Pozor na divné reklamy. Mohou během několika sekund zavirovat i váš Wi-Fi router

  • Máte antivirus na Windows?
  • Nestahujete divná APK pro Android?
  • Fajn, ale co váš router? Je stejně dobře zabezpečený?
Pozor na divné reklamy. Mohou během několika sekund zavirovat i váš Wi-Fi router

Netgear se musel v posledních dnech vypořádat se zranitelností několika svých populárních Wi-Fi routerů a rychle vydal alespoň betaverzi firmwarů pro postižené modely.

Bezpečnostní kauza připomněla dvě věci:

  1. Útočníci se stále více zajímají o domácí routery, které jsou neustále připojené k internetu a uživatelé jim nevěnují takovou pozornost jako svému počítači a mobilu. Jsou tedy ideálním cílem.
  2. Firmware routerů by se měl proto pokud možno aktualizovat průběžně a automaticky stejně jak to dnes dělají desktopové operační systémy. Hromada domácností přitom používá routery, které vyžadují ruční instalaci firmwaru, a tak jsou často nehorázně děravé.

Útoky na domácí Wi-Fi routery jsou z těchto důvodů poměrně oblíbené a záškodníci si svůj cíl mnohdy pečlivě vybírají. Nezajímají je spravované podnikové Wi-Fi sítě, ale přesně ta drobná wifinka u pana Nováka, který nejspíše nemá ani páru o tom, co že to ten firmware vlastně je.

Krásným příkladem je tento pečlivě zdokumentovaný útok, který dlouhé týdny studovali specialisté ze společnosti Proofpoint. Pojďme se tedy podívat do hlav záškodníků, kteří jej naplánovali krok za krokem.

Jak může vypadat útok na domácí Wi-Fi

Oběť bychom mohli nakazit třeba pomocí takzvaného malvertisingu, při kterém se snaží záškodník na svůj cíl zaútočit skrze podvodnou reklamu. V tomto případě však neútočí na váš mobil, laptop nebo třeba webový prohlížeč, ale právě na váš domácí router, přes který vše protéká, a tak je jeho ovládnutí mnohem lákavější a perspektivnější.

Jak tedy taková nákaza routeru propukne? Na začátku může být zdánlivě nevinný reklamní banner a to nikoliv na pochybné stránce s warezem nebo třeba pornografií, ale na vcelku běžném webu. Záškodník si totiž zakoupí jako každý jiný standardní reklamní prostor.

Klepněte pro větší obrázek
Vše začne zjištěním lokální IP adresy oběti

Součástí reklamního banneru je nicméně i docela drobný javascriptový kód, který pomocí technologie WebRTC a STUN získá vaši lokální IP adresu. Jak je to možné, je nad rámec tohoto článku, nicméně takové zjištění lokální IP adresy pomocí prostého Javascriptu si můžete vyzkoušet třeba na této stránce.

Je to domácí Wi-Fi? Tak to pokračujeme!

Pokud skript zjistí, že se jedná o typickou adresu malé domácí Wi-Fi sítě, třeba 192.168.1.154, zpozorní. V opačném případě jej přestaneme zajímat a prostě nám naservíruje nějakou relativně standardní reklamu, aniž by vzbudil podezření.

Když by však můj počítač měl onu pro něj lákavou IP adresu, bude se o mě skript dále zajímat a stáhne již záškodnický PNG obrázek. Na první pohled to bude reklama jako každá jiná, ale uvnitř souboru je v oblasti, kde jsou popisné informace, EXIF aj. uložený také HTML kód, který Javascript vyseparuje a zpracuje.

Klepněte pro větší obrázek
Vypadá to jako běžný reklamní obrázek, v jeho nitru je však v sekci metadat uložený HTML kód, který otevře neviditelný IFRAME a načte v něm další web

Jedná se o neviditelný IFRAME, ve kterém se ze serveru záškodníka načte další javascriptový kód, který opět stáhne drobný obrázek, v jehož útrobách je tentokrát uložený dešifrovací AES klíč. Skript jej opět vyseparuje a použije pro dešifrování dalších dat, která stáhne ze serveru záškodníka.

Klepněte pro větší obrázek
Tento kód stáhne další obrázek, ve kterém je schovaný dešifrovací AES klíč, který pomocí knihovny CryptoJS použije k dešifrování následných dat

166 Wi-Fi routerů

Jedná se především o databází 166 fingerprintů nejrůznějších modelů domácích routerů. Fingerprintem je v tomto případě nějaký jednoznačný identifikátor daného modelu – třeba drobný kus kódu jeho webové administrace, která je v tomto rozsahu dostupná zpravidla na adrese 192.168.1.1.

