Kako da zaštitite kućni ruter od napada

Prvobitno objavljeno na Motherboard.

Vaš ruter, ona kutija koja stoji u ćošku vaše kuće i omogućuje vam pristup internetu, na mnoge je načine važniji od vašeg laptopa ili mobilnog telefona. Možda ne pohranjuje direktno vaše lične informacije, ali kroz njega prolaze osetljivi podaci svaki put kad pristupite raznim internet servisima i oni mogu da se ukradu ili izmanipulišu ukoliko se hakuje ruter.

Ugroženi ruter može da posluži i kao platforma za napad na druge uređaje na vašoj lokalnoj mreži, kao što su vaš telefon ili laptop, ili za pokretanje denial-of-service napada na internet stranice. To može da stavi vašu IP adresu na crnu listu i uspori brzinu vašeg interneta.

Zato što je direktno izložen spoljnom svetu, vaš ruter je često meta automatizovanih skenova, sondiranja i iskorišćavanja, čak i ako vi te napade ne vidite. A za razliku od vašeg laptopa ili telefona, vaš ruter nema antivirusne programe ili drugi bezbednosni softver koji bi ga zaštitio.
Nažalost, većina rutera su crne kutije i korisnici imaju malo kontrole nad njihovim softverom i konfiguracijom, naročito kad su u pitanju uređaji koje internet provajderi daju svojim mušterijama. Međutim, ipak postoje neke radnje koje korisnici mogu da preduzmu da bi značajno smanjili verovatnoću da njihovi ruteri postanu žrtve automatizovanih napada.

Mnoge od tih radnji su prilično bazične, ali neke druge zahtevaju malo tehničkog znanja i određeno razumevanje koncepta umrežavanja. Manje tehnički potkovanim korisnicima možda bi bilo lakše da kupe bezbedan ruter sa automatskim ažuriranjem kakvi su, recimo, Eero, Google OnHub, Norton Core, Bitdefender Box ili F-Secure Sense. Loša strana toga je da su ovi ruteri skupi, neki čak traže godišnju pretplatu za određene usluge i njihov stepen prilagođavanja vašim specifičnim potrebama veoma je ograničen. Kad se sve sabere i oduzme, njihovi korisnici moraju da veruju prodavcima da će uraditi pravu stvar.

Ako ne želite da nabavljate jedan od tih ili već imate svoj ruter, pročitajte naš detaljan vodič kako da ga osigurate korak po korak.

Ako više volite da nabavite jeftiniji ruter ili modem koji možete da prilagodite svojim potrebama, nemojte da ga nabavljate od svog internet provajdera. Ti uređaji se obično izrađuju na veliko u kompanijama u Kini ili na drugim mestima i imaju prilagođen firmver koji internet provajderi možda neće moći do kraja da kontrolišu. To znači da bezbednosni problemi mogu da zahtevaju mnogo vremena za rešavanje i u nekim slučajevima se ne zakrpe kako treba.

Neki provajderi prisiljavaju korisnike da upotrebljavaju mrežne uređaje koje dobiju od njih zato što su unapred konfigurisani za daljinsku podršku i bilo je mnogo slučajeva kad su ta svojstva daljinskog upravljanja zapravo bila loše primenjena, ostavljajući uređaje podložne hakovanju. Štaviše, korisnici ne mogu da isključe daljinski pristup zato što često ne dobiju punu administrativnu kontrolu nad takvim uređajima.

Da li provajderi mogu da prisile korisnike da koriste određeni modem ili ruter varira od zemlje do zemlje. U Sjedinjenim Državama, regulativa Federalne komisije za komunikacije (FCC) trebalo bi to da sprečava, ali to i dalje može lako da se desi. Postoje i suptilniji načini uslovljavanja korišćenja uređaja kada provajderi dozvoljavaju korisnicima da instaliraju sopstvene uređaje, ali određene usluge kao što su VoIP neće raditi bez uređaja koji dobijete od provajdera.

