Почти в каждом доме, где проведен Интернет, установлен беспроводной Wi-Fi-маршрутизатор. Многие из нас прячут его в дальнем углу, чтобы он привлекал меньше внимания и не портил интерьер. При этом мало кто задумывается, что эта маленькая коробочка с мигающими лампочками объединяет все устройства, подключенные к домашней сети.

Ноутбук, мобильный телефон, телевизор, камеры безопасности — любой доступ к Интернету и локальной сети проходит через роутер. Любая потенциальная киберугроза, угрожающая безопасности пользовательских устройств и данных, должна пройти через маршрутизатор, прежде чем она достигнет самой домашней сети и подключенных к ней устройств. И если в маршрутизаторе имеется уязвимость, злоумышленники смогут беспрепятственно проникнуть в домашнюю сеть и поразить любое подключенное к ней устройство, например, iPad или холодильник.

За последние несколько месяцев специалисты Avast оценили уровень надежности более 4,3 миллиона роутеров по всему миру и обнаружили, что 48% имеют уязвимости. Данная ситуация сильно напоминает об уровне защищенности персональных компьютеров в 1990-е, когда известия об обнаруженных уязвимостях в системе защиты ПК поступали почти каждый день.

Домашний маршрутизатор — слабое звено?

К большому сожалению нужно признать, что домашние маршрутизаторы зачастую содержат множество уязвимостей в силу того, что между производителями роутеров, интернет-провайдерами и специалистами по безопасности нет понимания и согласия по вопросу, кто и как должен обеспечивать защиту данных устройств.

С одной стороны, производители техники находятся под давлением торговых сетей и интернет-провайдеров и вынуждены продавать свои роутеры по очень низким ценам, от 20 долл. за штуку. В итоге это негативно сказывается на качестве продукта. По большей части в роутерах используются однокристальные системы (SoC) без каких-либо дополнительных настроек. Таким образом, на рынке сотни тысяч, если не миллионы маршрутизаторов, в обновление софта которых не вкладываются никакие средства, что в итоге приводит к космическому росту числа уязвимостей.

С другой стороны, есть интернет-провайдеры, многие из которых продают проверенную технику. Их клиенты ожидают от них своевременного выявления и устранения неполадок в приобретенных устройствах.

Когда же дело доходит до обновления прошивки маршрутизатора, как производители, так и интернет-провайдеры умывают руки. Ни одна из сторон не распространяет автоматические обновления в случае появления пакета безопасности. Владелец устройства должен продемонстрировать незаурядные навыки, войти в настройки роутера и самостоятельно перепрошить устройство. По результатам исследования Avast, двое из пяти российских пользователей даже не подозревают, что их роутер имеет панель управления, где можно просмотреть и изменить параметры. Это объясняет, почему в половине случаев на устройствах стоит заводской пароль, такой как admin или password.

По данным Avast, только пятая часть россиян хотя бы раз обновляли прошивку маршрутизатора, а 7% регулярно проверяют доступные обновления. Многие потребители привыкли к тому, что умные гаджеты делают все сами, почему же роутеры требуют столько внимания?

Основные угрозы

Если злоумышленник решит атаковать маршрутизатор, то все устройства в домашней сети будут в группе риска. Уязвимости в маршрутизаторах могут повлечь целый ряд негативных последствий:

Перехват DNS-запросов: хакеры решают, какие страницы вам посещать. Служба доменных имен (DNS) — невероятно полезный сервис, благодаря которому пользователям не нужно запоминать IP-адреса. Много ли людей знают, что означают цифры 173.194.44.5? А это всего лишь настоящий адрес google.com, когда пользователь вводит его в адресной строке, интернет-провайдер автоматически переводит DNS-запрос. Однако его можно заменить и вручную, если иметь доступ к роутеру. Этим может воспользоваться злоумышленник и подменить правильный DNS-сервер провайдера на собственный. В случае, если протокол сайта не https, пользователь не может быть уверен, откроется настоящая страница или он окажется на фальшивом сайте, контролируемом мошенником. Если вы введете логин и пароль на таком сайте, то ваши данные окажутся в руках хакеров. Лучше обстоят дела у сайтов с протоколом https — браузер может предупредить пользователя, что это подозрительная страница.

● Ботнеты: создание армии зомбированных устройств. У многих роутеров настроен удаленный доступ по умолчанию. Если пользователь не меняет стандартные настройки, то его двери открыты для киберпреступников. Проще всего получить удаленный доступ к маршрутизатору через протокол SSH, Telnet-сервер или веб-интерфейс. Злоумышленник с легкостью найдет правильную комбинацию имени пользователя и пароля в сети и установит любую программу на роутер. Если это вредоносный бот, маршрутизатор станет частью ботнета и платформой для совершения DDoS-атак, рассылки спама или заражения других IoT-устройств.

● Инструменты мониторинга трафика: находка для шпиона. Злоумышленник может установить на маршрутизатор средства мониторинга трафика, такие как tcpdump. И прочитать все незашифрованные сообщения, проходящие через интернет-соединение.

● Прокси — плащ-невидимка для злоумышленников. В этом случае даже не нужно ничего устанавливать — если есть доступ к SSH-серверу, то злоумышленник может его использовать для маскировки при хакерской атаке. В этом случае злоумышленника нельзя обнаружить, так как будет виден адрес роутера, подвергшегося нападению.

● Уязвимость протоколов UPnP, Zeroconf, SSDP и Bonjour — дорога без препятствий. Многие IoT-устройства и роутеры содержат протоколы, с помощью которых дополнительным приложениям проще их найти. В большинстве случаев в настройках протоколов указан неверный путь и они не обновляются в соответствии с последними стандартами, из-за чего ваша сеть становится легкой мишенью для хакеров.

К примеру, универсальный Plug-and-Play-протокол, который упрощает подключение и конфигурацию устройств и программ, например таких, как PlayStation и Skype. Для того, чтобы сделать игру более захватывающей, разработчики позволяют размещать игру на консоли и подключать других игроков. Для этого у приставки должен быть публичный IP-адрес. Поскольку он обычно присваивается интернет-провайдером, это тот же IP-адрес, что и у роутера. Поэтому игровая консоль обращается к маршрутизатору посредством протокола Plug-and-Play для того, чтобы роутер представился игровой консолью, исполняя роль посредника. Тем не менее, реализация протокола Plug-and-Play в маршрутизаторе не всегда идеальна и содержит уязвимости, при эксплуатации которых злоумышленники могут получить доступ к внутренней сети.

● Слабые пароли: классика на все времена. В бесплатных Wi-Fi-роутерах могут применяться несколько типов шифрования — начиная с его полного отсутствия, заканчивая корпоративными и комплексными системами шифрования WPA2 с сервером идентификации. Учитывая, что даже WPA2-протокол не гарантирует безопасность при использовании слабых паролей, шифрование WEP или WPA может вообще вас не защитить. Восьмизначный пароль можно взломать в течение нескольких минут простым методом перебора. Вам следует хорошо подумать о пароле для Wi-Fi сети, не зря специалисты советуют выбрать комбинацию букв, цифр и специальных символов. Лучше даже подобрать целую кодовую фразу, а не слово. Важно помнить, что после того как злоумышленник подключится к роутеру, он проникнет в сеть и получает доступ абсолютно ко всем подключенным устройствам. Кроме того, если ненадежный или стандартный пароль используется для панели настроек роутера, то все устройства также подвергаются риску хакерской атаки. И это даже в том случае, если у административного интерфейса нет доступа к Интернету. Это относительно малоизвестный факт даже среди экспертов по безопасности.

Ненадежные пароли обычно становятся причиной хакерских атак, программные уязвимости и бэкдоры, такие как поддержка учетных записей и скрытые пароли, могут использоваться злоумышленниками для выполнения той же цели.

Домашние маршрутизаторы — неотъемлемая часть нашей жизни. Количество киберугроз растет с каждым годом, поэтому производителям, интернет-провайдерам и специалистам по безопасности самое время объединить усилия и создать интегрированную систему защиты для роутеров. Система безопасности должна контролировать сетевой трафик, вычислять аномалии и подозрительные действия в реальном времени, чтобы все подключенные устройства были защищены. Кроме того, органы регулирования всего мира должны контролировать регистрацию IoT-устройств. А производители — делать код устройства открытым, если они прекращают его обслуживание. Тогда пользователь сможет обращаться за поддержкой в другое место. Тот факт, что лишь немногие знают, как управлять настройками, говорит, что решения для роутеров должны бить простыми и понятными для каждого.

Автор статьи — технический директор компании Avast Software.

Версия для печати