最近、ライブストリーミング機能付きの防犯カメラが家中に設置されました。カメラはルーターに接続され、会社のサーバーにアップロードされ、携帯電話でライブストリーミングを視聴できます。
カメラを設置しに来た人がルーターの多くの設定を変更し (何らかのリセットを行ったため、転送したポートと保存したテンプレートが消えていたと思います)、ユーザー名とパスワードが不要になるようにも変更しました。WiFi 経由で接続しているユーザーは、アクセスするだけで管理ページにアクセスできるようになりました192.168.1.1(大きな脆弱性のように思われ、非常に疑わしい)。
今、ゲームセッションの途中で、ルーターの設定が突然変更されたことに気付きました。転送されたポートが削除された後、UPnP を有効にしていたのですが、プレイしようとしているときに再び無効になっています。ルーターのページに行って何が行われたか確認したところ、ユーザー名とパスワードが再び必要になっていることがわかりましたが、変更されたため、今では自分でページにアクセスすることさえできません。実質的にルーターが乗っ取られたのです。
彼らが何をしようとしているのかを知りたいのです。私のコンピュータはルーターに接続されており、物理的にアクセスできます。しかし、ルーターを物理的にリセットしてアクセスを遮断するだけでは、彼らが何をしたのかがわからないので、やりたくありません。言い換えれば、彼らを現行犯で捕まえたいのです。
また、ルーターに完全にアクセスできる場合、HTTP や HTTPS を盗聴することは可能でしょうか? 私が考えていない他のセキュリティ上の問題があるのでしょうか?
ルーターはThomson Technicolor TG799vn v2です。
私は Capsa というプログラムをインストールしましたが、おそらくこの作業に最適なツールです。しかし、適切な分析を行うには私の知識不足が大きすぎます。
答え1
ルーターは Linux コンピューターなので、アクセス権を持つ Linux プログラマーは誰でも、ハードウェアの機能の範囲内で何でもプログラムできます。ネットワーク アクセスも持つ場合は、プログラムをアップロードしたり、ビデオをダウンロードしたり、インターネット サーバー上のカメラ ビデオをミラーリングしたり、基本的にルーターがアクセスできるあらゆる操作を実行できます。その後、これらのビデオをインターネット上のどこにでもアップロードできます。
また、インターネット セッションを傍受したり、パスワードを記録したり、送受信したメールをコピーしたりすることもできます。ルーターを通過するものはすべて標的になります。
相手はあなたのコンピュータを見ることはできません。したがって、デスクトップ経由で VPN にログインしている場合、VPN デスクトップ プログラムが ID とパスワードを平文で送信しない限り、相手はログオンを傍受できません。残念ながら、HTTPS 中間者攻撃は存在し、ルーターがまさにその中間にあります。
ルーターのトラフィックを正確に調べるには、フォレンジックの専門家がルーターのシステム ディスクをダンプし、その内容を元のイメージと比較する必要があります。
ルーターとインターネット プロバイダー (ISP) の間に専用の追跡デバイスを配置して、ルーターが定期的に、要求していないインターネット アドレスに迷惑な接続を行っているかどうかを追跡することもできます。これにより、現行犯逮捕され、法的証拠として役立ちます。残念ながら、そのようなデバイスはお勧めできませんが、Amazon で検索すれば必ず見つかります。
しかし、その間、ユーザー名とパスワードの入力が必要な Web サイトに接続するたびに、その情報が悪意のある人物に伝わり、悪用されるリスクがあります。他の Web サイトやサービスで同じパスワードを使用した場合、それらにも悪意のある人物がアクセスするリスクがあります。
ルーターを設置した人が責められるとは思いません。あるいは、知らないうちにバックドアを開けたままにしていただけかもしれません。むしろ、組織犯罪グループがルーターのモデルに侵入するためにゼロデイ脆弱性を利用したのではないかと思います。したがって、せいぜい、迷惑な通信はロシアか、地元の法執行機関の監視の及ばないどこか他の場所に送信されるでしょう。
私の推奨は、Thomson (または ISP) から最新のルーター ファームウェアをダウンロードしてインストールすることです。これにより、ルーターのバックドアが閉じられる可能性があり、すべてのインターネット制御オプションをオフにしてすべてのデフォルト パスワードを変更することでルーターを保護し、最後にすべてのパスワードをどこでも変更します。
どこでもというのは、ルーター上のパスワード、ルーター経由でログインした可能性のある Web サイトやサービス上のパスワード、または他の場所でも使用しているパスワードを意味します。誰かを現行犯で捕まえて対処できる可能性は、相手があなたに危害を加える可能性よりもはるかに低いです。
下記の cybernard さんのコメントにあるように、ボットネットがマルウェアをインストールした場合、あなたのコンピューターもボットネットの一部になるリスクがあります。複数のウイルス対策製品を使用してコンピューターでマルウェア テストを実行し、今後もこれを継続してください。犯罪者は常に善人より先を行きます。本当に安全な操作は、コンピューターとルーターの両方を同時に再フォーマットしてインストールすることですが、これは少しやりすぎかもしれません。
答え2
実際には、可能性は 2 つしかありません。
- 攻撃者はルーターの Web インターフェースにアクセスできました。これを使用して次の操作を実行できた可能性があります。
- 内部リソース/デバイスを公開するためのポート転送を作成する
- (おそらく)インターネットアクセスの認証情報を盗む
- DNSサーバー(みんなのお気に入り)を変更して、偽のウェブサイトにリダイレクトする
- (可能性は低い)何らかのエクスプロイトを使用して非公式の機能にアクセスする
- ファームウェアを交換すると、
- 攻撃者はルーターのファームウェアを切り替えて、次のことを実行しました。
- 社内ネットワークへの自由なアクセス
- あらゆるネットワークおよびインターネット通信を傍受する
- ルーターを永続的に(工場出荷時設定にリセットした後でも)スパイボックスにします。
後者の場合、ルーターは使用できなくなっています。ただし、証拠となるので捨てないでください。
そうは言っても、2 番目の可能性は、多大な労力を要するため、ほとんどあり得ません。それはむしろ「外国の諜報」のようなものなのです。
消費者向けルーターは通常、トラフィックを傍受する機能を提供しないため、ファームウェアを交換せずにデータを傍受できる唯一の方法は、DNS サーバーを変更することです。もちろん、これは DHCP 経由で DNS 設定を取得するデバイスにのみ影響します。
そもそもどうしてそうなったのでしょうか?ルーターが認証を必要としなくなったため、クロスサイト リクエスト フォージェリ攻撃が発生する可能性が非常に高くなります。つまり、不正な Web サイトや侵害された Web サイトにアクセスしたため、ルーターが自動的に攻撃されたことになります。
要約: 攻撃者は存在しないので、捕まえることはできません。すべて自動化されています。