Názory k článku Nenechavý router botnet útočí na Ubiquiti airRouter

Co z toho spadá pod skupinu BDU/BFU?

Promiňte, že se ptám jako hlupák, ale v tomhle ohledu jsem skutečně nekovaný. Mám tomu rozumět tak, že u drtivé většinu routerů stačí změnit výchozí hesla, popř. zakázat možnost administrace zvenčí či ji např. hodit na jiný než výchozí port a je zabezpečeno proti všeobecným zkouškám botnertů rozšířit se? Samozřejmě asi chápu, že kdybych byl specifickým cílem, na který by se někdo zaměřil, protože bych mu za to stál, tak by asi cestičku našel, protože by musel prozkoumat i nevýchozí konfigurace a zkoušet, co se do routeru vejde, ale jak tak čtu tyhle bezpečnostní články, tak mám dojem, že je to všechno v drtivé většině případů o „blbosti“ majitelů, že si to nezabezpečí? Nebo existují i routery, kde můžete zabezpečovat, jak chcete, a stejně jsou tam profláknutá zadní vrátka? Pokud ano, které? Stačí nasměřovat na články nebo zmínit značku....

Díky

U každého routeru musíte změnit výchozí heslo, bez toho bude určitě děravý. A to heslo byste měl změnit na nějaké silné heslo, jednoduché slovníkové heslo botnet snadno prolomí.

Mnoho routerů bohužel má děravý firmware a výrobce s tím buď nic nedělá, nebo sice nějakou záplatu vydá, ale ta se na router často nedostane (musel byste pravidelně zjišťovat, zda neexistuje novější firmware – přičemž jsou známy i případy, kdy nefunguje kontrola aktualizací vestavěná ve firmware, takže byste to musel hledat na webu…)

V tom druhém případě je jediné dobré řešení takový router nemít. Zákaz administrace zvenčí někdy může pomoci – ale ta chyba se klidně může projevit i tak, že ten zákaz nebude fungovat nebo půjde obejít. A také předpokládá, že nemáte žádný napadený počítač ve vnitřní síti – na to bych v běžné domácí síti také nespoléhal.

Přesun na jiný port je z podobného ranku – bude to fungovat proti plošnému útoku, který zkouší tupě jen ten jediný port a zkouší na něm známou chybu. Sofistikovanější útok si ale vytipuje konkrétní typ zařízení, a na nich pak už klidně může dělat portscan. Takže je to také velmi nespolehlivá ochrana.

Ta zprávička původně pochází od CZ.NICu a vyhodnocuje data získaná z Turrisů. V sekci security tam najdete popisy dalších routerů, které mají známé zranitelnosti. Ale těch zranitelných typů routerů je mnohem víc, tohle jsou jenom případy, které zaujaly CZ.NIC.

Bohužel nejde jmenovat pár značek profláknutých bezpečnostními dírami, mezi těmi levnými SOHO routery najdete snad u každé značky nějaký typ, který má nepochopitelnou bezpečnostní díru, a jiný typ od stejné značky může být udělán dobře. Asi bych vyjmenoval nějaké značky, kterým bych věřil víc, ale to už nejsou úplně ty nejlevnější routery – a hlavně by na vrcholu toho seznamu bylo Ubiquiti, jenže pak si přečtete takovouhle zprávičkou… U Mikrotiků bych také věřil tomu, že tam takovéhle chyby spíš nebudou. Alespoň u Ubiquiti a Mikrotiku se snad dá spolehnout na to, že v případě nalezení chyby vyjde aktualizace a že bude aktualizační mechanismus fungovat.

No a pokud vezmu v úvahu i jiné varianty, než spotřební zboží, Turrisu bych věřil víc než Ubiquiti a Mikrotiku, navíc o aktualizacích se tam určitě dozvíte. Ale u Turrisu zase neplatí, že když se rozhodnete, budete ho mít.

Díky za info, vidím, že jsem neudělal špatně, když jsem na venkovní stranu dal Mikrotik. Síce se mi s ním blbě dělá (má trošku jinou filozofii ovládání a umí toho vlastně docela hodně), zakázak jsem veškerou vnější administraci (web, telnet, ssh a já nevím co ještě), nedefaultní je samozřejmě jak heslo, tak jméno (admin tam už není). Útočník by tedy musel napadat vyjmenované služby, které jsem si chtěl protunelovat domů, přoičemž kromě webu a několika chystaných věcí nejsou ani ty služby na defaultních portech, pro větší pocit sucha a bezpečí před těmi, co hledají díry na defaultních portech. Každopádně tak nebude napaden přímo router, ale to, zač se router tunelováním na daném portu vydává, má-li to také svou bezpečnostní díru.
Doma samozřejmě mám i tplink, ovislink a ještě jeden D-link, ale na něm experimentuju s RouterTech firmwarem (docela se mi zamlouvá), ale nic z toho nyní ani nehraje roli routeru, ale jen interního WiFi APčka, zvenčí není vůbec zpřístupněno.
Budu spát klidněji :).

Otázkou v takovém případě je, jak moc jsou ty routery vystaveny nebezpečí ve vnitřní síti poskytovatele, kdy router dostane adresu typu 10.x.x.x a doma hraje typicky roli NATu, přičemž všechna ta hromada zákaznických routerů je na síti pod podobnou adresu a zvenčí na ně ve většině případů (nemá-li uživatel přidělenou i vlastní veřejnou IP) není vidět. Botnet by tak vlastně musel infokovat routery klientů uvnitř sítě poskytovatele, čehož by si měl imho rozumný poskytovatel všimnout a začít to řešit s postiženými klienty.

Na NAT rozhodně nespoléhejte, zvlášť když je to NAT ISP a za ním jsou stovky nebo tisíce klientů. To pak správná otázka není, zda je za tím NATem nějaký infikovaný klient, ale kolik jich je.

Kdyby si poskytovatel všímal podezřelého provozu a řešil to s klienty, nemáme žádný spam, žádné viry, žádné botnety. Jenže poskytovatelé nemají moc důvodů to řešit – zákazník jim platí tak jako tak, dokonce když má zavirovaný počítač a vir to bude přehánět, je jistá naděje, že zákazník bude mít pocit, že připojení je pomalé a připlatí si za rychlejší. Pokud by řešil podezřelý provoz klienta, bude s tím mít akorát další náklady, ale praktiky nikdo o neocení.

Takže ne, na NAT opravdu nespoléhejte a zařízení za NATem považujte za zařízení vystavené do internetu.

Náš poskytovatel to dělal - při trafficu odpovídajícím nějaké havěti zablokoval dotyčnému přístup na http a přesměroval ho na informaci o tom, že je zavirován a že mu web nepojede, dokud to nevyřeší. Jestli to ještě dělá, nevím, já ještě neměl tu čest se do zavirovaného stavu dostat, musel bych se ho zeptat.