neprihlásený Pondelok, 18. júna 2018, dnes má meniny Vratislav   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Kvôli bezpečnosti reštartujte routery, odkazuje domácim užívateľom FBI

Značky: bezpečnosťroutery

DSL.sk, 28.5.2018


Americký federálny vyšetrovací úrad FBI spolu s americkým ministerstvom vnútornej bezpečnosti vydali v piatok odporúčanie, v ktorom radia globálne všetkým užívateľom domácich routerov a routerov pre malé firmy reštartovať ich zariadenia.

Dôvodom je eliminácia infekcie VPNFilter, o ktorej boli informácie zverejnené minulý týždeň divíziou Talos spoločnosti Cisco.

Sofistikovaný škodlivý kód bol identifikovaný na viacerých modeloch routerov a spolu podľa zistení Cisca ich infikoval doteraz minimálne 500 tisíc. Za VPNFilter podľa amerických orgánov stojí hackerská skupina Sofacy Group známa aj ako APT 28, Sandworm, X-agent, Pawn Storm, Fancy Bear a Sednit a považovaná za ruskú hackerskú skupinu.

Podľa oznámenia FBI a Cisca zatiaľ nie je známe ako škodlivý kód do zariadenia preniká, v tejto kategórii routerov je ale bežné množstvo bezpečnostných chýb, nedostatočné bezpečnostné nastavenia a prípadne použité štandardné heslá.

V každom prípade VPNFilter má moduly troch úrovní. Prvá nezvyčajne na hrozby pre domáce routery infikuje router trvalo, hlavná druhá a modulárna tretia realizujú škodlivú činnosť a komunikáciu s riadiacimi servermi. Prvá úroveň kódu v prípade potreby stiahnutia druhej zisťuje IP adresy riadiacich serverov rozličnými metódami, okrem iného z EXIF dát fotografií nahratých na službu Photobucket alebo z domény ToKnowAll.com.


Schéma komunikácie škodlivého kódu VPNFilter, kliknite pre zväčšenie (obrázok: Cisco)



VPNFilter má podľa Cisca schopnosť analyzovať dátovú prevádzku užívateľov a zisťovať z nej zaujímavé dáta, získavať zrejme prenášané súbory, spúšťať rozličné príkazy ale tiež zničiť zariadenie prepísaním kritických častí firmvéru.

Minulý týždeň Cisco zverejnilo zoznam známych infikovaných modelov, Linksys E1200, E2500 a WRVS4400N, Netgear DGN2200, R6400, R7000, R8000, WNR1000 a WNR2000, TP-Link R600VPN a tiež výkonné routery Mikrotik CCR1016, CCR1036 a CCR1072 a NAS-y Qnap TS251 a TS439 Pro.

Zoznam podľa spoločnosti ale nemusí byť konečný.

V každom prípade FBI teraz odporúča užívateľom všetkých routerov pre domácnosti a malé firmy rebootovať ich routery. Spravila tak zrejme po tom, ako boli prijaté opatrenia proti šíreniu druhej úrovni škodlivého kódu, napríklad podľa dostupných informácií USA získali pod kontrolu doménu ToKnowAll.com.

Po reboote zostane v zariadení iba prvá úroveň VPNFilter, ktorá sa pokúsi stiahnuť ďalšie časti. To by malo byť jednak v súčasnosti ťažšie a jednak orgány činné v trestnom konaní sa budú snažiť generovanú dátovú prevádzku využiť na eliminovanie zostávajúcej infraštruktúry VPNFilter.

Cisco odporúčalo v pôvodnom oznámení užívateľom aj uviesť zariadenia do továrenského nastavenia, toto opatrenie malo ale stále zrejme odstrániť len druhú a tretiu úroveň škodlivého kódu. Či môže prvú úroveň úspešne odstrániť opätovné nahratie firmvéru respektíve na ktorých z postihnutých modelov nie je jasné, v každom prípade FBI teraz odporúča len reboot zariadení.