Ako vam vaš internet provajder ne dozvoljava da povežete sopstveni uređaj na njegovu mrežu, makar ga pitajte da li njihov uređaj može da se konfiguriše kao "most" i da li možete da instalirate sopstveni ruter iza njega. Modalitet "mosta" onemogućuje funkcionalnost rutera u korist vašeg sopstvenog uređaja. Takođe, pitajte da li se uređajem vašeg provajdera može upravljati daljinski i da li možete to da odbijete i isključite tu uslugu.

Tržište za kućne i male kancelarijske rutere veoma je raznovrsno tako da će odabir pravog rutera za vas zavisiti od budžeta, prostora koji treba pokriti njegovim vajerles signalom, tipom internet konekcije koji imate i drugim poželjnim funkcijama kao što su USB portovi za priključivanje eksternih hardova, i tako dalje. Međutim, jednom kad svoj spisak suzite na nekoliko kandidata, važno je uređaj odabrati kod proizvođača koji bezbednost shvata izuzetno ozbiljno.

Istražite bezbednosni istorijat date kompanije: kako se ona u prošlosti odnosila prema slabim tačkama otkrivenim u svojim proizvodima? Koliko je brzo objavljivala zakrpe? Ima li posvećeni kontakt za rešavanje pritužbi na bezbednost? Ima li definisanu politiku delanja prema slabim tačkama ili da li vodi program lova na bagove? Potražite na Guglu izraze kao što su “[ime proizvođača] router vulnerability” ili “[ime proizvođača] router exploit” i pročitajte prethodne izveštaje istraživača bezbednosti o tome kako su se ponašali prema tim kompanijama. Potražite vremenski sled u tim izveštajima kako biste videli koliko su brzo kompanije razvijale i objavljivale zakrpe nakon što su obaveštene o ugroženosti proizvoda.

Takođe je važno utvrditi, ako je moguće, koliko će dugo uređaj nastaviti da dobija ažuriranje firmvera nakon što ga kupite. Sa životnim vekom proizvoda koji u čitavoj industriji postaje sve kraći i kraći, možda ćete na kraju kupiti proizvod pušten u promet pre dve godine kom će podrška isteći za godinu dana ili za nekoliko meseci. A to nije nešto što želite da vam se desi sa vašim ruterom.

Nažalost, prodavci rutera retko objavljuju ove informacije na svojim internet stranicama, tako da ćete, da biste došli do njih, možda morati da pozovete podršku u vašoj zemlji ili da joj pošaljete imejl, budući da postoje modeli uređaja specifični za određeni region ili revizije hardvera sa različitim periodima podrške. Možete i da proverite istorijat ažuriranja firmvera kod rutera koji nameravate da kupite ili rutera iz proizvođačeve iste linije proizvoda, kako biste stekli bolju sliku o tome kakvu učestalost ažuriranja možete da očekujete od date kompanije.

Odaberite uređaj koji može da koristi firmver otvorenog koda kao što je OpenWrt/LEDE, zato što je uvek dobro imati na raspolaganju više opcija, a ti projekti treće strane odlikuju se podrškom za starije uređaje koje proizvođači više ne ažuriraju. Možete da proverite spisak podrške za uređaje takvih firmvera — OpenWrt, LEDE, DD-WRT, AdvancedTomato, Asuswrt-Merlin — kako bi vam to pomoglo prilikom odlučivanja na kupovinu.

Jednom kad ste nabavili ruter, vreme je da obavite nekoliko važnih podešavanja. Počnite sa čitanjem uputstva da biste saznali kako da se povežete na uređaj i pristupite njegovom interfejsu za administraciju. Ovo se obično radi sa kompjutera putem pretraživača.

Nikad ne ostavljate ruter sa difoltnom admin lozinkom zato što je to jedan od najčešćih razloga za ugroženost. Napadači koriste botnete kako bi skenirali čitav internet u potrazi za izloženim ruterima i pokušavaju da prođu verifikaciju putem javno poznatih difoltnih akreditiva ili slabih i lako provaljivih lozinki. Odaberite svoju lozinku i, ako imate opciju, promenite i korisničko ime za difoltni administrativni nalog.

Prošle godine je botnet po imenu Mirai preuzeo kontrolu nad oko 250.000 rutera, IP kamera i drugih uređaja Interneta stvari prikačivši se na njih preko Telneta i SSH-a sa difoltnim ili slabim administrativnim akreditivima. Taj botnet je potom upotrebljen za pokretanje nekih od do sada najvećih DDoS napada. Skorije, klon Mirai je zarazio više od 100.000 DSL modela u Argentini i drugim zemljama.

