Como verificar seu roteador para malware
A segurança do roteador do consumidor é muito ruim. Os invasores estão aproveitando fabricantes de produtos pouco convencionais e atacando grandes quantidades de roteadores. Veja como verificar se o seu roteador foi comprometido.
O mercado de roteadores domésticos é muito parecido com o mercado de smartphones Android. Os fabricantes estão produzindo um grande número de dispositivos diferentes e não se preocupam em atualizá-los, deixando-os abertos a ataques.
Como o seu roteador pode se juntar ao lado negro
Os invasores geralmente tentam alterar a configuração do servidor DNS em seu roteador, apontando-o para um servidor DNS mal-intencionado. Quando você tenta se conectar a um site - por exemplo, o site do seu banco - o servidor DNS mal-intencionado diz para você ir para um site de phishing. Pode ainda dizer bankofamerica.com na sua barra de endereços, mas você estará em um site de phishing. O servidor DNS mal-intencionado não responde necessariamente a todas as consultas. Ele pode simplesmente expirar na maioria das solicitações e, em seguida, redirecionar as consultas para o servidor DNS padrão do seu provedor. Solicitações de DNS incomumente lentas são um sinal de que você pode ter uma infecção.
Pessoas de olhos aguçados podem perceber que tal site de phishing não terá criptografia HTTPS, mas muitas pessoas não notariam. Os ataques de remoção de SSL podem até mesmo remover a criptografia em trânsito.
Os invasores também podem apenas inserir anúncios, redirecionar os resultados da pesquisa ou tentar instalar downloads de passagem. Eles podem capturar solicitações para o Google Analytics ou outros scripts em quase todos os sites e redirecioná-los para um servidor que fornece um script que, ao contrário, injeta anúncios. Se você vê anúncios pornográficos em um site legítimo, como o How-To Geek ou o New York Times, é quase certo que você está infectado com alguma coisa - seja no seu roteador ou no próprio computador..
Muitos ataques fazem uso de ataques de falsificação de solicitações entre sites (CSRF). Um invasor incorpora JavaScript mal-intencionado em uma página da Web e esse JavaScript tenta carregar a página de administração baseada na Web do roteador e alterar as configurações. Como o JavaScript está sendo executado em um dispositivo dentro de sua rede local, o código pode acessar a interface da Web que está disponível apenas dentro de sua rede.
Alguns roteadores podem ter suas interfaces de administração remota ativadas junto com nomes de usuário e senhas padrão - os bots podem procurar esses roteadores na Internet e obter acesso. Outras explorações podem tirar proveito de outros problemas do roteador. O UPnP parece estar vulnerável em muitos roteadores, por exemplo.
Como verificar
O único sinal de que um roteador foi comprometido é que seu servidor DNS foi alterado. Você desejará visitar a interface baseada na Web do seu roteador e verificar a configuração do servidor DNS.
Primeiro, você precisará acessar a página de configuração baseada na Web do seu roteador. Verifique o endereço de gateway da sua conexão de rede ou consulte a documentação do seu roteador para saber como.
Entre com o nome de usuário e senha do seu roteador, se necessário. Procure uma configuração de "DNS" em algum lugar, geralmente na tela de configurações da conexão WAN ou Internet. Se estiver definido como "Automático", tudo bem - está recebendo do seu ISP. Se estiver definido como "Manual" e houver servidores DNS personalizados inseridos lá, isso pode muito bem ser um problema.
Não há problema se você configurou o roteador para usar bons servidores DNS alternativos - por exemplo, 8.8.8.8 e 8.8.4.4 para o DNS do Google ou 208.67.222.222 e 208.67.220.220 para o OpenDNS. Mas, se houver servidores DNS que você não reconhece, isso é um sinal de que um malware alterou seu roteador para usar servidores DNS. Em caso de dúvida, faça uma pesquisa na Web pelos endereços dos servidores DNS e veja se eles são legítimos ou não. Algo como "0.0.0.0" é bom e muitas vezes significa apenas que o campo está vazio e o roteador está recebendo automaticamente um servidor DNS.
Os especialistas recomendam verificar essa configuração ocasionalmente para ver se o roteador foi comprometido ou não.
Ajuda, há um servidor DNS mal-intencionado!
Se houver um servidor DNS mal-intencionado configurado aqui, você poderá desativá-lo e informar ao seu roteador para usar o servidor DNS automático do seu provedor ou insira os endereços dos servidores DNS legítimos, como o DNS do Google ou o OpenDNS aqui.
Se houver um servidor DNS mal-intencionado digitado aqui, talvez você queira limpar todas as configurações do seu roteador e redefini-las de fábrica antes de configurá-lo novamente - apenas para garantir a segurança. Em seguida, use os truques abaixo para ajudar a proteger o roteador contra novos ataques.
Endurecendo seu roteador contra ataques
Você pode certamente endurecer seu roteador contra esses ataques - um pouco. Se o roteador tiver falhas de segurança, o fabricante não corrigiu, você não pode protegê-lo completamente.
- Instalar atualizações de firmware: Assegure-se de que o firmware mais recente para o seu roteador esteja instalado. Habilite atualizações automáticas de firmware se o roteador o oferecer - infelizmente, a maioria dos roteadores não oferece. Isso garante pelo menos que você está protegido contra quaisquer falhas que foram corrigidas.
- Desativar o acesso remoto: Desabilitar o acesso remoto às páginas de administração baseadas na web do roteador.
- Alterar a senha: Altere a senha para a interface de administração baseada em web do roteador para que os invasores não consigam entrar com o padrão.
- Desligue o UPnP: UPnP tem sido particularmente vulnerável. Mesmo que o UPnP não esteja vulnerável em seu roteador, um malware em execução em algum lugar dentro de sua rede local pode usar o UPnP para alterar seu servidor DNS. É assim que o UPnP funciona - confia em todos os pedidos vindos da sua rede local.
O DNSSEC deve fornecer segurança adicional, mas não é uma panacéia aqui. No mundo real, todo sistema operacional cliente confia apenas no servidor DNS configurado. O servidor DNS mal-intencionado pode reivindicar que um registro DNS não possui informações DNSSEC ou que possui informações DNSSEC e o endereço IP transmitido é o real.
Crédito de imagem: nrkbeta no Flickr