Marta Janus
Analityk zagrożeń, Kaspersky Lab Polska

Małe routery WiFi, access pointy i modemy DSL nie od dziś stanowią niemal nieodłączną część sieci domowych, biurowych, publicznych czy korporacyjnych. Jak takie urządzenia wyglądają pod kątem bezpieczeństwa? Czy mają zaimplementowane wszystkie niezbędne mechanizmy ochrony? Czy producenci takich urządzeń kładą wystarczający nacisk na ich bezpieczeństwo? Czy administratorzy / dostawcy Internetu zdają sobie sprawę ze wszystkich zagrożeń, wynikających np. z niewłaściwej konfiguracji sprzętu?

KoÅ„cowi użytkownicy modemów i maÅ‚ych routerów WiFi czÄ™sto nie sÄ… profesjonalistami w dziedzinie administracji sieciÄ…, zresztÄ… wielu "profesjonalych" administratorów również popeÅ‚nia podstawowe bÅ‚Ä™dy, czy to z braku wiedzy czy też lekceważenia lub zwykÅ‚ego lenistwa. Niektóre aspekty - takie jak np. kwestia szyfrowania - sÄ… popularne, czÄ™sto poruszane i już w pewnym stopniu zakorzenione w Å›wiadomoÅ›ci spoÅ‚eczeÅ„stwa informacyjnego. Każdy wie, że WEP jest zÅ‚y - nawet przysÅ‚owiowa Pani Krysia z gazowni. Niemniej jednak rzadkoÅ›ciÄ… nie jest paradoksalna sytuacja, kiedy router używajÄ…cy silnego WPA2 ma jednoczeÅ›nie sÅ‚abe hasÅ‚o, bÄ…dź (albo co gorsza "oraz") interfejs zarzÄ…dzania dostÄ™pny dla sieci WAN.

Wyobraźmy sobie niebezpieczeÅ„stwa, które mogÄ… wynikać z nieautoryzownego dostÄ™pu do routera. Przechwytywanie ruchu sieciowego, wykradanie kluczy WEP/WPA2, zmiana hasÅ‚a dostÄ™powego, tworzenie backdoorów w firewallu, przekierowywanie portów czy podmiana adresów DNS - żeby wymienić tylko te najbardziej oczywiste. Nieco mniej oczywistym jest fakt, iż wszystkie te czynnoÅ›ci mogÄ… być wykonywane automatycznie - przez szkodliwe oprogramowanie. Brzmi niewiarygodnie? Nie, jeÅ›li przypomnimy sobie epidemiÄ™ robaka Psyb0t, majÄ…cÄ… miejsce na poczÄ…tku roku 2009, lub jego nastÄ™pcÄ™ o wdziÄ™cznej nazwie "Chuck Norris", który w zeszÅ‚ym roku byÅ‚ na dobrej drodze do stworzenia caÅ‚kiem pokaźnego botnetu.

Oba te zagrożenia atakowaÅ‚y urzÄ…dzenia sieciowe o platformie MIPSel, z systemem operacyjnym opartym o system Linux, w tym routery i modemy DSL takich producentów, jak Linksys, Netgear czy D-Link. Również sposób rozprzestrzeniania siÄ™ jest podobny w obu wypadkach: po pierwsze wykonywany byÅ‚ atak sÅ‚ownikowy na wszystkie urzÄ…dzenia znalezione w sieci, ponadto, w przypadku wielu konkretnych urzÄ…dzeÅ„ stosowane byÅ‚y wyspecjalizowane exploity. Oba robaki po udanej infekcji Å‚Ä…czyÅ‚y siÄ™ z serwerem IRC i oczekiwaÅ‚y na dalsze komendy. Ponieważ system operacyjny urzÄ…dzeÅ„ sieciowych jest zazwyczaj tylko-do-odczytu, zagrożenia te rezydowaÅ‚y w pamiÄ™ci RAM, a ich usniÄ™cie ograniczaÅ‚o siÄ™ do restartu urzÄ…dzenia. Jednak biorÄ…c pod uwagÄ™ fakt, że przeciÄ™tny router dziaÅ‚a 24/7, okres infekcji mógÅ‚ być caÅ‚kiem dÅ‚ugi. Natomiast jeÅ›li w sieci znajdowaÅ‚y siÄ™ inne zainfekowane urzÄ…dzenia, router byÅ‚ za każdym razem reinfekowany - zakÅ‚adajÄ…c, że nie zostaÅ‚y podjÄ™te żadne dziaÅ‚ania majÄ…ce temu zapobiec.