Mnogi ruteri dozvoljavaju izlaganje adminskog interfejsa internetu radi daljinske administracije, a neki stariji uređaji se čak po difoltu konfigurišu na taj način. To je veoma loša ideja čak i kad se promeni admin lozinka, zato što su mnoge slabosti koje se mogu pronaći u ruterima locirane u njihovim interfejsima za upravljanje preko interneta.

Ako vam je potrebna daljinska administracija vašeg rutera, informišite se kako postaviti server za virtuelnu privatnu mrežu (VPN) kako biste se bezbedno povezali na svoju lokalnu mrežu preko interneta i potom izvršavali zadatke upravljanja preko te konekcije. Vaš ruter bi čak mogao da ima opciju da se ponaša kao VPN server, ali ako ne znate kako se konfiguriše VPN, uključivanje te funkcije moglo bi da bude rizično i može da izloži vašu mrežu dodatnim napadima.

Takođe je rasprostranjena zabluda da je, ako administrativni interfejs rutera nije izložen internetu, vaš uređaj bezbedan. Već dugi niz godina napadači vrše napade na ruter preko tehnike zvane cross-site request forgery (CSRF). Ti napadi preuzimaju internet pretraživače korisnika kad posete maliciozne ili ugrožene internet strane i teraju ih da šalju neautorizovane zahteve ruterima preko konekcija sa lokalnim mrežama.

Istraživač po imenu Kafein je 2015. godine otkrio masovni CSRF napad pokrenut preko malicioznih reklama postavljenih na legitimnim internet stranicama. Napadački kod obuhvatao je preko 40 različitih modela rutera raznoraznih proizvođača i pokušao da promeni podešavanja Sistema domenskih imena (DNS) preko iskorišćavanja ubacivanja komandi ili preko difoltnih administrativnih akreditiva.

Zamenom DNS servera konfigurisanih na ruterima sa divljim serverima pod njihovom kontrolom, napadači mogu da usmere korisnike na lažne verzije stranica koje ovi žele da posete. To je moćan napad zato što ne postoje nagoveštaji u adresi pretraživača da nešto nije u redu ukoliko stranica ne koristi siguran HTTPS protokol. Čak i tada, napadači mogu da koriste tehnike kao što su TLS/SSL stripping i mnogi korisnici neće ni primetiti da nedostaje zeleni katanac. Napadi preuzimanja DNS-a preko ugroženih kućnih rutera iskorišćeni su 2014. godine kako bi se izmamili onlajn bankovni akreditivi korisnika u Poljskoj i Brazilu .

CSRF napadi obično pokušavaju da lociraju rutere preko lokalne mreže na uobičajenim IP adresama kao što su 192.168.0.1 ili 192.168.1.1 koje proizvođači konfigurišu po difoltu. Međutim, korisnici mogu da izmene lokalne IP adrese svojih rutera u nešto drugo, na primer, 192.168.33.1 ili čak 192.168.33.22. Ne postoji tehnički razlog zašto ruter treba da ima prvu adresu u IP bloku i ova prosta izmena može u startu da zaustavi mnoge automatizovane CSRF napade.

Postoje neke druge tehnike koje napadači mogu da kombinuju sa CSRF-om kako bi otkrili LAN IP adresu rutera, čak i kad ona nije difoltna. Međutim, neki ruteri dozvoljavaju ograničavanje pristupa svojim administrativnim interfejsima po IP adresama.

Ako je ta opcija dostupna, možete da konfigurišete dozvoljenu IP adresu tako da bude drugačija od onih koje ruter automatski pridaje vašim uređajima preko Dinamičkog protokola konfiguracije domaćina (DHCP). Na primer, konfigurišite da opseg adrese vašeg DHCP-a bude od 192.168.33.50 do 192.168.33.100, ali navedite 192.168.33.101 kao IP adresu koja sme da pristupi administrativnom interfejsu rutera.

