Router | Turris

Vaše domácí síť čelí každý den tisícům útoků. Už roky je analyzuje český Turris

  • Vaše síťové krabičky skenují roboti z Číny i Ameriky
  • Analyzuje je systém Turris Sentinel
  • Popovídali jsme si šéfem projektu Turris

Toto ale letí, 12. května to už totiž budou čtyři roky od nechvalně proslulého ransomwarového útoku WannaCry, který tehdy podle odhadů během několika málo dnů zasáhl na stovky tisíc počítačů ve více než 150 zemích světa včetně nemocnic a dalších institucí kritické infrastruktury.

V prosinci 2017 USA a také silně zasažená Velká Británie formálně obvinily hackery napojené na Severní Koreu, širší veřejnost se dozvěděla o existenci malwarů, které šifrují počítače a žádají výkupné, no a Interpol společně s Kaspersky Lab vyhlásil 12. květen za Anti-Ransomware Day.

Letos jej sice slavíme teprve podruhé, ovšem ve velkém stylu, potenciál vyděračského útoku totiž čerstvě a v plné síle pocítili na východním pobřeží Spojených států, když se zhroutila počítačová síť tamního potrubního dopravce Colonial Pipeline a přestala téct nafta. Skoro jako v hollywoodském filmu. Úřady viní skupinu Darkside, která je aktivní především ve východní Evropě.

Dekáda projektu Turris

Byť to útočníci nejčastěji zkoušejí přes starý dobrý poštovní phishing – celé spektrum podvodných e-mailů, nesmíme zapomínat ani na síťové roboty, kteří každý den podnikají kobercové nálety na veřejně dostupné routery a další síťové krabičky.

Videochat: Kam kráčí projekt Turris s jeho šéfem Petrem Palánem

Na českém internetu je už od přelomu let 2013/2014 analyzuje experiment Turris zdejšího správce internetové domény CZ.NIC. Pamětníci si jistě vzpomenou na modré plechové krabice, které sdružení před sedmi lety rozdávalo zájemcům za symbolickou korunu, z nichž se v následujících letech zrodila už ryze komerční řada Omnia a nakonec i exotické „lego“ MOX.

Dynamický firewall, který automaticky reaguje 

Cílem Turrisu bylo nabídnout zájemcům router, jehož operační systém na bázi svobodného linuxového OpenWrt bude CZ.NIC neustále aktualizovat, a který zároveň poskytne pokročilý adaptabilní firewall, který bude reagovat na aktuální rizika na webu.

Klepněte pro větší obrázek
Dynamický firewall na routerech Turris

Modré krabičky – a posléze i černé a stříbrné – dlouhé měsíce a roky zaznamenávaly útoky, podobně jako antivirový program o nich předávaly informace do ústředí, no a to zase odpovídalo novými pravidly pro zmíněný firewall způsobem, aby ti, kteří se s útokem ještě nesetkali, zůstali v bezpečí.

Podobný systém napojený na komplexní antivirus vyvíjí také Avast ve své krabičce Omni, ta však zatím není určená pro český trh.

Tisíce útoků denně na domácí router

Systém kolektivní bezpečnosti Sentinel funguje dodnes jako volitelná funkce, kterou si mohou aktivovat všichni majitelé krabiček s logem Turris. A každý den se opravdu zapotí, podle Petra Palána, který má celý projekt na starost, totiž během prvního čtvrtletí letošního roku čelili majitelé turrisů zhruba 9 300 útokům každý den.

Všechny naše routery, jsou vybaveny dynamickým firewallem, který se na základě nasbíraných informací o bezpečnostních hrozbách automaticky aktualizuje často i 3 000× denně. Tento náš bezpečnostní ekosystém zaznamenal během prvního čtvrtletí letošního roku denně v průměru více než 9 300 pokusů o získání kontroly nad každým routerem.

