Безопасность - роутер

[Vadi2323]

Ушла налево информация о том, по каким сайтам я хожу, а также названия расшаренных папок LAN. Возможно был доступ по Wi-Fi к содержимому расшареных папок LAN, на тот момент в них ничего ценного не было, кроме личных фотографий в стиле ню шутка.

Ну относительно малой кровью. Потери только во времени.

Наверняка немало есть работников по такой схеме. Насколько мне известно, в Москве реально много кто просто "да я %имя_провайдера% купил - мне роутер поставили - все ок". Еще раз спасибо что поделились.

Так утекают не только сайты (домены), но и ссылки полностью, при желании взломщика. Когда направит с DNS на левый сайт. Некоторые ресурсы присылают на почту уведомления со ссылками, которые позволяют логиниться заодно, например Фотострана. В данном конкретном случае добавляется возможность перехватить такую ссылку и почитать переписку, и даже написать сообщение от чужого имени.

Зачем тему в Разное перенесли?

[1713256187]

1713256187

[1713256187]

1713256187

[1713256187]

1713256187

[Intlab]

Более наглядно, как это делается: Фишинг через незаметную подмену DNS https://youtu.be/ixNwLif4TqU

Рекомендую посмотреть, есть дельные советы.

Всё будет очень херово, если до вашего роутера доберутся обезьяны.

[LifeChain]

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено. Сейчас в реальности украсть инфу таким образом довольно сложно и то, что автор темы фактически ничего не потерял это подтверждает.

Причина этого в том, что сейчас практически везде используется протокол HTTPS, а браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени. Поэтому хакерам придется заодно каким-то образом добавить на свой фейковый сайт правильный сертификат, только где они его возьмут? Поэтому тема с подменой DNS фактически больше не работает, вернее работает только для HTTP и/или древних версий браузеров и некоторых труднореализуемых частных случаев.

Можно конечно сделать так, что браузер будет доверять левому сертификату, но для этого придется сначала получить доступ к этому компьютеру. По этой причине всем стоит трижды подумать, прежде чем пользоваться компьютерами на работе для доступа к кошелькам, биржам, банка и т.д.
Если я не прав, то объясните каким образом подмена сейчас может сработать.

[Intlab]

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено... браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени...

Хакеры могут увидеть, по каким ссылкам ходите и ничего хорошего в этом нет.

Что картины вообще, то кроме ДНС просто доступ к настройкам роутера с целью дальнейшего проникновения в домашнюю локальную сеть со стороны через Wi-Fi может быть очень опасен.

[Dondisimo]

Как лучше защитить себя?

[txsignatoire]

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено. Сейчас в реальности украсть инфу таким образом довольно сложно и то, что автор темы фактически ничего не потерял это подтверждает.

Причина этого в том, что сейчас практически везде используется протокол HTTPS, а браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени. Поэтому хакерам придется заодно каким-то образом добавить на свой фейковый сайт правильный сертификат, только где они его возьмут? Поэтому тема с подменой DNS фактически больше не работает, вернее работает только для HTTP и/или древних версий браузеров и некоторых труднореализуемых частных случаев.

Можно конечно сделать так, что браузер будет доверять левому сертификату, но для этого придется сначала получить доступ к этому компьютеру. По этой причине всем стоит трижды подумать, прежде чем пользоваться компьютерами на работе для доступа к кошелькам, биржам, банка и т.д.
Если я не прав, то объясните каким образом подмена сейчас может сработать.

Но тем не менее довольно неприятно, когда провайдер, точнее его фиксик с роутером приходит в твой дом и втупую пытается слямзить важную информацию. В любом случае нужно следить за этим и тут же присекать подобные действия, а лучше не молчать а сразу же вопрошать, что за дичь вы мне тут прописываете в DNS... Ну и как минимум понаблюдать за реакцией пойманного на горячем "хакера".

[esmanthra]

Если я не прав, то объясните каким образом подмена сейчас может сработать

Нате Вам полезную темку с биткойнтолка. И еще статейку из недавного. Википедию по запросу "DNS-hijacking" тоже можно почитать.