Ova adresa nikad neće biti automatski pripisana uređaju, ali možete manuelno da konfigurišete svoj kompjuter tako da je privremeno koristi kad god morate da izvršite promenu u podešavanjima rutera. Nakon što su promene izvršene, podesite svoj kompjuter da ponovo automatski dobije IP adresu preko DHCP-a.

Takođe, ako je moguće, konfigurišite interfejs rutera tako da koristi HTTPS i uvek mu pristupajte iz privatnog/inkognito prozora pretraživača, kako verifikovana sesija koja može da se zloupotrebi preko CSRF-a ne bi ostala aktivna u pretraživaču. Ne dozvolite pretraživaču ni da sačuva korisničko ime i lozinku.

Servisi kao što su Telnet i SSH ( Secure Shell) koji omogućuju komandni pristup uređaju nikad ne bi trebalo da budu izloženi internetu i trebalo bi da su isključeni na lokalnoj mreži sem ukoliko vam stvarno ne trebaju. Uopšte gledano, svaki servis koji se ne koristi trebalo bi da je isključen da bi se smanjio prostor za napad.

Tokom godina, istraživači bezbednosti otkrili su mnoge nedokumentovane "stražnje" naloge u ruterima koji su bili dostupni preko Telneta ili SSH-a i koji su omogućavali potpunu kontrolu nad tim uređajima. Pošto ne postoji način za običnog korisnika da otkrije da li takvi nalozi postoje u ruteru ili ne, najbolje što možete da uradite je da isključite te servise.

Još jedan problematični servis jeste Universal Plug and Play (UPnP), koji uređajima omogućuje da pronađu jedni druge na mrežama i razmene svoje konfiguracije kako bi automatski mogli da podese servise kao što je podela podataka i striming medija.

Tokom godina su pronađene mnoge UPnP slabe tačke u kućnim ruterima, omogućujući napade koji su varirali od izloženosti osetljivih informacija do daljinskog aktiviranja kodova koji su dovodili do potpune ugroženosti.

UPnP usluga rutera ne bi smela nikad da bude izložena internetu i, sem ukoliko vam to apsolutno nije neophodno, ne bi trebalo da je uključena ni na lokalnoj mreži. Ne postoji jednostavan način da se utvrdi da li je primena ruterovog UPnP-a ranjiva i da li uslugu mogu da upotrebe drugi mrežni uređaji kako bi automatski izbušili rupe kroz ruterov fajervol. Tako mnoge IP kamere, monitori za bebe i skladišta prikačena na mrežu postaju dostupni preko interneta a da za to njihovi vlasnici ne znaju.

Drugi servisi koji su puni slabih tačaka i trebalo bih ih isključiti podrazumevaju Simple Network Management Protocol (SNMP), the Home Network Administration Protocol (HNAP) i Customer Premises Equipment WAN Management Protocol (CWMP), poznatiji kao TR-069.
SNMP se uglavnom koristi u korporativnim okruženjima, tako da mnogi kućni ruteri nemaju tu funkciju, ali neki je ipak poseduju, naročito oni koje dobijate od svog internet provajdera. Istraživači iz Rapid7 su 2014. godine otkrili curenja u SNMP-u u gotovo pola miliona uređaja povezanih na internet, a u aprilu prošle godine dva su istraživača pronašla slabu tačku u primeni SNMP-a u 78 modela kablovskih modema kod 19 različitih proizvođača, uključujući Cisco, Technicolor, Motorola, D-Link i Thomson. Ta greška mogla je da omogući napadačima da sa uređaja izvuku osetljive podatke kao što su administrativni akreditivi i lozinke za Wi-Fi i da modifikuju njihove konfiguracije.

HNAP je svojinski administrativni protokol koji može da se nađe samo u uređajima kod određenih prodavaca. Grupa istraživača je 2010. godine pronašla slabe tačke u HNAP implementaciji nekih D-Link rutera, a 2014. godine je crv po imenu The Moon upotrebio informaciju koja je procurela kroz HNAP kako bi napao i zarazio rutere Linksys-a iskoristivši ranjivost zaobilaska verifikacije.

