. 10:31
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[Techworld, Computerworld] A Symantec megkongatta a vészharangot: a cég kutatói jelenleg is bizonyítékot gyűjtenek arra, hogy a D-Link egyes routereit módosítják, esetleg férgekkel, botokkal fertőzik meg internetes támadások során. A szakemberek évek óta figyelmeztetnek az egyre népszerűbb otthoni routerekkel kapcsolatos biztonsági kockázatokra, valós támadást viszont eddig még nem igazán regisztráltak.

[Techworld, Computerworld] A Symantec megkongatta a vészharangot: a cég kutatói jelenleg is bizonyítékot gyűjtenek arra, hogy a D-Link egyes routereit módosítják, esetleg férgekkel, botokkal fertőzik meg internetes támadások során. A szakemberek évek óta figyelmeztetnek az egyre népszerűbb otthoni routerekkel kapcsolatos biztonsági kockázatokra, valós támadást viszont eddig még nem igazán regisztráltak.

Nyitott router

A Symantec saját DeepSight szolgáltatásán keresztül figyelmeztette ügyfeleit, elsőként konkrét, megbízható riportokra hivatkozva, később azonban visszakozott, és várakozó álláspontra helyezkedett. A Symantec szerint minden jel arra mutat, hogy bizonyos D-Link routereket botokkal fertőztek meg.

A vállalat routerei felett valószínűleg a 2005-ben felfedezett SNMP-sérülékenységen keresztül szerzik meg a hatalmat, mellyel alapállapotra hozható a router adminisztrációs jelszava, így hozzáférést nyújt a támadók számára is. A legegyszerűbb támadási módszer, hogy a router beállításait ezt követően úgy módosítják, hogy a támadók DNS-szerverét használja az útválasztó. Az ehhez kapcsolódó számítógépek ezután nem a valódi weboldalakra, hanem trójaiakkal fertőzött, vagy adatlopásra felkészített oldalakra irányítódnak át.

Módosított DNS

A névkiszolgáló szerverek, az úgynevezett DNS szerverek arra szolgálnak, hogy az általunk beírt címeket -- például www.hwsw.hu -- IP-címekre fordítsák le. Amennyiben a szolgáltatónké helyett egy rosszindulatú kézben lévő DNS szerver oldja fel ezeket a címeket, az adathalászok dolga pofonegyszerűvé válik, hiszen a helyesen beírt címek -- például a bankunk címe -- egy olyan szerverre mutathat, mely az adathalászok kezében van.

A turpisságból ráadásul semmit sem veszünk észre, hiszen ezek az oldalak gyakorlatilag pontos másai a megtámadott oldalnak, a cím is pontosan ugyanaz, amit általában beírunk -- éppen csak a "génkezelt" routerünk juttatott az adathalászok kezeibe minket. A "génkezelt" DNS szerver az egyéb címeket ráadásul ugyanúgy feloldhatja, mint a szolgáltatónké, ezzel is elrejtve valódi célját. Ez a módszer ráadásul alapvetően kijátssza az elterjedtebb, böngészőkbe épített phishing-szűrőket is, amelyek elsősorban a karakteresen megadott címekre szűrnek.

Ellenőrizzük

A Symantec szerint a routereket érő támadások egyre gyakoribbak, a támadók nem csak számítógépeinket, hanem más eszközeinket is megpróbálják uralmuk alá hajtani. A szakemberek ugyanakkor nem lepődtek meg ezen, hiszen ma már minden információ rendelkezésre áll, hogy ilyen támadásokat automatizált módon hajtsanak végre. A Symantecnek egyelőre nincsenek információi arról, hogy mely routerek védettek a 23-as portra érkező támadások ellen, s melyeket javítottak ki, így az első, amit ellenőriznünk kell router-tulajdonosként, hogy a 23-as port nyitva van-e az internet felől.