JakÄ… drogÄ… malware może siÄ™ dostać na router? Przede wszystkim wykorzytujÄ…c sÅ‚abe hasÅ‚a i niewÅ‚aÅ›ciwÄ… konfiguracjÄ™. Zabawa z zaawansowanymi ustawieniami jest domenÄ… użytkowników posiadajÄ…cych wiedzÄ™ technicznÄ…, ci mniej zorientowani ufajÄ… producentowi sprzÄ™tu i ustawieniom domyÅ›lnym. A te niestety bardzo czÄ™sto bywajÄ… niewystarczajÄ…co bezpieczne. Oprócz luk w ustawieniach, wykorzystywane sÄ… również luki w oprogramowaniu: uaktualnienia wychodzÄ… rzadko, ludzie też raczej niechÄ™tnie podejmujÄ… siÄ™ aktualizacji firmware'u swoich urzÄ…dzeÅ„. Inne "tylne wejÅ›cie" może stanowić usÅ‚uga UPnP, która pozwala aplikacjom dynamicznie zmieniać ustawienia routera bez koniecznoÅ›ci uwierzytelnienia, a której wyÅ‚Ä…czenie przysporzyÅ‚oby administratorowi sporo dodatkowej pracy.

W tym Å›wietle urzÄ…dzenia sieciowe zdajÄ… siÄ™ stanowić stosunkowo Å‚atwy Å‚up dla cyberprzestÄ™pców i jednoczeÅ›nie Å‚akomy kÄ…sek: poczÄ…wszy od dobrej kryjówki (bo kto by szukaÅ‚ zÅ‚oÅ›liwego oprogramowania na routerze), poprzez dostÄ™pność 24/7, aż po spore możliwoÅ›ci (transparentne monitorowanie caÅ‚ego ruchu sieciowego, przekierowywanie użytkowników do szkodliwych stron, zmiana strategicznych ustawieÅ„ routera, etc).

Jak wiÄ™c można siÄ™ bronić przed tego typu atakami? Zacznijmy może tak: niech każdy posiadacz routera - zarówno "zwykÅ‚y" użytkownik, jak i profesjonalny administrator - odpowie sobie teraz na poniższe pytania:

"Jak brzmi moje hasło do routera?"
"Czy jest wystarczajÄ…co silne?"
"Czy można je złamać metodą słownikową?"
"Czy przypadkiem nie zapomniałem/zapomniałam zmienić go i wciąż stosuję domyślne?"

Jeśli przeszliśmy pozytywnie ten sprawdzian, możemy sobie pogratulować pierwszej linii oporu. Teraz jeszcze rzut oka na inne ustawienia: czy zdalny dostęp do routera jest włączony i czy jest on nam koniecznie potrzebny? Czy usługa UPnP jest nam na pewno niezbędna? Czy posiadamy najnowszą dostępną wersję oprogramowania dla naszego sprzętu?

Czytelnik tego artykuÅ‚u prawdopodobnie dysponuje wystarczajÄ…cÄ… wiedzÄ…, aby poradzić sobie tak z odpowiedziÄ… na te pytania, jak i z wykonaniem odpowiednich czynnoÅ›ci zabezpieczajÄ…cych. Jednak nie każdy, kto posiada w domu router, musi interesować siÄ™ dziedzinÄ… IT na tyle, aby Å›ledzić portale poÅ›wiÄ™cone bezpieczeÅ„stwu czy przeszukiwać Internet pod kÄ…tem podobnych informacji. O bezpieczeÅ„stwo takich użytkowników powinni wiÄ™c zadbać specjaliÅ›ci - dostawcy usÅ‚ug internetowych (którzy czÄ™sto sÄ… również dostawcami sprzÄ™tu sieciowego) oraz producenci urzÄ…dzeÅ„ sieciowych, przynajmniej tych przeznaczonych do użytku domowego. Przede wszystkim wiÄ™kszÄ… wagÄ™ powinni oni przykÅ‚adać do odpowiednich ustawieÅ„ domyÅ›lnych, oprogramowanie zaÅ› powinno być poddawane regularnym testom bezpieczeÅ„stwa i aktualizacjom. Dobrym pomysÅ‚em byÅ‚oby również przyporzÄ…dkowanie do każdego urzÄ…dzenia silnego, unikalnego hasÅ‚a domyÅ›lnego.

Być może malware dla urzÄ…dzeÅ„ sieciowych nie jest dziÅ› bardzo popularny, nie jest również szeroko rozpowszechniony. Jednak istnieje - i z tego faktu warto zdawać sobie sprawÄ™. Zainfekowany router to zagrożenie dla wszystkich jego użytkowników, dlatego jego bezpieczeÅ„stwo powinno być dla nas tym bardziej istotne.