Recentemente, câmeras de segurança com transmissão ao vivo foram instaladas pela casa. As câmeras são conectadas ao roteador e enviadas para os servidores da empresa, e então posso assistir às transmissões ao vivo no meu telefone.
A pessoa que veio instalar as câmeras mudou bastante as configurações do roteador (acho que ele fez algum tipo de reset, porque minhas portas encaminhadas sumiram, e o modelo salvo também), e também mudou para que nome de usuário e senha não fossem mais necessário - qualquer pessoa conectada via WiFi pode acessar a página de administração simplesmente visitando 192.168.1.1(parece uma vulnerabilidade enorme e, portanto, incrivelmente suspeita).
Agora, no meio da minha sessão de jogo, notei que as configurações do roteador mudaram repentinamente, porque eu habilitei o UPnP depois que minhas portas encaminhadas foram removidas, mas agora ele está desabilitado novamente enquanto tento jogar. Fui até a página do roteador para ver o que eles fizeram e vi que o nome de usuário e a senha são necessários mais uma vez, mas eles mudaram, então não consigo nem acessar a página agora. Basicamente, eles sequestraram o roteador.
Quero descobrir o que eles estão fazendo. Meu computador está conectado ao roteador e tenho acesso físico a ele. No entanto, não quero apenas reiniciar fisicamente o roteador e cortar o acesso, a menos que isso me permita ver o que eles fizeram. Em outras palavras: quero pegá-los em flagrante.
Além disso, quando eles têm acesso total ao roteador, eles podem espionar o HTTP? HTTPS? Há talvez algum outro problema de segurança em que não tenha pensado?
O roteador é um Thomson Technicolor TG799vn v2.
Instalei um programa chamado Capsa e talvez seja a ferramenta perfeita para este trabalho. Porém, minha falta de conhecimento é grande demais para fazer uma análise adequada.
Responder1
O roteador é um computador Linux, portanto qualquer programador Linux com acesso pode programá-lo para fazer qualquer coisa que esteja dentro de suas capacidades de hardware. Se eles também tiverem acesso à rede, poderão fazer upload de programas, baixar vídeos, espelhar qualquer vídeo de câmera em seu servidor de Internet, basicamente qualquer coisa que o roteador tenha acesso. Eles podem então enviar esses vídeos para qualquer lugar da Internet.
Eles também podem interceptar suas sessões de Internet, registrar senhas, copiar e-mails recebidos e enviados. Qualquer coisa que passe pelo roteador é um jogo justo.
Eles não podem ver o seu computador. Portanto, se você estiver fazendo login em uma VPN através do desktop, eles não poderão interceptar seu logon, a menos que o programa VPN para desktop envie estupidamente seu ID e senha de forma clara. Infelizmente, existem explorações man-in-the-middle HTTPS e seu roteador está bem no meio.
Para descobrir exatamente como eles trafegaram em seu roteador, será necessário que um especialista forense despeje o disco do sistema do roteador e compare seu conteúdo com a imagem original.
Você pode colocar um dispositivo de rastreamento especializado entre o roteador e seu fornecedor de Internet (ISP), para rastrear se o roteador está fazendo conexões não solicitadas rotineiramente a endereços de Internet que você não solicitou. Isso os pegaria em flagrante e serviria como prova legal. Infelizmente, não posso recomendar nenhum dispositivo desse tipo, mas pesquisar na Amazon certamente encontrará um.
No entanto, entretanto, você corre o risco, sempre que se conectar a qualquer site que exija a inserção de um nome de usuário e senha, de comunicar essas informações a um criminoso que as usará contra você. Se você usou a mesma senha em outro site ou serviço, corre o risco de eles também terem acesso a eles.
Eu realmente não acho que as pessoas que instalaram o seu roteador sejam as culpadas, ou talvez apenas por, sem saber, deixar alguma porta dos fundos aberta. Prefiro pensar que uma rede de crime organizado usou alguma exploração de dia zero para invadir o modelo do seu roteador. Portanto, o máximo que você descobrirá é que a comunicação não solicitada irá para algum lugar na Rússia ou em algum outro lugar onde eles sejam imunes. sua agência local de aplicação da lei.
Minha recomendação é baixar e instalar o firmware de roteador mais recente da Thomson (ou seu ISP), que pode fechar a porta dos fundos do roteador, proteger o roteador desativando todas as opções de controle da Internet e alterando todas as senhas padrão e, finalmente, alterar todas suas senhas em qualquer lugar.
Em qualquer lugar significa senhas no roteador e em qualquer site ou serviço no qual você possa ter feito login por meio do roteador, ou qualquer senha que você também use em outro lugar. As chances de você pegar alguém em flagrante e poder fazer algo a respeito são muito menores do que as chances de lhe causar mal.
Como o usuário cybernard comentou abaixo, seu computador também corre o risco de fazer parte de uma botnet, caso tenha conseguido instalar algum malware nele. Execute testes de malware em seu computador usando vários produtos antivírus e continue fazendo isso no futuro, pois os bandidos estão sempre à frente dos mocinhos. A operação realmente segura é reformatar e instalar o computador e o roteador ao mesmo tempo, mas isso pode ser um pouco longe demais.
Responder2
Na verdade, existem apenas duas possibilidades:
- O invasor teve acesso à interface web do roteador. Ele poderia ter usado isso para:
- Crie encaminhamentos de porta para expor recursos/dispositivos internos
- (Talvez) roube suas credenciais de acesso à Internet
- Altere o servidor DNS (o favorito de todos) para redirecioná-lo para cópias fraudulentas de sites
- (Improvável) Use algum exploit para acessar funções não tão oficiais
- Troque o firmware, levando a
- O invasor trocou o firmware do roteador, permitindo:
- Acesso irrestrito à sua rede interna
- Para interceptar toda e qualquer comunicação de rede e Internet
- Para transformar permanentemente (mesmo após redefinições de fábrica) seu roteador em uma caixa espiã.
Se for o último, o roteador não está mais adequado para uso. Não jogue fora, é uma evidência.
Dito isto, a segunda possibilidade é altamente improvável porque exige muito esforço. É mais uma coisa do tipo “inteligência estrangeira”.
Como os roteadores de consumo geralmente não oferecem recursos para interceptar o tráfego, a única maneira de interceptar seus dados (sem substituir o firmware) é alterando o servidor DNS. É claro que isso afeta apenas os dispositivos que adquirem suas configurações de DNS via DHCP.
Como isso aconteceu em primeiro lugar?Como o roteador não exige mais autenticação, é muito provável que ocorra um ataque de falsificação de solicitação entre sites. Isso significa que você visitou um site fraudulento/comprometido que atacou automaticamente seu roteador.
dr.: Você não pegará um invasor porque não existe um. É tudo automatizado.