Hacking | Router | CZ.NIC

CZ.NIC: Váš domácí Wi-Fi router musí zastavit nejméně 250 útoků každý den

CZ.NIC se na svém blogu pochlubil nelichotivými čísly o útocích zejména na domácí routery. Jejich počet rok od roku roste o stovky procent, právě síťové krabičky v domácnostech totiž patří k těm nejzranitelnějším. Běžná maminka, tatínek nebo babička zpravidla nezvládnou aktualizaci firmwaru a automatická a častá aktualizace bohužel stále není u těchto citlivých zařízení samozřejmostí.

CZ.NIC už nějaký pátek provozuje projekt HaaSHoneypot as a Service, v rámci kterého může každý technicky zdatnější uživatel proměnit svoji síťovou krabičku s tvárnějším Linuxem (přístup skrze SSH apod.) ve vábničku, na kterou může každý útočit. Vše je přitom ze strany majitele naprosto bezpečné, na krabičce totiž poběží speciální proxy program, který přesměruje komunikaci na vybraném portu na server CZ.NIC.

Přes 250 útoků na domácí router každý den

Projekt CZ.NIC HaaS evidoval za pouhý půlrok 73 milionů spojení útočníků a 42 milionů provedených příkazů. Při počtu zapojených účastníků (zejména majitelé routerů Turris) to dělá okolo 250 útoků na domácí router každý den.

e149771d-d407-4815-b5ef-9c5b78b1ce8c47ad27ff-0a55-45ae-8b72-0d6199a7aa38
e5589af2-d56f-484d-ac70-27a7d99d4138e08807b5-0520-47c7-9b36-3860b4fa4951
Podle dat projektu HaaS čelí domácí routery nejméně 250 útokům každý den. I to je důvod k tomu, proč by nás jejich zabezpečení a čerstvý firmware měly zajímat stejně jako zabezpečení samotného koncového počítače, laptopu a mobilu.

Takže pokud bude mít útočník zájem třeba o port 22, na kterém standardně běží linuxový terminál SSH, krabička s HaaS klientem tuto komunikaci přesměruje na zdánlivě nezabezpečený server CZ.NICu s vábničkou, která poté bude veškerou komunikaci útočníka evidovat. CZ.NIC (a vy díky přehledům) se pak můžete podívat, z jaké IP adresy a země se útočník na daný port připojil, jaký login a heslo použil a jaké linuxové příkazy se pokoušel provádět.

V drtivé většině případů tyto útoky provádějí automatické programy běžící třeba na rozsáhlém botnetu – síti zavirovaných počítačů. Takový program prochází jednu IP adresu za druhou a zkouší, jestli je na ní otevřený (třeba) port 22. Pokud ano, zkusí se přihlásit obvyklými kombinacemi loginu a hesla správce. Když se mu to podaří, provádí další příkazy.

9e951fd1-e62d-485f-9c6f-e5741fb643eb24c19230-65e8-4d11-b15c-d282f912f008
Soukromé přehledy o útocích na IP adresu domácnosti a službu SSH

Chytřejší útočné programy přitom po úspěšném přihlášení zkoušejí detekovat, zdali není cíl právě jedna z vábniček. Třeba tak, že zkoušejí různé a zdánlivě nevinné příkazy a dle odpovědí zjišťují, jestli daná linuxová instance neběží třeba ve virtuálním prostředí.

Mnoho podobných robotů pak často provádí jen základní evidenci. Pokusí se tedy přihlásit a zkusí nějaký nevinný příkaz, načež spojení ukončí. Buď se jedná o nejrůznější analytické roboty bezpečnostních společností, které monitorují zabezpečení internetu věcí, anebo útočníky, kteří v první vlně pouze budují databázi potenciálních cílů.

Diskuze (16) Další článek: „Táto, ty ses zul!“ Panasonic řeší problém zapáchajících bot

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,