Безопасность - роутер

[DarkNightRider]

Конкретный пример:

Похоже на воровство куки

Стащил чего-то?

Только почту почитал

Дело в том, что настройки такие, что пароля нет. Вход через ЯндексКлюч. Т. е. это не кража пароля. Свежая ось. Лицензия. Прог мало. Роутер нормальный. Читает почту. Бабло не крадёт

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

[Vadi2323]

В современные роутеры имеют функцию автообновления.

Что то я так подумал и... чёрт его знает, как оно там обновляется, по шифрованному каналу или по открытому. И чем лучше админ (на сервере) техника? Лучше подписаться на новости или проверять периодически. И ставить вручную.

[kreims]

Как вариант можно еще себя обезопасить прошив роутер альтернативной прошивкой dd-wrt или opewnwrt
Почитать с чем его едят здесь
https://ru.wikipedia.org/wiki/DD-WRT
https://ru.wikipedia.org/wiki/OpenWrt

Прошивки брать здесь
https://openwrt.org/
и здесь  https://dd-wrt.com/

[farsky]

Ну увидят ресурсы мной посещаемые, неприятно но не кретично. Каким образом подмена DNS открывает доступ к настройкам роутера?
Для взлома моего Wi-Fi хакеру придется приехать на адрес моего места жительства, не много сложновато ехать куда-то ради неизвестно чего. Не находите? Я кстати Wi-Fi не использую, у меня провод.

провайдер видит ресурсы, где вы сидите. Преступник это узнает и приезжает с утюгом.

Для повернутых на безопасности есть способ обойтись совсем без DNS. Способ довольно неудобный и подходит только для ограниченного списка важных сайтов типа MEW, биржи, банки и т.д. Открываем в windows файл hosts и для нужного домена прописываем его ip. Теперь при открытия данного сайта не будет делаться запрос к DNS-серверу, а сразу откроется указанный ip-адрес. В качестве бонуса вы получите чуточку более быструю загрузку.
Сложность в том, что у крупных популярных сайтов обычно множество ip-адресов, а в hosts можно прописать только один. Даже если у сайта только один ip, он может со временем измениться. Поэтому если сайт не загрузится, придется выяснять актуальные ip для этого домена и снова править hosts файл.

Можете разъяснить почему Др.Веб постоянно на этот файл ругается?
А способ занятный. Реально для тех у кого куча бабла и паранойи.

инсталяторы краденных прог прописывают туда нулевые айпи по адресам обновления/проверки лицензии для этих прог. По сути это вмешательство, с прописывание ложных айпи.
поэтому заходите и проверяйте глазками, там все понятно.
(данная информация не является руководством к действию и предоставлена только в ознакомительных целях, лично я категорически осуждаю установку нелицензионного краденного ПО)

мое мнение - лучше использовать ДНС не от Гугла, а ОпенДНС, которым владеет Циско.
https://ru.wikipedia.org/wiki/OpenDNS)
или от Комодо
https://ru.wikipedia.org/wiki/Comodo#Comodo_Secure_DNS[32]
и точно не от Яндекса.

P.S. народ, есть ли рейтинг роутеров по безопасности ?
на ру-источниках находил такой список: MikroTik, Linksys и Zyxel.
Может кто владеет инфой.
И верно ли я понимаю, что сейчас следует избегать моделей, на которые можно ставить софт ?

[kreims]

Тут точной информации никто не предоставит.
Если по порядку
1 Микротик - многофункциональный роутер который позволяет работать далеко не с одним и даже не парой днс, можно скриптом настроить проверку адреса сайта от разных днс, расширенные функции в плане безопасности, файрволл можно настроить вплоть до параноидальной реакции.Аналогично можно подключить 2 провайдера и работать с 2мя днсами провайдера с проброской к внешним днс сервисам и жесткой привязкой маршрута.Также можно вывести рабочий пк в отдельную подсеть.
Минус - сложность настройки.
2 Cisco - основной упор делают на бесперебойность работы, также позволяет реализовать отдельный влан.
Минусы - зачастую бюджетные модели режут скорость и в плане безопасности нужно самостоятельно следить за обновлениями ПО
3 Linksys - подразделение Cisco для домашнего пользования, особых отличий от обыкновенных роутеров незамеченно.
4 Zyxel - Давно зарекомендовавший себя производитель, в большинстве вланить умеет только гостевую сеть беспроводных устройств, безопасный интернет реализовывает через днс яндекса ( дальше я думаю можно нерассказывать), в плане взлома аналогичен тп-линку.