Detekovať či je konkrétne zariadenie infikované je problematické, keď tieto routery sú už zvyčajne priamo pripojené do Internetu a zároveň VPNFilter komunikuje šifrovane. Cisco tak neponúka jasný spôsob ako infekciu detekovať ani po zapojení routera za iné zariadenie a so schopnosťou analyzovať jeho dátovú prevádzku, v oznámení ale uvádza napríklad známe IP adresy riadiacich serverov a po rebootnutí by v prípade infekcie mohol byť niektorý z nich kontaktovaný.

Hoci vektor infekcie zatiaľ nie je známy, škodlivý kód VPNFilter je evidentne ďalším dôsledkom chronicky slabého stavu bezpečnosti domácich routerov. Vhodným opatrením proti týmto rizikám je buď zaobstaranie si routera vyššej triedy s aktívnou bezpečnostnou politikou v podobe aktualizácií alebo prípadne inštalácia open source firmvéru OpenWRT / LEDE aj na zariadenia nižšej triedy.

Inštalovať LEDE je ale odporúčané len technicky zdatným užívateľom, keď najmä u modelov nepodporujúcich možnosť nahrať LEDE firmvér cez webové rozhranie môžu komplikovanejšie postupy vyústiť do zablokovania alebo prakticky trvalého poškodenia routera a užívatelia konajú na vlastnú zodpovednosť.


      Zdieľaj na Twitteri



Najnovšie články:

Firmvér pre routery OpenWrt / LEDE prichádza s novou verziou 18.06
Slovenská sporiteľňa má celodennú odstávku, nejde internet banking ani notifikácie
Ceny SSD diskov už výrazne klesajú, aj bez nových prichádzajúcich technológií
Smart hodinky zaznamenali čas smrti obete vraždy, pomohli obžalovať podozrivú
Prichádzajú notebooky so 128 GB RAM
Antarktída sa roztápa trikrát rýchlejšie
Skladateľný Samsung smartfón sa má čoskoro vyrábať, bude drahý
Fiasko s EÚ podporou WiFi, kvôli technickým problémom výzvu zrušila
EÚ vylučuje Britániu z Galilea, tá zvažuje vlastný navigačný systém
Ďalšia chyba a útok typu Spectre a Meltdown, len v Intel CPU


Diskusia:
                               
 

chvalabohu, bezpečnostné riziko sa ma netýka, mám totiž smerovač D-Link! :D
Odpovedať Známka: 7.9 Hodnotiť:
 

... z roku 2003, ktory je chraneny svojou obscolentnostou :D. Windows mal tiez problem s SMB (alebo TPC/WinSocket?), kedy Win XP nebol postihnuty, ale vsetky novsie verzie Windowsu ano.
Odpovedať Známka: 8.3 Hodnotiť:
 

presne tak. Starú babku málokto bude obťažovať. 😁
Odpovedať Známka: 8.0 Hodnotiť:
 

Furt lepšie ako ZTE od swanu.
Odpovedať Známka: 7.1 Hodnotiť:
 

Kdyz si das do routru lede, internet pak skvele jede
Odpovedať Známka: 9.4 Hodnotiť:
 

jj, krasna ludova pranostika, ktoru mozem len potvrdit.
Odpovedať Známka: 9.2 Hodnotiť:
 

.....totiz presne naopak, FBI chce updatnut novy explait, potrebuje len malicku sucinnost uzivatelov, a to restart zariadeni aby nove 3x zadne, predne, bocne, vrchne a spodne vratka mohli fungovat.
Odpovedať Známka: 7.1 Hodnotiť:
 

To by ešte trebalo na Google+ všetkým užívateľom našedulovať presný čas kedy reštartovať ich zariadenia, aby priekazne mohli.
Odpovedať Známka: -5.3 Hodnotiť:
 

Keď v tom má prsty Cisco, tak to inak byť nemôže... NSA má jedny vrátka, CIA má druhé vrátka a aj FBI chce mať jedny vrátka. Samozrejme do toho treba zahrnúť zlých ruských hackerov, čo zmanipulovali voľby a sídlia v Cambridge.
Odpovedať Známka: 8.1 Hodnotiť:
 

To majú z toho, že nakupujú čínske napodobeniny.
Majú si kúpiť originál z Číny.
Odpovedať Známka: 8.7 Hodnotiť:
 