Jakmile si útočný skript stáhne a dešifruje fingerprinty, pokusí se spojit s webovou administrací routeru a zkouší jeden za druhým. Pokud by měl router XYZ ve své administraci třeba atypický obrázek netgear1234.gif o velikosti 154×23 pixelů, mohla by přesně tato informace sloužit jako jeho fingerprint.

Klepněte pro větší obrázek
Databáze fingerprintů 166 routerů

Dejme tomu, že má oběť opravdu špatný den a záškodníkův skript, který stále běží v neviditelném IFRAMU na stránce s jeho reklamou, opravdu identifikuje model routeru ve své databázi. V tom případě útok pokročí do další fáze a skript konečně stáhne malware, který zneužije některé ze zranitelností daného modelu, který, jak už víme, nemá poměrně často aktualizovaný firmware se záplatami.

A teď už jen naservírovat malware

Takový malware může být sám o sobě docela jednoduchý. Může se jednat podobně jako v případě Netgearu o vstup do jeho nitra prostým zadáním speciální URL adresy, která se správnými parametry otevře některé klíčové TCP porty zvenčí a umožní tak záškodníkovi vstup třeba skrze protokol telnetu.

Klepněte pro větší obrázek
Příklad HTTP POST příkazu na zranitelný router, který obsahuje příkaz ve formátu SOAP pro zpřístupnění vnitřního portu 23 (telnet) na vnějším portu 8780

V tomto konkrétním případě, který zdokumentoval Proofpoint, se útočníci soustředili především na nastavení vlastního DNS serveru na routeru, čehož zneužívají pro zobrazování vlastních bannerů skrze cizí reklamní systémy.

Dejme tomu, že na webu bude reklamní systém, který načítá bannery z adresy http://nejlepsireklamnisystem.cz. Záškodnický DNS server pak tuto doménu nepřeloží na správnou IP adresu, ale na tu svoji, která oběti naservíruje úplně jinou reklamu, anebo do každé stránky vloží Javascript, který se bude pokoušet otevírat nepopulární pop-upy.

Klepněte pro větší obrázek
Záškodnický DNS server přesměroval doménu na jinou IP adresu a server, který do kýžené stránky vložil kód, který po jakémkoliv kliku na stránce otevře popup

Hotový zlatý důl

A to je celé. Útočník zkompromitoval router oběti jednoduše proto, aby se vám v prohlížeči zobrazovaly jeho reklamy a on na tom všem vydělal. Pokud nebude jeho zásah do kódu, který k vám skrze hrdlo routeru putuje z internetu, příliš agresivní, možná si toho nebohý surfař ani nevšimne a bude jen nadávat na některý ze zcela běžných webů, že na něm opět přibyla hromada bannerů, ačkoliv realita může být trošku jiná.

Ovládnutí domácího Wi-Fi routeru tedy může být hotový zlatý důl, a jelikož je to brána mezi domácí a internetovou sítí, jeho napadením útočník získává kontrolu nad celým tokem dat, aniž by musel tradičními viry infikovat všechny počítače v síti.

Je ironií doby, že zatímco své počítače chráníme antiviry a tvůrci operačních systémů chrlí jednu záplatu za druhou, leckterá domácnost s podobně chráněnými desktopy, laptopy a mobily je k internetu připojená skrze často letitou krabičku, jejíž vlastní operační systém od výroby nikdo neaktualizoval.

Ostatně tuto praxi potvrzuje i můj projekt Wifileaks, pomocí kterého jsme s několika tisíci dobrovolníků zaměřili od roku 2012 bezmála 400 tisíc Wi-Fi sítí se zabezpečením WEP. To je přitom již velmi zastaralé a prolomitelné během několika málo minut. Lze tedy předpokládat, že se jedná právě o staré síťové krabičky – Wi-Fi routery a AP hotspoty, které dodnes slouží a nikomu to nepřipadne zvláštní, přestože již dávno patří do koše.

Témata článku: Web, Bezpečnost, Internet, Hacking, Wi-Fi, Zajímavosti, Router, Únik dat, Heslo, Šifrování, Wi-Fi Router, Firmware, Omnia, Attack, Under

29 komentářů

Nejnovější komentáře

  • jew1 21. 12. 2016 2:47:32
    Vím o tom své.
  • TesterSracek 18. 12. 2016 19:54:50
    nehorazna kravina a ti pitomci co tu patlaj z IP 10.0.0.xx a ze je...
  • miser 16. 12. 2016 16:07:03
    Osobně si vždy nevzhledný, a nelogický tvar 192.168.2.0 měním na...
Určitě si přečtěte

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 58

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 97


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky