Omdirigering av routern

Säkerhetsexperter har upptäckt en ny typ av dataangrepp som kan påverka miljoner runt om i världen. En enkel webbplats kan skapas för att manipulera hushållsroutrar – som används för att ansluta flera hemdatorer till Internet – så att bedragare kan samla in personlig information och lösenord.





Rogue kod: Säkerhetsforskare har bevisat att en ny typ av dataangrepp är möjlig. Kod gömd på en webbsida kan användas för att infiltrera hemroutrar och ändra domännamnsinställningarna.

Enligt forskare från Indiana University och antivirusprogramföretaget Symantec , kan alla med lite skicklighet söka efter sårbara hemroutrar och ändra kritiska inställningar så att riktiga webbplatser i hemlighet ersätts med falska sidor som ber om inloggningsinformation.

Det stora problemet är att du inte direkt kan se att det finns ett problem, säger Sid stam , en Ph.D. kandidat vid Indiana University's School of Informatics och en av forskarna i projektet.

Till exempel kan ett ovetande offer som skriver in domännamnet för hans eller hennes bank mötas av en sida som ser legitim ut. Men all inloggnings- och lösenordsinformation som skrivs in på den sidan skulle gå direkt till bedragaren.

I kärnan är attacken ett gammalt knep som kallas pharming. Men Stamm och hans kollegor hittade en ny twist: en webbsida, säger de, kan användas för att starta en attack mot hemroutrar och manipulera domännamnsserverinställningar. (Det har förekommit tidigare spekulationer om att den här typen av attack kan vara möjlig, men forskarna säger att de är de första som bevisar att en webbsida kan användas för att konfigurera om just dessa inställningar på routern.) Allt angriparen behöver är användarens interna Internet Protocol (IP)-adress och lösenordet för konfigurationsinställningarna på routern. Båda, säger Stamm, kan ofta lätt förvärvas i en fjärrstyrd, automatiserad attack.

Först sätter angriparen upp en webbsida för att locka offer med populärt innehåll, som kändisfoton, säger Zulfikar Ramzan , en senior huvudforskare på Symantec som också arbetade med routerprojektet. Medan offret tittar på bilderna tar osynlig kod upp användarens IP-adress och undersöker routern och letar efter ledtrådar som kan avslöja dess varumärke. En bild av företagets logotyp, till exempel, sparas vanligtvis på routern. Allt detta letande väcker inga röda flaggor eftersom routern tror att det bara är legitima förfrågningar om information från offrets hemdator.

När angriparen väl bestämt routerns varumärke kan han eller hon ofta gissa konfigurationslösenordet eftersom många använder tillverkarens standard, säger Stamm. Även om det inte är känt exakt hur många routrar som saknar adekvata konfigurationslösenord, publicerades en informell studie förra året i Journal of Digital Forensic Practice fann att 50 procent av hemanvändarna med en bredbandsinternetrouter antingen valde standard eller inte hade något lösenord alls. (Rotrar har ett annat valfritt lösenord för att hindra utomstående från att använda ett trådlöst nätverk, och folk använder ofta inte det lösenordssystemet heller. Men det är konfigurationslösenordet specifikt som används i denna attack.)

Med konfigurationslösenordet och IP-adressen kan angriparen enkelt ändra vilken domännamnsserver offret använder som internetkatalog. Det är som att angriparen har ersatt din telefonbok med en ny, säger Ramzan. Så nu får du adresser från angriparens telefonbok.

Nästa gång offret går till sin banks webbplats, till exempel, kan webbläsaren omdirigeras till en imiterad webbplats. Denna falska sida, som drivs av angriparen, används för att fånga offrets inloggnings- och lösenordsinformation.

Ramzan insisterar på att detta inte skulle kräva mycket skicklighet. Denna speciella attack är mycket kraftfull i det avseendet. Angriparen behöver inte vara så tekniskt sofistikerad för att montera den.

Lyckligtvis är det också enkelt att lösa problemet. Det enklaste sättet att försvara sig mot denna typ av attack är att ändra ditt [routerns konfiguration] lösenord, säger Ramzan. Tyvärr kräver inte routertillverkare att användarna upprättar nya lösenord eftersom de vill att deras programvara ska vara enkel att använda.

De ville förenkla processen, så de gjorde det så att folk inte riktigt uppmanades eller uppmuntrades att ändra lösenordet, säger Ramzan. Min känsla är att det är en ganska enkel förändring [för routerföretagen] att göra.

En annan enkel fix: gör standardlösenordet unikt. Lösenordet kan till exempel sättas initialt till produktens serienummer. Även om angriparen fortfarande kunde försöka gissa på serienumret, skulle varje misslyckat inloggningsförsök varna användaren med ett felmeddelande.

Men Ramzan säger att roten till problemet inte är konfigurationslösenordet. Det verkliga problemet är att en webbsida överhuvudtaget kan användas för att konfigurera om en routers inställningar. Det, säger han, är vad säkerhetsexperter kommer att behöva ta itu med framöver.

Routerforskarna säger att de ännu inte har sett någon faktiskt starta en sådan attack, och de hoppas att deras arbete kommer att öka medvetenheten så att folk ändrar sina lösenord innan det blir ett verkligt problem.

Det är en intressant upptäckt, säger Jeff Gennari, en Internetsäkerhetsanalytiker med CERT , ett koordineringscenter för datorsäkerhet etablerat av olika amerikanska federala myndigheter, inklusive det amerikanska försvarsdepartementet, och som drivs av Carnegie Mellon Universitys Software Engineering Institute. Att avslöja dessa typer av konfigurationsproblem visar hur komplicerad säkerhet kan vara.

Dölj