Petr Palán, šéf značky Turris

嗨,这是北京

Z jakých zemí tyto útoky mířily? Na to odpoví web Sentinel View, na kterém najdete agregované výstupy v čele mapou světa, které s přehledem kraluje nejtmavší barvou zvýrazněná Čína – zdroj bezmála 38 milionů útoků.

Pokud budeme síť turrisů od Aše po Jablunkov považovat za dostatečně reprezentativní, můžeme tato čísla vztáhnout na celou republiku. Den má 86 400 sekund, takže to máme průměrně zhruba jednu bezpečnostní událost každých 9 sekund.

Klepněte pro větší obrázek
Čím tmavší, tím častější zdroj podezřelé aktivity zachycené systémem Sentinel

Právě teď to někdo zkouší na váš router. Nádech, výdech. Nádech, výdech. A zase! Zase někdo útočí. Jak? Může to být podezřelý sken otevřených portů, snaha o přihlášení skrze různé komunikační protokoly počínaje HTTP a SMTP a konče telnetem, nebo jiné incidenty.

Robot útočí, ale jen na fiktivní cíl

Zdrojem těchto dat je mimo jiné sada honeypotů – falešných volavek, které se chovají jako naprosto nezabezpečené síťové služby běžící na vaší krabičce Turris.

Kdybychom aktivovali třeba honeypot pro zabezpečený síťový terminál SSH, program otevře jeho standardní TCP port 22 a začne na něm poslouchat.

Klepněte pro větší obrázek
Základní princip HaaS – Honeypot as a Service na příkladu protokolu SSH

Jakmile IP adresu routeru vyčmuchá robot se specializací právě na šifrovaný terminál, vyzkouší, jestli počítač komunikuje na portu 22, což honeypot potvrdí, a útočný bot se pokusí přihlásit některým z mnoha častých hesel pro uživatele root – administrátora.

Vábnička samozřejmě akceptuje jakýkoliv pár uživatelského jména a hesla, záškodnický automat se proto dostane do nitra vzdáleného Linuxu a může začít s nejvyššími právy páchat prakticky cokoliv.

Kbelíky se sladkým medem

Majitel routeru je nicméně i nadále v naprostém bezpečí, protože už v okamžiku, kdy se robot pokusil připojit na TCP port, jej router skrytě přesměroval na oddělenou infrastrukturu. Veškerá aktivita proto probíhá v izolovaném a bedlivě sledovaném pískovišti – sandboxu, které vše nahrává.

Nutno podotknout, že se čas od času v minulosti napálil i sám právoplatný majitel, když zapomněl, že na portu 22 neposlouchá skutečný SSH server, ale ten falešný, faktem ale zůstává, že tato síť kbelíků se sladkým medem pro natvrdlé včelky – záškodnické roboty může efektivně zachytit prakticky jakoukoliv útočnou vlnu, která se pokouší zneužít tuto vrstvu zabezpečení a může být součástí nějaké širší kampaně na český internet a jeho síťovou infrastrukturu.

Jak by mohl probíhat fiktivní útok, když bude úplně všechno špatně

Útok fiktivního malwaru Trdelnik na zcela nezabezpečený SSH terminál: Záškodnický bot zjistil, že na zařízení s touto veřejnou IP adresou poslouchá SSH server. Zkusil se připojit slovníkovým heslem, což se podařilo. Poté z anonymního úložiště stáhl skript trdelnik.attack.sh, který spustil s právy administrátora.

Skript v síti LAN dohledá neaktualizované počítače s Windows, které trpí kritickou zranitelností protokolu SMB, skrze kterou do jejich paměti nahraje ransomware Burek3000 a spustí jej. Naštěstí jen v představách autora.

Klepněte pro větší obrázek
Spojení záškodníka s routerem skrze SSH a instalace zákeřného skriptu

Boti používají pitomá hesla. Odraz reality?

Když se znovu podíváme na data Sentinelu a časovou osu s unikátními IP adresami útočníků, trend je jasný – počet botů, respektive jejich útočících IP adres, se měsíc od měsíce zvyšuje. Poněkud legrační je také pohled na hesla, které boti testují, když se pokoušejí prolomit do cílových služeb.

