Thị trường bộ định tuyến tại nhà rất giống với thị trường điện thoại thông minh Android. Các nhà sản xuất đang sản xuất số lượng lớn các thiết bị khác nhau và không làm phiền việc cập nhật chúng, khiến chúng mở cửa để tấn công.
Làm thế nào Router của bạn có thể tham gia Dark Side
Những kẻ tấn công thường tìm cách thay đổi thiết lập máy chủ DNS trên router của bạn, chỉ vào máy chủ DNS độc hại. Khi bạn cố gắng kết nối với trang web - ví dụ: trang web của ngân hàng - máy chủ DNS độc hại yêu cầu bạn truy cập trang web lừa đảo thay thế. Nó vẫn có thể nói bankofamerica.com trong thanh địa chỉ của bạn, nhưng bạn sẽ ở một trang web lừa đảo. Máy chủ DNS độc hại không nhất thiết phải trả lời tất cả các truy vấn. Nó có thể chỉ đơn giản là thời gian ra trên hầu hết các yêu cầu và sau đó chuyển hướng truy vấn đến máy chủ DNS mặc định của ISP của bạn. Các yêu cầu DNS chậm bất thường là dấu hiệu bạn có thể bị nhiễm trùng.
Những người có mắt sắc nét có thể nhận thấy rằng trang web lừa đảo đó sẽ không có mã hóa HTTPS, nhưng nhiều người sẽ không nhận thấy. Các cuộc tấn công loại bỏ SSL thậm chí có thể xóa mã hóa khi chuyển tiếp.
Những kẻ tấn công cũng có thể chỉ tiêm quảng cáo, chuyển hướng kết quả tìm kiếm hoặc cố gắng cài đặt các lượt tải xuống theo ổ đĩa. Họ có thể nắm bắt các yêu cầu cho Google Analytics hoặc các tập lệnh khác gần như mọi việc sử dụng trang web và chuyển hướng chúng đến một máy chủ cung cấp tập lệnh thay vào đó sẽ chèn quảng cáo. Nếu bạn thấy quảng cáo khiêu dâm trên một trang web hợp pháp như How-To Geek hoặc New York Times, bạn gần như chắc chắn bị nhiễm một thứ gì đó - trên bộ định tuyến hoặc máy tính của bạn.
Nhiều cuộc tấn công sử dụng các cuộc tấn công giả mạo cross-site request (CSRF). Kẻ tấn công nhúng JavaScript độc hại vào trang web và JavaScript cố gắng tải trang quản trị dựa trên web của bộ định tuyến và thay đổi cài đặt. Khi JavaScript đang chạy trên thiết bị bên trong mạng cục bộ của bạn, mã có thể truy cập vào giao diện web chỉ khả dụng bên trong mạng của bạn.
Một số bộ định tuyến có thể có giao diện quản trị từ xa được kích hoạt cùng với tên người dùng và mật khẩu mặc định - bot có thể quét các bộ định tuyến như vậy trên Internet và truy cập. Khai thác khác có thể tận dụng lợi thế của các vấn đề router khác. UPnP có vẻ dễ bị tấn công trên nhiều router.
Làm thế nào để kiểm tra
Một dấu hiệu cho thấy rằng một bộ định tuyến đã bị xâm nhập là máy chủ DNS của nó đã bị thay đổi. Bạn sẽ muốn truy cập giao diện dựa trên web của bộ định tuyến và kiểm tra cài đặt máy chủ DNS của bộ định tuyến.
Trước tiên, bạn sẽ cần truy cập vào trang thiết lập dựa trên web của bộ định tuyến. Kiểm tra địa chỉ cổng kết nối mạng của bạn hoặc tham khảo tài liệu của bộ định tuyến để tìm hiểu cách thực hiện.
Đăng nhập bằng tên người dùng và mật khẩu của bộ định tuyến, nếu cần. Tìm một thiết lập "DNS" ở đâu đó, thường trong màn hình cài đặt kết nối WAN hoặc Internet. Nếu được đặt thành “Tự động”, điều đó là tốt - nó nhận được từ ISP của bạn. Nếu được đặt thành “Thủ công” và có các máy chủ DNS tùy chỉnh được nhập ở đó, điều đó rất có thể là một vấn đề.