[LifeChain]

Я конечно не специалист по сетям, но значение DNS на мой взгляд сильно преувеличено... браузеры сильно поумнели и заботятся о безопасности пользователя. Они просто откажутся загружать сайт по HTTPS у которого сертификат не соответсвует доменному имени...

Хакеры могут увидеть, по каким ссылкам ходите и ничего хорошего в этом нет.

Что картины вообще, то кроме ДНС просто доступ к настройкам роутера с целью дальнейшего проникновения в домашнюю локальную сеть со стороны через Wi-Fi может быть очень опасен.

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

Но тем не менее довольно неприятно, когда провайдер, точнее его фиксик с роутером приходит в твой дом и втупую пытается слямзить важную информацию. В любом случае нужно следить за этим и тут же присекать подобные действия, а лучше не молчать а сразу же вопрошать, что за дичь вы мне тут прописываете в DNS... Ну и как минимум понаблюдать за реакцией пойманного на горячем "хакера".

Лучше потратить немного времени, разобраться и самому все настроить. Интернет в помощь.

Нате Вам полезную темку с биткойнтолка. И еще статейку из недавного. Википедию по запросу "DNS-hijacking" тоже можно почитать.

Тема на форуме очень древняя, меня интересует только современное состояние дел, то есть HTTPS и современные браузеры. В статье говориться только о подмене DNS, а не успешной подмене сайта.

Если кто не понял, я хочу услышать о возможности следующего варианта. Открывает Вася из закладок https://www.myetherwallet.com а попадает допустим на https://www.myetherwalet.com и браузер молча открывает сайт и не ругается. Ведь именно об этом варианте мусолится на форуме когда обсуждают якобы имевшие место подмены DNS при атаке на некоторые биржи. Одной подменой DNS серверов здесь не обойтись, нужно решить проблему с сертификатами.
Это в принципе возможно, я знаю несколько вариантов, но по силам только серьезным организациям или нужно иметь доступ к атакуемому компьютеру. Таким образом подмена DNS является только одним из необходимых компонентов атаки, чтобы успешно заманить пользователя на фишинговый сайт. Просто взломать даже серверы google ничего не даст.
Получается гораздо проще сразу отправлять жертву на фишинговый сайт дав ему ссылку на него (емайл, блог, форум и т.д.) тогда и проблему сертификатов решать не придется.

[Vadi2323]

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

[esmanthra]

нужно иметь доступ к атакуемому компьютеру

Плин, ну ясен-красен. Вы, похоже, ту древнюю тему даже не просмотрели. А там как раз речь шла об использовании вирусов для этих "благородных" целей.

Таким образом подмена DNS является только одним из необходимых компонентов атаки, чтобы успешно заманить пользователя на фишинговый сайт

Зачем сразу фишинговый сайт? Подмененный DNS-сервер может тупо собирать информацию, поступающую с компьютера пользователя (или "закачивать" на него что-то) - и никак не "светиться". Если взламывают роутер, получают доступ к его настройкам - а это не только прописывание "левых" DNS.

[DustyNomad]

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Хорошая статья. Сервис, на который там отправляют (grc.com) тоже годный - всё в закладках теперь.

Быстрые извлечения из статьи на Хакере:
1. Отключите UPnP - сделаете себе дополнительный защитный барьерчик.
2. Цитата последнего, резюмирующего абзаца:

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, — это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Так и напрашивается обзор роутеров и прошивок теперь

[Vadi2323]

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Хорошая статья. Сервис, на который там отправляют (grc.com) тоже годный - всё в закладках теперь.

Быстрые извлечения из статьи на Хакере:
1. Отключите UPnP - сделаете себе дополнительный защитный барьерчик.
2. Цитата последнего, резюмирующего абзаца:

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, — это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Так и напрашивается обзор роутеров и прошивок теперь

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

[LifeChain]

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Согласен, взлом роутера в разы опасней.

Зачем сразу фишинговый сайт? Подмененный DNS-сервер может тупо собирать информацию, поступающую с компьютера пользователя (или "закачивать" на него что-то) - и никак не "светиться". Если взламывают роутер, получают доступ к его настройкам - а это не только прописывание "левых" DNS.