[BurningInside]

При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.

[esmanthra]

Тут точной информации никто не предоставит

А что насчет перспективы сделать собственный роутер? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.

[vasilijsinicin0155]

Спасибо автору за тему,кому то будет полезно наперед знать,что и как.Свой роутер прошивал и настраивал сам нО!подключать  в телефонном режиме провайдер отказались секретная информация! приехали порты при мне свои прописали и все)))я думал денег возьмут,Нет! ) зачем сии выезды были!?

[acrylic]

На самом деле это только один из многих взломов, о которых мы даже еще не знаем. В любом случае, даже после таких процедур, мошенники не будут спать и будут думать как дальше продолжать обкрадывать народ.

[kreims]

Тут точной информации никто не предоставит

А что насчет перспективы сделать собственный роутер? Не пробовали?
По настраиваемости-то вариант, пожалуй, даже Микротику не переплюнуть. Самое то должно быть для совсем уж параноиков.

Можно и самому реализовать микротик на старом ПК (какой нибудь Пень 3 пойдет),скачиваем Microtik RouterOS,записываем ну скажем так на что нибудь (флэшка, диск,жесткий небольшого обьема) и вперед, инструкции по настройке и как поломать лицензию в инете есть.
Если хочется полного тоталь с извращениями тогда Pfsense - подробнее тут https://habr.com/post/257787/

[katania11]

При условии прямых рук, конечно можно всё настроить должным образом

[GhostWithin]

При покупке в магазине смотреть, чтобы коробка была запечатанной, без следов вскрытия.

Но это уже перебор. Может еще и продавца проверить, что он не сотрудник спец служб.
Ровно как и так трепетно относиться к обновлению прошивки. Качайте ее с официального сайта и на этом все.

Меры, которые описаны в постах (ссылки ниже) легко применимы и даже избыточны, но их использование не только оберегает от взлома, но и воспитывает в Вас привычку заботиться о безопасности
https://bitcointalk.org/index.php?topic=2944516.msg30241748#msg30241748
https://bitcointalk.org/index.php?topic=2944516.msg30819504#msg30819504

[kreims]

Чуть обновлю ветку - много полезной информации про настройку, проверку и действующие днс сервера можно почитать здесь
https://www.bootdev.ru/2018/04/DNS-Server-list.html
Есть скрины должно быть понятно.

[Molyano]

Вам это не поможет, со своей машины вообще нельзя ничего делать

[BurningInside]

Хакеры открывают SMB-порты роутеров, чтобы использовать против них эксплоиты АНБ

Специалисты компании Akamai предупредили о новой вредоносной кампании EternalSilence, направленной на массовую компрометацию роутеров. Злоумышленники целенаправленно открывают SMB-порты роутеров, чтобы добраться до устройств, расположенных за ними.

Исследователи пишут, что преступники эксплуатируют технику UPnProxy, о которой впервые стало известно в апреле 2018 года. Данный метод подразумевает эксплуатацию уязвимых UPnP-сервисов и последующую модификацию таблиц NAT (Network Address Translation). Так атакующие создают кастомые правила, позволяющие, например, обращаться к публичному IP-адресу роутера по определенному порту, чтобы затем произошла автоматическая переадресация на другой IP-адрес и порт.

Но если в апреле UPnProxy применялась для проксирования трафика, то теперь эксперты Akamai обнаружили новый вариант применения этой техники. Теперь атакующие модифицируют таблицы NAT таким образом, чтобы иметь возможность извне подключиться к SMB портам (139, 445) и устройствам, расположенным за роутером.

По подсчетам исследователей, перед подобными атаками уязвимы порядка 277 000 роутеров, и 45 113 из них уже подверглись компрометации. Так, один атакующий или одна и та же хак-группа внесли в NAT пострадавших устройств запись «galleta silenciosa». Специалисты считают, что взлом такого количество роутеров привел к компрометации множества других устройств за ними, и оценивают число пострадавших девайсов примерно в 1,7 млн.

Что именно злоумышленники делают с пострадавшими устройствами далее, не совсем ясно, однако специалисты убеждены, что дальнейшая вредоносная активность связана с использованием знаменитого эксплоита EternalBlue. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. В частности, он использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе атак малвари NotPetya.

Более того, аналитики Akamai считают, что в данной вредоносной кампании задействован также и эксплоит EternalRed – это вариация EternalBlue, предназначенная для заражения Linux-систем и работающая с Samba.

«Главной целью здесь являются не таргетированные атаки. Это попытка выгодно использовать уже проверенные и готовые к работе эксплоиты, закидывание большой сети в сравнительно маленький водоем, в надежде, что удастся собрать пул из ранее недоступных девайсов»

, — резюмируют исследователи.

Источник: https://xakep.ru/2018/11/29/eternalsilence/

[numb-f]

...Исследователи пишут, что преступники эксплуатируют технику UPnProxy...

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.

[kreims]

...Исследователи пишут, что преступники эксплуатируют технику UPnProxy...

Когда-то у меня был роутер, в инструкции к которому прямо было написано, что службу Universal Plug and Play (UPnP) в роутере следует отключить (если точнее не включать, в том роутере она по умолчанию была выключена с завода), т. к. стандарт сырой, дырявый и ненужный. Поэтому смело выключайте, разницы никакой и безопасней без неё.

Здесь наверное лучше дополнить - службы выключить, а те приложения которые уже прописаны прописать вручную.
Например тот же скайп, торрент и т.д - опять же отфильтруете ненужные приложения которые смотрят в инет.

[DarkNightRider]

https://www.grc.com/x/ne.dll?bh0bkyd2

По данной ссылке можно проверить состояние портов, провести тест Universal Plug n'Play (UPnP) Internet Exposure Test. Сайт на английском, но понять можно что к чему.

Также на главной странице можно почитать интересную информацию по безопасности веб-сёрфинга (английский) https://www.grc.com/default.htm

[DarkNightRider]

Любопытный способ проникновения из "роутерной" тематики:

Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений безопасности от Microsoft обе уязвимости были устранены.

«Подобные уязвимости эксплуатируются следующим образом. Злоумышленник настраивает на своем компьютере DHCP-сервер, который будет отвечать на запросы сетевой конфигурации умышленно поврежденными пакетами, — поясняет эксперт Positive Technologies Михаил Цветков. — В некоторых сетях атаковать можно с мобильного телефона или планшета. Далее злоумышленнику требуется дождаться момента, когда уязвимый компьютер на базе Windows 10 запросит обновление аренды IP-адреса (что происходит обычно раз в пару часов), и отправить нелегитимный ответ, позволяющий получить права анонимного пользователя на компьютере жертвы».

Подробнее: https://www.securitylab.ru/news/498445.php

Для взломаного роутера можно было на самом роутере ставить "полхой" DHCP-сервер, либо настраивать DHCP Relay для получения сетевых параметров от внешнего DHCP-сервера.

Любителям пользовать Win XP через виртуалку через общий LAN тоже можно так проблем доставить.

Обещают, что саму уязвимость в ОС закрыли.

[kreims]

Обновлю ветку - для владельцев роутеров Mikrotik.
На данный момент активно растет уязвимость CVE-2018-14847, ботнет hajime атакует роутеры по порту 8291 который используется для утилиты Winbox.
Атаке подвержены роутеры с версией ПО 6.38.4 и ниже. Так что незыбываем обновлять ПО своих роутеров.
Более подробно можно почитать здесь  https://xakep.ru/2018/03/29/hajime-hunts-mikrotik/ и здесь https://www.kaspersky.ru/about/press-releases/2017_hajime-the-mysterious-evolving-botnet