Čo na to CZ AV zn.: Avast Premium Universal 2018, Eset IS Smart Security GTX. Tie nevidia nekalú nepľechu v modemoch? Mali by.
Odpovedať Známka: -3.3 Hodnotiť:
 

Nepoznajú detaily ako vektor útoku, komunikácia prebieha šifrovane takže nevedia aký má formát a čo sa prenáša, ale už vedia že sú za tým Rusi. To je zaujímavé...
Odpovedať Známka: 9.3 Hodnotiť:
 

Hovorí sa tomu logika. Predsa keby boli pred tým,priekazne by to nebolo vidno.
Odpovedať Známka: 1.8 Hodnotiť:
 

Člen Ruskej hackerskej skupiny Fancy bear na dovolenke

https://i.imgur.com/fBML58c.png
Odpovedať Známka: 10.0 Hodnotiť:
 

LEDE mi islo naozaj lepsie, ako originalny firmware ale malo dve neprijemne "vlastnosti" 1. nefungovala tlaciaren, presnejsie povedane, blbla 2. wifi chipset sa v (ne)pravidelnom intervale zasekol a pomohol len restart routra. Teraz pouzivam iny alternativny firmver a s tym funguje aj tlac aj wifi
Odpovedať Známka: 10.0 Hodnotiť:
 

Vo velkom kancli bez toho aby si musel chodit pre papier? :D
Odpovedať Známka: 6.7 Hodnotiť:
 

Aj ja som mal problem s LEDE, 1. moj router nebol podporovany.
Odpovedať Známka: 10.0 Hodnotiť:
 

A ktory firmware pouzivas teraz na to?
Odpovedať Hodnotiť:
 

Tu je oficialny komentar od Mikrotiku, domnievaju sa ze to zneuziva chybu ktora je opravena od marca 2017 a ak je malware pritomny na routri, staci jeho upgrade.

http://dopice.sk/lvl
Odpovedať Známka: 10.0 Hodnotiť:
 

skoda, ze BFU nekupuje mikrotik, ale Linksys za viacnasobne prachy.
Odpovedať Hodnotiť:
 

Kvoli bezpecnosti som sa rozhodol zalozit skupinu na nakodenie vlastneho softu pre routre v strojovom jazyku. Ak niekoho niekde nieco napadne, nech pokracuje tu. Na rozbehnutie projektu ponukam prvy Bajt:
C3

Odpovedať Známka: -2.0 Hodnotiť:
 

Udelujem vam pokutu za prznenie lubozvucneho slovenskeho jazyka opatovnym a nespravnym pisanim slova detegovat. Pokuta je zatial symbolicka, 2 eura na ucet ministerstva slovenciny. Dakujem
Odpovedať Známka: 0.0 Hodnotiť:
 

Zasekavaju sa mi klavesy, niektore ciarky mi vypadli. Ospravedlnujem sa. Dakujem.
Odpovedať Hodnotiť:
 

Ospravedlnenie sa samozrejme príjma, vždy u pani úradníčky vo vašom príslušnom obvode, počas pracovných hodín, nezabudnite si priniesť žiadosť overenú notárom a 5 eurový kolok, v opačnom prípade sa očakáva z vašej strany samopokutovanie za chýbajúce čiarky v dvojnásobnej výške bežnej pokuty nakoľko minister slovenčiny by mal ísť príkladom ako slovenčinu neprzniť, radšej dvakrát vykonať skúšku správnosti a čiarky vždy dopĺňať gramaticky správne. Ďakujem.
Odpovedať Známka: 10.0 Hodnotiť:
 

Stalo sa. Ziadost podana. Cakam na vyrozumenie. Dakujem.
Odpovedať Hodnotiť:
 

Napisat "Ospravedlnujem sa" je nepripustne.
Ako moze niekto sam seba ospravedlnit?
Mohol by si napisat:
"Ospravedlnte ma"
My ta vsak nepspravedlnime, vypadni chrapúň
Odpovedať Známka: 3.3 Hodnotiť:
 

Ale je to pripustne. Len to by ste musel v skole davat pozor a pouzivat tu vec na krku aj na ine veci ako vypustanie klavych slov a prijimanie potravy, ze?
Odpovedať Hodnotiť:

Pridať komentár