Недавно по всему дому установили камеры видеонаблюдения с прямой трансляцией. Камеры подключены к роутеру и загружают на серверы компании, а потом я могу смотреть трансляции в прямом эфире на своем телефоне.
Человек, который пришел устанавливать камеры, изменил множество настроек маршрутизатора (я думаю, он сделал какой-то сброс, потому что мои перенаправленные порты исчезли, а также сохраненный шаблон), а также изменил настройки так, что имя пользователя и пароль больше не требовались — любой, кто подключился через WiFi, мог получить доступ к странице администратора, просто зайдя на сайт 192.168.1.1(звучит как огромная уязвимость, и поэтому крайне подозрительно).
Сейчас, посреди моей игровой сессии, я заметил, что настройки маршрутизатора внезапно изменились, потому что я включил UPnP после того, как они удалили мои перенаправленные порты, но теперь он снова отключен, когда я пытаюсь играть. Я зашел на страницу маршрутизатора, чтобы посмотреть, что они сделали, и увидел, что снова требуются имя пользователя и пароль, но они изменили его, так что теперь я даже сам не могу получить доступ к странице. По сути, они захватили маршрутизатор.
Я хочу узнать, что они затевают. Мой компьютер подключен к маршрутизатору, и у меня есть физический доступ к нему. Однако я не хочу просто физически сбросить маршрутизатор и отрезать им доступ, если только это не позволит мне увидеть, что они сделали. Другими словами: я хочу поймать их с поличным.
Также, когда у них есть полный доступ к маршрутизатору, могут ли они прослушивать HTTP? HTTPS? Возможно, есть еще какие-то проблемы безопасности, о которых я не подумал?
Маршрутизатор — Thomson Technicolor TG799vn v2.
Я установил программу Capsa, и, возможно, это идеальный инструмент для этой работы. Однако мой недостаток знаний слишком велик, чтобы провести надлежащий анализ.
решение1
Маршрутизатор — это компьютер Linux, поэтому любой программист Linux с доступом может запрограммировать его на выполнение всего, что находится в пределах его аппаратных возможностей. Если у них также есть сетевой доступ, они могут загружать программы, скачивать видео, зеркалировать видео с любой камеры на своем интернет-сервере, в общем, все, к чему у маршрутизатора есть доступ. Затем они могут загружать эти видео в любое место в Интернете.
Они также могут перехватывать ваши интернет-сессии, записывать пароли, копировать полученные и отправленные электронные письма. Все, что проходит через маршрутизатор, является честной игрой.
Они не могут заглянуть в ваш компьютер. Так что если вы входите в VPN через рабочий стол, они не могут перехватить ваш вход, если только программа VPN для рабочего стола не отправит ваш идентификатор и пароль в открытом виде. К сожалению, существуют эксплойты HTTPS man-in-the-middle, и ваш маршрутизатор находится прямо посередине.
Чтобы выяснить, как именно они взломали ваш маршрутизатор, потребуется помощь эксперта-криминалиста, который сделает дамп системного диска вашего маршрутизатора и сравнит его содержимое с исходным образом.
Вы можете установить специализированное устройство отслеживания между маршрутизатором и вашим поставщиком интернет-услуг (ISP), чтобы отслеживать, делает ли маршрутизатор регулярно несанкционированные соединения с интернет-адресами, которые вы не запрашивали. Это поймает их с поличным и послужит законным доказательством. К сожалению, я не могу рекомендовать ни одно такое устройство, но поиск на Amazon наверняка даст вам его.
Однако в то же время вы рискуете, когда подключаетесь к любому веб-сайту, требующему ввода имени пользователя и пароля, передать эту информацию мошеннику, который использует ее против вас. Если вы использовали тот же пароль на другом веб-сайте или в других сервисах, вы рискуете, что они получат доступ и к ним.
Я не думаю, что люди, которые установили ваш маршрутизатор, виноваты, или, может быть, просто неосознанно оставили какой-то бэкдор открытым. Я бы скорее подумал, что организованная преступная группировка использовала какой-то эксплойт нулевого дня для взлома вашей модели маршрутизатора. Так что максимум, что вы обнаружите, это то, что непрошеная коммуникация будет уходить куда-то в Россию или куда-то еще, где они защищены от ваших местных правоохранительных органов.
Я рекомендую загрузить и установить последнюю версию прошивки маршрутизатора от Thomson (или вашего интернет-провайдера), которая может закрыть лазейку в маршрутизаторе, защитить маршрутизатор, отключив все параметры управления Интернетом и изменив все пароли по умолчанию, и, наконец, изменить все ваши пароли где угодно.
Anywhere означает пароли на маршрутизаторе и любом веб-сайте или сервисе, на которые вы могли войти через маршрутизатор, или любой пароль, который вы также используете в другом месте. Шансы поймать кого-то с поличным и что-то с этим сделать, намного ниже, чем их шансы причинить вам вред.
Как заметил ниже пользователь cybernard, ваш компьютер также рискует стать частью ботнета, если им удалось установить на него вредоносное ПО. Запустите тесты на наличие вредоносного ПО на вашем компьютере с помощью нескольких антивирусных продуктов и продолжайте делать это в будущем, поскольку мошенники всегда опережают хороших парней. По-настоящему безопасная операция — переформатировать и установить и компьютер, и маршрутизатор одновременно, но это может зайти слишком далеко.
решение2
На самом деле есть только две возможности:
- У злоумышленника был доступ к веб-интерфейсу маршрутизатора. Он мог использовать его для:
- Создание переадресации портов для предоставления доступа к внутренним ресурсам/устройствам
- (Возможно) украсть ваши учетные данные для доступа в Интернет
- Измените DNS-сервер (всеми любимый), чтобы перенаправить вас на мошеннические копии веб-сайтов.
- (Маловероятно) Использовать какой-либо эксплойт для доступа к не совсем официальным функциям
- Обмен прошивки, что приводит к
- Злоумышленник изменил прошивку маршрутизатора, что позволило ему:
- Неограниченный доступ к вашей внутренней сети
- Для перехвата любых сетевых и интернет-сообщений
- Чтобы навсегда (даже после сброса настроек к заводским) превратить ваш маршрутизатор в шпионское устройство.
Если последнее, то роутер больше не пригоден для использования. Но не выбрасывайте его, это улика.
При этом вторая возможность крайне маловероятна, поскольку требует больших усилий. Это больше похоже на «иностранную разведку».
Поскольку маршрутизаторы потребителей обычно не предлагают возможности перехвата трафика, единственный способ, которым они могут перехватить ваши данные (без замены прошивки), — это смена DNS-сервера. Конечно, это касается только устройств, которые получают свои настройки DNS через DHCP.
Как это вообще произошло?Поскольку маршрутизатор больше не требовал аутентификации, атака с подделкой межсайтовых запросов весьма вероятна. Это означает, что вы посетили мошеннический/скомпрометированный веб-сайт, который автоматически атаковал ваш маршрутизатор.
вкратце: Вы не поймаете нападающего, потому что его нет. Все автоматизировано.