Không có vấn đề gì nếu bạn đã định cấu hình bộ định tuyến để sử dụng các máy chủ DNS thay thế tốt - ví dụ: 8.8.8.8 và 8.8.4.4 cho Google DNS hoặc 208.67.222.222 và 208.67.220.220 cho OpenDNS. Tuy nhiên, nếu có máy chủ DNS ở đó bạn không nhận ra, đó là phần mềm độc hại đã thay đổi bộ định tuyến của bạn để sử dụng máy chủ DNS. Nếu nghi ngờ, hãy thực hiện tìm kiếm trên web cho các địa chỉ máy chủ DNS và xem chúng có hợp pháp hay không. Một cái gì đó như "0.0.0.0" là tốt và thường chỉ có nghĩa là lĩnh vực có sản phẩm nào và router sẽ tự động nhận được một máy chủ DNS để thay thế.
Các chuyên gia khuyên bạn nên kiểm tra cài đặt này thỉnh thoảng để xem liệu bộ định tuyến của bạn có bị xâm phạm hay không.
Trợ giúp, Có một Máy chủ DNS độc hại!
Nếu có một máy chủ DNS độc hại được cấu hình ở đây, bạn có thể tắt nó và yêu cầu bộ định tuyến sử dụng máy chủ DNS tự động từ ISP của bạn hoặc nhập địa chỉ của các máy chủ DNS hợp pháp như Google DNS hoặc OpenDNS tại đây.
Nếu có máy chủ DNS độc hại được nhập vào đây, bạn có thể muốn xóa tất cả cài đặt của bộ định tuyến và khôi phục cài đặt gốc trước khi thiết lập lại máy chủ - chỉ để an toàn. Sau đó, sử dụng các thủ thuật bên dưới để giúp bảo mật bộ định tuyến chống lại các cuộc tấn công khác.
Làm cứng Router của bạn chống lại tấn công
Bạn chắc chắn có thể cứng router của bạn chống lại các cuộc tấn công - phần nào. Nếu bộ định tuyến có lỗ hổng bảo mật mà nhà sản xuất chưa vá, bạn không thể hoàn toàn bảo mật.
- Cài đặt Cập nhật Firmware: Đảm bảo phần mềm mới nhất cho bộ định tuyến của bạn đã được cài đặt. Bật cập nhật chương trình cơ sở tự động nếu bộ định tuyến cung cấp nó - thật không may, hầu hết các bộ định tuyến đều không. Điều này ít nhất đảm bảo bạn được bảo vệ khỏi bất kỳ sai sót nào đã được vá.
- Vô hiệu hóa quyền truy cập từ xa: Vô hiệu hóa quyền truy cập từ xa vào các trang quản trị dựa trên web của bộ định tuyến.
- Thay đổi mật khẩu: Thay đổi mật khẩu thành giao diện quản trị dựa trên web của bộ định tuyến để kẻ tấn công không thể truy cập vào mật khẩu mặc định.
- Tắt UPnP: UPnP đặc biệt dễ bị tổn thương. Ngay cả khi UPnP không dễ bị tấn công trên bộ định tuyến của bạn, một phần mềm độc hại đang chạy ở đâu đó bên trong mạng cục bộ của bạn có thể sử dụng UPnP để thay đổi máy chủ DNS của bạn.Đó là cách thức hoạt động của UPnP - nó tin tưởng mọi yêu cầu đến từ bên trong mạng nội bộ của bạn.
DNSSEC được cho là cung cấp bảo mật bổ sung, nhưng không phải là thuốc chữa bách bệnh ở đây. Trong thế giới thực, mọi hệ điều hành khách hàng chỉ tin tưởng vào máy chủ DNS được cấu hình. Máy chủ DNS độc hại có thể yêu cầu một bản ghi DNS không có thông tin DNSSEC hoặc nó có thông tin DNSSEC và địa chỉ IP được truyền đi là thông tin thực.