CZ.NIC je na stopě botnetu vytvořeného z napadených routerů

Vubec ne. Ale vyrobce se muze pretrhnout, kdyz uzivatel na update kasle.

automaticka aktualizacia?

Třeba můj Airlive (Ovislink) na to jebe

Na 100% to zjistíš až ti zásahovka podobným způsobem zaťuká na dveře....o tý doby můžeš jen doufat
https://youtu.be/FycnER5Alug...

S naprostou jistotou dost těžko, navíc tohle není jediný útok, kterého byste se měl obávat.Pro klid duše můžete router přeflashovat (pro gurmány vzít programátor a pěkně si všechno sám nahrát do procesoru), změnit heslo, a teprve pak připojit k Internetu. Ale nikdo neříká, že se nenajde další chyba, o které nebudete vědět.Druhá varianta spočívá v tom, že monitorujete komunikaci zařízení, a dokážete odlišit tu podezřelou. To je mnohem náročnější, a (podle svých schopností) narazíte na spoustu falešných detekcí. Vlastně i v tomto případě jistotu mít budete pouze v případě odhalení útoku, do té doby pořádně nic nevíte.A nakonec na stránkách cz.nic najdete informace o bezpečnostních dírách v domácích routerech, informací tam asi bude mnohem víc. Už jsem to dlouho neviděl.

technická: pokud bude sledovat traffic, a bude jej sledovat na onom dost možná hacklém routeru, nemusí v případě opravdu dobrého hackera zjistit prostě vůbec nic (stealth techniky zametání); jistotu by měl pouze pokud by traffic sledoval na nehacknutém zařízení, resp. nehacknutelném, jenže kde takové vzít, že?

Přesně tak.Taková zařízení v práci používám, jsou to speciální hardwarové mašinky na analýzu a měření spojení. Je to dražší než auto (100Mbit starší Thalia, 1Gbit nová Fabia, 10Gbit nové Bentley) a výsledky z těchto mašinek jsou považovány za věrohodné (např. mezi ISP při problémech s connectem se protokol z takového měřáku bere jako pravda a nezpochybňuje se, maximálně se potvrdí měřením jinou mašinkou). Jednou jsem se setkal s nefunkčním měřákem (UPC nebo TMobile), nikdy jsem se nesetkal s chybným měřením.Existují i "průtokové" verze, což by se hodilo právě k tomuhle případu. Ale je pravda, že vzhledem k ceně a vyžadovaným znalostem (zacházet s takovým strojem a navíc rozumět tomu trafficu) je to spíš teoretická možnost.Spíš je lepší sledovat traffic na dalším zařízení v síti, což bude asi router ISP. To je sice mnohem jednodušší, ale jde to jen výjimečně.

mám tpwdr3600 s nahraným openwrt, ale přesně tohle jsem si říkal taky když jsem tam to openwrt dával - myslím, že telnet je tam bez hesla nebo s nějakým root/root, tak mě napadlo že jestli někdo umí tu chvíli než se přenastaví heslo využít, tak o tom ani nemusím vedet.

Kdyby sis ten článek pořádně přečetl a kouknul na odkazy v něm uvedené, tak bys našel seznam zařízení, kterých se to týká. Bylo to náročné a musel jsem 2x kliknout. ☺

.. a určitě jsi zjistil, že všechny uvedené zařízení jsou routery Asus ... .. uznale mručím .. hmmmmmmmm ....................................

Názor byl 2× upraven, naposled 25. 05. 2015 20:10

Já na své sítí eviduji (měsíční průměr) desítky podobných útoků za sekundu. To je naprosto normální a nešokující číslo.
Co je ovšem šokující, je to, že tak bezmezně věříte v NAT. Kdybyste napsal SPI, tak bych si řekl, že jste si vědom rizik, ale když napíšete NAT, vypadá to, že věříte, že vás to ochrání přede vším.Kéž by.

Ano, věřím, proti útoku na samotný router mne to chrání, dostat se na něj lze v podstatě jen přes můj počítač (o němž sice netvrdím, že je nehacknutelný, ale je tam už o něco vyšší šance, že bych si průniku třeba všiml). Jinak bohužel nerozumím, co je SPI, zkusil jsem cvičmo wikipedii, ale z oblasti security to může být hned několik věcí...http://en.wikipedia.org/wiki/SPI... P.S. Také nerozumím co znamená měsíční průměr za vteřinu...

http://cs.wikipedia.org/wiki/Stavov%C3%BD_firewall...
Funguje to (samozřejmě dle nastavní) přesně jako NAT - nepustí to dovnitř spojení nezahájená zevnitř.
Měsíční průměr za vteřinu vznikne tak, že vezmete počet útoků za celý měsíc a podělíte je počtem vteřin za měsíc. Tím získáte průměrný počet útoků za vteřinu za období jednoho měsíce.Útoky na mě jdou v asi 15 minutových vlnách dlouhodobě (nevím, čím jsou ty vlny způsobeny, protože jsou to různé servery všude po světě od různých útočníků, ale jsou takhle synchronizované - právě to pár týdnů analyzuji a na nic jsem nepřišel), takže kdybych dělal např. minutové průměry, budou se hodně lišit.NAT, stejně jako VLAN, má v RFC uvedeno, že v žádném případě neslouží jako bezpečnostní řešení. VLANy tak používá kde kdo, NAT taky, a ono to funguje. Tahle věta je tam podle mě uvedená hlavně proto, že ani VLAN ani NAT jako bezpečnostní řešení nebyly projektovány, byť nějakou ochranu poskytují.V každém případě je NAT vhodná první linie obrany (respektive pro veřejku SPI), jenom je třeba uvědomit, že nebezpečí číhá téměř všude, a nelze tak spoléhat pouze na NAT. Třeba torrenty NAT nějak prorazit umí, asi je k tomu potřeba i podpora v routeru. Stejně tak jakékoli spojení zahájené zevnitř NAT bere jako legitimní (VPN, malware), a nakonec je potřeba připomenout chyby v samotných routerech :(

Díky moc!

NAT vas pred utokem na samotny router opravdu nechrani, pokud si toto myslite, nemate ani elementarni znalosti TCP/IP, doporucuji nastudovat

aha, *ZA* NATem, pardon, dejme tomu ze to je o neco lepsi, ale stale to neni ono