Klepněte pro větší obrázek
Počet útočících botů zachycených Sentinelem se neustále zvyšuje

Vévodí jim slovíčka jako default, 12345, sofistikovanější 54321 a ano, samozřejmě nechybí ani password. Byť by se mohlo zdát, že takto pitomé heslo si přece nikdo příčetný nezvolí, jejich slovníky, které útočníci používají, nevznikly jen tak – pocházejí z oněch mnoha uniklých uživatelských databází a jsou to také výchozí přístupové údaje u všemožných prehistorických síťových krabiček, kdy sena bezpečnost příliš nedbalo, a jsou třeba i po 10-15 letech stále online.

Klepněte pro větší obrázek
Nejčastější hesla a přihlašovací jména botů, které zachytil systém Sentinel

Výstupem Sentinelu je nakonec i greylist IP adres ve formátu CSV, který bezpečnostní systém Turrisu vytváří každý den. Jsou to adresy, které boti používali během svého útoku a šedé jsou hlavně proto, že nemusí vždy předznamenávat nebezpečí. Mohou totiž patřit nic netušícím obětem, které jen některý z malwarů zapojil do botnetu.

Klepněte pro větší obrázek
Patří vám některá z těchto IP adres? Tak to máte problém...
Diskuze (51) Další článek: Co vy na to? Mělo by být v Česku možné volit také online?

Témata článku: Windows, Linux, Internet, Bezpečnost, USA, Česko, Evropa, Čína, Velká Británie, Lego, Heslo, Router, Avast, Turris, Severní Korea, Firewall, WannaCry, Service, Nafta, Colonial Pipeline, Domácí síť, Sentinel, Lano, Robot, Amerika, Stavebnice Lego na Heureka.cz



Víte, co znamená „i“ ve slovu iPhone? Jeden význam se přímo nabízí, před 25 lety jich však bylo hned pět

Víte, co znamená „i“ ve slovu iPhone? Jeden význam se přímo nabízí, před 25 lety jich však bylo hned pět

** Před šestnácti lety byl předstven první iPhone ** Historie písmena „i“ však sahá až do roku 1998 ** Tedy pro něj měl Steve Jobs hned pět možných významů

Martin Chroust
ZnačeníiPhone
Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

** Nelibí se vám, když cizí lidé okukují váš dům? ** Všechny mapové aplikace nabízejí možnost rozmazání snímku ** Máme návod pro Apple Maps, Bing Maps, Mapy Google a Mapy.cz

Karel Kilián
SoukromíNávodyMapy
Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

Vyzkoušeli jsme levnou autodiagnostiku s Androidem. Servisy ohrnou nos, řidičům bude stačit

** Smartphone s Androidem dnes využijete i pro autodiagnostiku ** Jednotku OBD-II dnes pořídíte za pár stovek ** Co se vše dokáže diagnostika s bezplatným SW v češtině?

Martin Chroust
DiagnostikaPro řidiče
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Všichni žijeme v Bublině. Je velká 1000 světelných let a magnetizovaná

Všichni žijeme v Bublině. Je velká 1000 světelných let a magnetizovaná

** O bublinách v galaxiích toho víme jen velmi málo ** Theo O’Neill a jeho kolegové se to snaží zlepšit ** Zmapovali magnetická pole naší Lokální Bubliny

Stanislav Mihulka
Astronomie
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
Lyžaři na svahu jen nevěřícně zírali. iPhony vytočily 71 nouzových volání, nic vážného se přitom nestalo

Lyžaři na svahu jen nevěřícně zírali. iPhony vytočily 71 nouzových volání, nic vážného se přitom nestalo

** Automatická detekce nehod od Applu zahraňuje životy ** Jenže Apple zatím nedokáže filtrovat falešně pozitivní hovory ** Lyžaři na svahu tak zbytečně zatěžují záchranná centra

Martin Chroust
Detekce nehodyiPhone