De router omleiden

Beveiligingsexperts hebben een nieuw soort computeraanval ontdekt die miljoenen mensen over de hele wereld kan treffen. Er kan een eenvoudige website worden gemaakt om huishoudelijke routers te manipuleren - die worden gebruikt om meerdere thuiscomputers met internet te verbinden - zodat oplichters persoonlijke informatie en wachtwoorden kunnen verzamelen.





Rogue-code: Beveiligingsonderzoekers hebben bewezen dat een nieuw soort computeraanval mogelijk is. Code verborgen in een webpagina kan worden gebruikt om thuisrouters te infiltreren en de domeinnaaminstellingen te wijzigen.

Volgens onderzoekers van Universiteit van Indiana en het antivirussoftwarebedrijf Symantec , kan iedereen met een beetje vaardigheid zoeken naar kwetsbare thuisrouters en kritieke instellingen wijzigen zodat echte websites in het geheim worden vervangen door neppagina's die om inloggegevens vragen.

Het grote probleem is dat je niet meteen ziet dat er een probleem is, zegt Sid-stam , een Ph.D. kandidaat aan de School of Informatics van Indiana University en een van de onderzoekers van het project.

Een onwetend slachtoffer dat de domeinnaam van zijn of haar bank intypt, kan bijvoorbeeld worden begroet door een pagina die er legitiem uitziet. Maar alle login- en wachtwoordinformatie die op die pagina wordt ingevoerd, zou rechtstreeks naar de oplichter gaan.

In de kern is de aanval een oude truc die pharming wordt genoemd. Maar Stamm en zijn collega's vonden een nieuwe wending: een webpagina, zeggen ze, kan worden gebruikt om een ​​aanval op thuisrouters uit te voeren en de instellingen van de domeinnaamserver te manipuleren. (Er is eerder gespeculeerd dat dit soort aanvallen mogelijk zou kunnen zijn, maar de onderzoekers zeggen dat zij de eersten zijn die bewijzen dat een webpagina kan worden gebruikt om deze specifieke instellingen op de router opnieuw te configureren.) Het enige dat de aanvaller nodig heeft, is het interne geheugen van de gebruiker. Internet Protocol (IP)-adres en het wachtwoord voor de configuratie-instellingen op de router. Beide, zegt Stamm, kunnen vaak gemakkelijk worden verkregen in een geautomatiseerde aanval op afstand.

Eerst zet de aanvaller een webpagina op om slachtoffers te lokken met populaire inhoud, zoals foto's van beroemdheden, zegt: Zulfikar Ramzan , een senior hoofdonderzoeker bij Symantec die ook aan het routerproject werkte. Terwijl het slachtoffer de foto's bekijkt, pikt onzichtbare code het IP-adres van de gebruiker op en doorzoekt de router, op zoek naar aanwijzingen die het merk zouden kunnen onthullen. Een afbeelding van bijvoorbeeld het bedrijfslogo wordt meestal op de router opgeslagen. Al dit rondneuzen levert geen rode vlaggen op, omdat de router denkt dat het allemaal legitieme verzoeken om informatie zijn van de thuiscomputer van het slachtoffer.

Zodra de aanvaller het merk van de router heeft bepaald, kan hij of zij vaak het configuratiewachtwoord raden, omdat veel mensen de standaardinstelling van de fabrikant gebruiken, zegt Stamm. Hoewel het niet precies bekend is hoeveel routers geen adequate configuratiewachtwoorden hebben, is een informeel onderzoek dat vorig jaar in de Journal of Digital Forensic Practice ontdekte dat 50 procent van de thuisgebruikers met een breedbandinternetrouter ofwel voor de standaardoptie koos of helemaal geen wachtwoord had. (Routers hebben een ander optioneel wachtwoord om te voorkomen dat buitenstaanders een draadloos netwerk gebruiken, en mensen gebruiken dat wachtwoordsysteem ook vaak niet. Maar het is specifiek het configuratiewachtwoord dat bij deze aanval wordt gebruikt.)

Met het configuratiewachtwoord en het IP-adres kan de aanvaller eenvoudig wijzigen welke domeinnaamserver het slachtoffer als internetdirectory gebruikt. Het is alsof de aanvaller je telefoonboek heeft vervangen door een nieuwe, zegt Ramzan. Dus nu krijg je adressen uit het telefoonboek van de aanvaller.

De volgende keer dat het slachtoffer bijvoorbeeld naar de website van zijn of haar bank gaat, kan de webbrowser worden omgeleid naar een imitatiesite. Deze nepsite, beheerd door de aanvaller, wordt gebruikt om de inlog- en wachtwoordgegevens van het slachtoffer vast te leggen.

Ramzan houdt vol dat hier niet veel vaardigheid voor nodig is. Deze specifieke aanval is in dat opzicht erg krachtig. De aanvaller hoeft niet zo technisch geavanceerd te zijn om het te monteren.

Gelukkig is het oplossen van het probleem ook eenvoudig. De eenvoudigste manier om je tegen dit soort aanvallen te verdedigen, is door het wachtwoord van je [routerconfiguratie] te wijzigen, zegt Ramzan. Helaas vereisen routerfabrikanten niet dat gebruikers nieuwe wachtwoorden instellen omdat ze willen dat hun software gebruiksvriendelijk is.

Ze wilden het proces vereenvoudigen, dus zorgden ze ervoor dat mensen niet echt werden gevraagd of aangemoedigd om het wachtwoord te wijzigen, zegt Ramzan. Ik heb het gevoel dat het een vrij gemakkelijke verandering is [voor de routerbedrijven] om te maken.

Nog een eenvoudige oplossing: maak het standaardwachtwoord uniek. Het wachtwoord kan bijvoorbeeld aanvankelijk worden ingesteld op het serienummer van het product. Hoewel de aanvaller nog steeds zou kunnen proberen het serienummer te raden, zou elke mislukte inlogpoging de gebruiker waarschuwen met een foutmelding.

Maar Ramzan zegt dat de oorzaak van het probleem niet het configuratiewachtwoord is. Het echte probleem is dat een webpagina kan worden gebruikt om de instellingen van een router helemaal opnieuw te configureren. Dat, zegt hij, is wat beveiligingsexperts in de toekomst zullen moeten aanpakken.

De routeronderzoekers zeggen dat ze nog nooit iemand zo'n aanval hebben zien lanceren, en ze hopen dat hun werk het bewustzijn zal vergroten, zodat mensen hun wachtwoord wijzigen voordat het een echt probleem wordt.

Het is een interessante ontdekking, zegt Jeff Gennari, een internetbeveiligingsanalist met: CERT , een coördinatiecentrum voor computerbeveiliging dat is opgericht door verschillende Amerikaanse federale instanties, waaronder het Amerikaanse ministerie van Defensie, en wordt beheerd door het Software Engineering Institute van Carnegie Mellon University. Door dit soort configuratieproblemen aan het licht te brengen, komt aan het licht hoe ingewikkeld beveiliging kan zijn.

zich verstoppen