CWMP ili TR-069 je daljinsko upravljanje protokolom kog koriste internet provajderi a manjkavosti njegove implementacije prošle godine je iskoristio Mirai da zarazi ili sruši DSL provajderske modeme u Irskoj, Velikoj Britaniji i Nemačkoj. Nažalost, korisnici obično nemaju načina da isključe TR-069, što je još jedan razlog da se izbegavaju uređaji koje dobijate od svog internet provajdera.
Jedno je sigurno: napadači sve više napadaju rutere iz lokalne mreže, koristeći zaražene kompjutere ili mobilne uređaje kao lansirne rampe. Tokom protekle godine istraživači su pronašli divlje malver programe u Vindouzu i u Androidu koji su pravljeni konkretno za hakovanje rutera u lokalnim mrežama. To je korisno za napadače zato što zaraženi laptopovi i telefoni koje su njihovi vlasnici povezali na različite mreže stižu do rutera koji inače ne bi bili izloženi napadima preko interneta.

Bezbednosna firma McAfee takođe je pronašla trojanca za elektronsko bankarstvo po imenu Pinkslipbot koji transformiše zaražene kompjutere u internet proksi servere kojima može da se pristupi preko interneta uz pomoć UPnP-a kako bi automatski tražili forvardovanje portova sa rutera.

Dokument Vault7 koji je prošle godine obelodanio WikiLeaks opisuje set alata navodno korišćen u američkoj CIA za hakovanje rutera i zamenu njihovog firmvera s onim pravljenim da se špijunira internet saobraćaj. Set alata uključuje program za iskorišćavanje po imenu Tomato koji može da izvuče ruterovu administrativnu lozinku preko UPnP-a iz lokalne mreže, kao i prilagođeni firmver po imenu CherryBlossom, koji navodno funkcioniše na korisničkim i ruterima malih preduzeća 10 različitih proizvođača.

Nažalost, kad prave ove uređaje, mnogi proizvođači ne uključuju napade iz lokalnih mreža u svoje opise pretnji i ostavljaju razne administrativne i debaging portove izložene LAN interfejsu. I tako često samim korisnicima preostaje da utvrde koji im servisi rade i da ih onda isključe, gdegod je to moguće.

Korisnici mogu da skeniraju svoje rutere unutar svojih lokalnih mreža kako bi identifikovali otvorene portove i protokole koji koriste različite alatke, od kojih je popularna Nmap, sa grafičkim korisničkim interfejsom po imenu Zenmap. Skeniranje rutera izvan lokalne mreže je problematičnije zato što, u zavisnosti od jurisdikcije, skeniranje portova na internetu može da ima pravne posledice. Nije preporučljivo raditi to sa vašeg sopstvenog kompjutera, ali možete koristiti onlajn uslugu treće strane kao što je ShieldsUP ili Pentest-Tools.com da to uradi umesto vas.

Kad podešavate svoju Wi-Fi mrežu, odaberite dugačku frazu koju je teško pogoditi, poznatiju još i kao Pre-shared Key (PSK) — iskoristite minimum 12 alfanumeričkih karaktera i specijalnih simbola — i uvek koristite bezbednosni protokol WPA2 ( Wi-Fi Protected Access II). WPA i WEP nisu bezbedni i ne bi trebalo nikad da se koriste.

Isključite Wi-Fi Protected Setup (WPS), funkciju koja omogućuje povezivanje uređaja na mrežu uz pomoć PIN-a odštampanog na nalepnici ili pritiskanjem fizičkog dugmeta na ruteru. WPS implementacije nekih prodavaca podložne su brutalnim napadima a nije lako utvrditi tačno koje.
Neki ruteri nude opciju podešavanja vajerles mreže za goste koja je izolovana od ostatka vaše lokalne mreže i možete da je koristite da dopustite svojim prijateljima i drugim posetiocima da koriste vaš internet a da usput ne koriste vašu glavnu Wi-Fi lozinku. Ti gosti možda nemaju zle namere, ali bi njihovi uređaji mogli biti zaraženi malverom, tako da nije dobra ideja dati im pristup čitavoj vašoj mreži. Budući da i njihovi uređaji mogu biti iskorišćeni za napad na ruter, verovatno je najbolje ne dozvoliti im da koriste vašu internet konekciju uopšte, radilo se o mreži za goste ili ne, ali to možda neće biti tako lako objasniti im.