Собрал левый сервер посещенные вами сайты дальше что с этой инфой делать? Продать ее рекламным кампаниям? А вы думаете легальные DNS-серверы не ведут логи? Еще как ведут.
Я говорю о том, что подмена DNS не ведет к взлому роутера, это не связанные между собой события.

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.

[Intlab]

Основано на реальной истории.

Для тех, кому лень много читать сразу напишу, что в основном необходимо следить за двумя вещами в роутере, через который подключаетесь к Интернету:

• в настройке DNS не должно стоять левой херни;
• должно быть обеспечено, чтобы никто не мог прописать херню в настройке DNS.

...

И отдельная сеть для рабочего компа: ПК <--> маршрутизатор, всё! Никаких там вайфаев с телефонами чтобы не было.

[esmanthra]

Я говорю о том, что подмена DNS не ведет к взлому роутера, это не связанные между собой события

Взлом роутера необязательно сопровождается подменой DNS - это верно. Но подмена DNS нередко сопровождает взлом роутера.
В любом случае я предполагаю, что ответ на свой вопрос Вы уже получили.

[DustyNomad]

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

Кастомную прошивку рассмотреть?
В свое время много перелопатил про роутер Асус WL-500 и его модификации. Вот он, по крайней мере с моим не самым широким опытом, выглядит весьма внушающе. И может претендовать на роль надежного гейтвея.

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.

Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.

[Vadi2323]

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

Кастомную прошивку рассмотреть?
В свое время много перелопатил про роутер Асус WL-500 и его модификации. Вот он, по крайней мере с моим не самым широким опытом, выглядит весьма внушающе. И может претендовать на роль надежного гейтвея.

Надёжный то надёжный. У меня несколько лет был надёжный и я расслабился в его уютной тёплой надёжности. Новый ненадёжный взломщик прошёл, а дальше мой компьютер, безопасности которого я недостаточно уделил внимания. Хотя тем не менее за несколько месяцев с ним так и не смогли окончательно справиться.

Вывод: защита должна быть многоуровневой. Пройдут 1 рубеж - не пройдут второй. Пройдут второй - не пройдут третий.

[Sybyll]

Тс, почему firmware сами сразу не обновили сразу свой не прошили в роутер? Это же вопиющее нарушение своей безопасности. ссзб одним словом

[Vadi2323]

К сожалению, есть вещь пострашнее подмены DNS: https://xakep.ru/2015/04/07/195-routers/

Хорошая статья. Сервис, на который там отправляют (grc.com) тоже годный - всё в закладках теперь.

Быстрые извлечения из статьи на Хакере:
1. Отключите UPnP - сделаете себе дополнительный защитный барьерчик.
2. Цитата последнего, резюмирующего абзаца:

Новые уязвимости в роутерах находятся постоянно, и какими-то из них успевают воспользоваться еще до того, как выйдет исправление. Все, что может сделать владелец маршрутизатора, — это отключить лишние сервисы, сменить дефолтные параметры, ограничить удаленное управление, почаще проверять настройки и обновлять прошивку.

Так и напрашивается обзор роутеров и прошивок теперь

В современные роутеры имеют функцию автообновления.

А отключать да, надо всё, что можно.

В современных много вкусных фишек для безопасности. Есть функционал сегментации сети, если неймётся телефон через WiFi гонять в Инет.

[LifeChain]

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.

Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.

Антивирусы не должны ругаться на этот файл, там нет ничего опасного. Другое дело, что всякие вирусы частенько используют его для своих черных дел, модифицируя его или подменяя своим.
Раз у вас Др. Веб ругается, я бы на вашем месте напрягся. Посмотрите внимательно, файл должен называться hosts и ни как иначе, не иметь расширения типа .txt или любого другого. Находиться должен в папке C:\Windows\System32\drivers\etc
Что именно пишет антивирус? Покажите содержимое файла, в нем нет ни секретного, так что ни бойтесь.

Если заморочиться, можно пойти еще дальше и сделать какой-нибудь скрипт, который будет периодически проверять актуальность данных и в случае необходимости вносить изменения в hosts файл.