최근에는 실시간 스트리밍이 가능한 보안 카메라가 집 주변에 설치되었습니다. 카메라는 라우터에 연결되어 회사 서버에 업로드된 후 내 휴대폰에서 스트리밍을 실시간으로 시청할 수 있습니다.
카메라를 설치하러 오신 분이 라우터 설정을 많이 바꾸셨고(내 생각에는 재설정을 하신 것 같은데, 제가 전달한 포트가 없어졌고, 저장된 템플릿도 사라졌기 때문이죠), 사용자 이름과 비밀번호도 변경되지 않았습니다 더 이상 필요하지 않습니다. WiFi를 통해 연결된 사람은 누구나 간단히 방문하여 관리 페이지에 액세스할 수 있습니다 192.168.1.1(거대한 취약점처럼 들리므로 매우 의심스럽습니다).
이제 게임 세션 중간에 라우터 설정이 갑자기 변경된 것을 발견했습니다. 전달된 포트를 제거한 후 UPnP를 활성화했지만 이제 플레이를 시도하는 동안 다시 비활성화되었기 때문입니다. 그들이 무엇을 했는지 보기 위해 라우터 페이지에 갔는데, 사용자 이름과 비밀번호가 다시 한 번 필요하다는 것을 알았습니다. 그런데 그들은 그것을 변경했기 때문에 지금은 페이지에 직접 액세스할 수도 없습니다. 그들은 본질적으로 라우터를 탈취했습니다.
나는 그들이 무엇을 하고 있는지 알고 싶습니다. 내 컴퓨터가 라우터에 연결되어 있으며 물리적으로 액세스할 수 있습니다. 그러나 라우터가 무엇을 했는지 확인할 수 없다면 라우터를 물리적으로 재설정하고 액세스를 차단하고 싶지는 않습니다. 즉, 나는 그들을 적발하고 싶다.
또한 라우터에 대한 전체 액세스 권한이 있으면 HTTP를 도청할 수 있습니까? HTTPS? 제가 생각하지 못한 다른 보안 문제가 있을까요?
라우터는 Thomson Technicolor TG799vn v2입니다.
저는 Capsa라는 프로그램을 설치했는데 아마도 이것이 이 작업에 완벽한 도구일 것입니다. 하지만 저의 지식 부족이 너무 커서 제대로 된 분석을 할 수 없습니다.
답변1
라우터는 Linux 컴퓨터이므로 액세스 권한이 있는 Linux 프로그래머라면 누구나 라우터의 하드웨어 기능 내에서 모든 작업을 수행하도록 프로그래밍할 수 있습니다. 네트워크에 액세스할 수 있는 경우 프로그램을 업로드하고, 비디오를 다운로드하고, 인터넷 서버에 있는 모든 카메라 비디오를 미러링하는 등 기본적으로 라우터가 액세스할 수 있는 모든 것을 할 수 있습니다. 그런 다음 인터넷 어디에서나 이러한 비디오를 업로드할 수 있습니다.
또한 인터넷 세션을 가로채고, 비밀번호를 기록하고, 주고받은 이메일을 복사할 수도 있습니다. 라우터를 통과하는 모든 것은 공정한 게임입니다.
그들은 당신의 컴퓨터를 볼 수 없습니다. 따라서 데스크톱을 통해 VPN에 로그인하는 경우 VPN 데스크톱 프로그램이 어리석게도 사용자의 ID와 비밀번호를 일반 정보로 전송하지 않는 한 사용자의 로그온을 가로챌 수 없습니다. 불행하게도 HTTPS 중간자 공격이 존재하며 라우터가 바로 그 중간에 있습니다.
라우터가 얼마나 정확하게 트래픽을 처리했는지 알아내기 위해 법의학 전문가를 고용하여 라우터의 시스템 디스크를 덤프하고 해당 내용을 원본 이미지와 비교합니다.
라우터와 인터넷 공급자(ISP) 사이에 특수 추적 장치를 설치하여 라우터가 사용자가 요청하지 않은 인터넷 주소에 대한 원치 않는 연결을 일상적으로 수행하는지 추적할 수 있습니다. 그것은 그들을 적발하고 법적 증거가 될 것입니다. 안타깝게도 그러한 장치를 추천할 수는 없지만 Amazon에서 검색하면 확실히 장치가 나올 것입니다.
그러나 그 사이에 사용자 이름과 비밀번호를 입력해야 하는 웹사이트에 연결할 때마다 해당 정보를 사기꾼에게 전달하여 귀하에게 불리하게 사용할 위험이 있습니다. 다른 웹사이트나 서비스에서 동일한 비밀번호를 사용한 경우 해당 웹사이트나 서비스에도 액세스할 위험이 있습니다.
나는 당신의 라우터를 설치한 사람들이 비난을 받을 것이라고 생각하지 않으며, 어쩌면 단지 일부 백도어를 무의식적으로 열어둔 것에 대해 책임을 져야 한다고 생각하지 않습니다. 나는 오히려 조직화된 범죄 조직이 귀하의 라우터 모델에 침입하기 위해 제로데이 익스플로잇을 사용했다고 생각합니다. 따라서 귀하가 발견하게 될 가장 큰 사실은 원치 않는 통신이 러시아 어딘가 또는 그들이 면역되어 있는 다른 곳으로 갈 것이라는 것입니다. 해당 지역 법 집행 기관.
제가 권장하는 것은 라우터의 백도어를 차단할 수 있는 Thomson(또는 ISP)의 최신 라우터 펌웨어를 다운로드하여 설치하고, 모든 인터넷 제어 옵션을 끄고 모든 기본 비밀번호를 변경하여 라우터를 보호하고, 마지막으로 모든 것을 변경하는 것입니다. 당신의 비밀번호는 어디에나 있습니다.
어디서나라는 것은 라우터와 라우터를 통해 로그인했을 수 있는 웹사이트 또는 서비스의 비밀번호 또는 다른 곳에서도 사용하는 비밀번호를 의미합니다. 당신이 누군가를 적발하여 이에 대해 뭔가를 할 수 있는 가능성은 그들이 당신에게 해를 끼칠 가능성보다 훨씬 낮습니다.
Cybernard 사용자가 아래에서 언급했듯이 컴퓨터에 맬웨어가 설치되면 컴퓨터도 봇넷의 일부가 될 위험이 있습니다. 여러 안티 바이러스 제품을 사용하여 컴퓨터에서 맬웨어 테스트를 실행하고 앞으로도 계속해서 수행하세요. 사기꾼은 항상 좋은 사람보다 앞서기 때문입니다. 정말 안전한 작업은 컴퓨터와 라우터를 동시에 다시 포맷하고 설치하는 것이지만 이는 너무 지나칠 수 있습니다.
답변2
실제로는 두 가지 가능성만 있습니다.
- 공격자는 라우터의 웹 인터페이스에 접근할 수 있었습니다. 그는 그것을 다음과 같은 목적으로 사용할 수 있었습니다:
- 내부 리소스/장치를 노출하기 위한 포트 전달 생성
- (아마도) 인터넷 액세스 자격 증명을 훔칠 수도 있습니다.
- 웹사이트의 사기성 복사본으로 리디렉션되도록 DNS 서버(모두가 선호하는 서버)를 변경하세요.
- (가능성 없음) 비공식 기능에 액세스하기 위해 일부 익스플로잇 사용
- 펌웨어를 교환하십시오.
- 공격자는 라우터의 펌웨어를 전환하여 다음을 허용했습니다.
- 내부 네트워크에 대한 무제한 액세스
- 모든 네트워크 및 인터넷 통신을 가로채기 위해
- 영구적으로(공장 초기화 후에도) 라우터를 스파이 박스로 만드세요.
후자라면 라우터는 더 이상 사용하기에 적합하지 않습니다. 그래도 버리지 마세요. 증거입니다.
즉, 두 번째 가능성은 많은 노력이 필요하기 때문에 가능성이 거의 없습니다. 그것은 "외국 정보"와 같은 종류의 것입니다.
소비자 라우터는 일반적으로 트래픽을 가로채는 기능을 제공하지 않기 때문에 (펌웨어 교체 없이) 데이터를 가로챌 수 있는 유일한 방법은 DNS 서버를 변경하는 것입니다. 물론 이는 DHCP를 통해 DNS 설정을 획득하는 장치에만 영향을 미칩니다.
처음에는 어떻게 된 일인가요?라우터에 더 이상 인증이 필요하지 않으므로 사이트 간 요청 위조 공격이 발생할 가능성이 매우 높습니다. 이는 귀하가 귀하의 라우터를 자동으로 공격하는 사기성/침략된 웹사이트를 방문했음을 의미합니다.
tl;dr: 공격자가 없기 때문에 공격자를 잡을 수 없습니다. 모두 자동화되어 있습니다.