Veoma mali broj rutera ima potpunu sposobnost automatskog ažuriranja, ali neki u svojim interfejsima zaista omogućuju manuelne mehanizme provere ažuriranja ili notifikacije preko imejla o dostupnosti ažuriranja. Nažalost, ove funkcije mogu vremenom da prestanu da rade pošto proizvođači prave izmene na svojim serverima i URL-ima ne uvažavajući starije modele. Stoga je takođe dobro povremeno proveravati proizvođačevu stranicu podrške radi novih apdejtova.

Ako isključite UPnP ali želite da usluga koja funkcioniše u okviru lokalne mreže bude dostupna preko interneta — na primer, FTPS (FTP Secure) server koji radi sa vašeg kućnog kompjutera — moraćete manuelno da podesite pravilo forvardovanja portova za njega u konfiguraciji rutera. Ako to uradite, treba ozbiljno da razmislite o ograničavanju spoljnih IP adresa kojima je dozvoljeno da se prikače na tu uslugu, pošto većina rutera dozvoljavaju definisanje raspona IP adresa za pravila forvardovanja portova. Takođe, razmislite o rizicima koji mogu da nastanu kad načinite te usluge dostupne eksterno, naročito ako se ne radi enkripcija internet saobraćaja.

Ako je ne koristite za goste, ruterova gostujuća vajerles mreža može da se iskoristi za izolovanje uređaja prikačenih na Internet stvari na vašoj lokalnoj mreži. Mnogim uređajima povezani m na Internet stvari upravlja se preko mobilnih aplikacija putem usluga zasnovanih na oblaku, tako da ne moraju da komuniciraju direktno sa vašim telefonom preko lokalne mreže posle prvobitnog podešavanja.

Kad ovo uradite, zaštitili ste kompjuter od često ranjivih sprava povezanih na Internet stvari i vaše sprave s Interneta stvari od vašeg kompjutera, u slučaju da bude zaražen. Naravno, ako se odlučite da u ovu svrhu koristite vajerles mrežu za goste, promenite joj lozinku i prestanite da je delite sa drugim ljudima.

Slična segmentacija mreže može da se postigne preko VLAN-ova ( virtual local area networks), ali ova funkcija nije dostupna u svim korisničkim ruterima sem ukoliko ti uređaji nemaju firmver treće strane kao što su OpenWRT/LEDE, DD-WRT ili AdvancedTomato. Ovi operativni sistemi otvorenog koda zasnovani na Linuksu za rutere otključavaju napredne mrežne funkcije i njihovo korišćenje zapravo može da vam poboljša bezbednost, zato što njihovi tvorci imaju običaj da zakrpe slabe tačke brže od prodavaca rutera.

Međutim, ako ubacite prilagođeni firmver na svoj ruter to će obično da vam poništi garanciju i, ako se ne uradi kako treba, može da učini uređaj neupotrebljivim. Ne pokušavajte ovo ukoliko ne posedujete tehničko znanje da to uradite i u potpunosti razumete sve moguće rizike.

Ukoliko sledite preporuke iz ovog vodiča, to će značajno smanjiti šanse da vaš ruter postane žrtva automatskih napada i da ga pokori botnet koji će ga iskoristi za sledeći veliki DDoS napad širom interneta. Međutim, ako sofisticirani haker sa naprednim sposobnostima obrnutog inženjeringa odluči da napadne baš vas, malo je toga što možete da uradite kako biste ga sprečili da na kraju upadnu u vaš kućni ruter, bez obzira koliko ste dobro namestili podešavanja. Ali zašto mu olakšati posao, zar ne?

Posebna zahvalnica ide Džejkobu Holkombu i Riku Ramgatiju iz Nezavisnih procenjivača bezbednosti, i Kregu Jangu iz Tripvajera, za proveru tehničkih aspekata ovog vodiča i predloge koje su izneli.

JOŠ NA VICE.COM:

Najčuvenije hakovanje televizije je i posle 30 godina misterija

Fabricio, da taj Fabricio, za VICE: Šta će mi vaši nalozi?

Vikiliks je upravo izbacio gomilu podataka kako CIA hakuje