4
http://pclab.pl/news56399.html
Poważny atak w Sieci, Orange blokuje dostęp zagrożonym, a co z pozostałymi?
Wielu polskich internautów, klientów sieci Orange (dawniej TPSA), korzystających z modemów ADSL ma poważny problem z dostępem do Sieci, jak się jednak okazuje, paradoksalnie jest to dla nich bardzo dobra wiadomość.
Kilka dni temu informowaliśmy o jednej z najnowszych inicjatyw cyberprzestępczych - ataku na wybrane modele routerów. Agresorzy poprzez wykryte luki w oprogramowaniu wewnętrznym dużej grupy tego typu urządzeń są zdolni do nieautoryzowanej i niedostrzegalnej przez zwykłego użytkownika zmiany parametrów pracy routera, co z kolei pozwala przestępcom kierować ruch zaatakowanych osób na podstawione, fałszywe witryny wyłudzające istotne dane, takie jak np. informacje uwierzytelniające klientów bankowości elektronicznej.
Wczoraj wieczorem serwis Niebezpiecznik.pl poinformował, że jeden z największych operatorów internetowych w naszym kraju - Orange (dawniej TP S.A.) zdecydował się na dość odważny, ale w tej sytuacji chyba konieczny, ruch. Odciął możliwość rutowania ruchu kierowanego na konkretne, podstawione przez cyberprzestępców adresy IP.
Kilka słów wyjaśnienia pozwoli zrozumieć naturę ataku: cyberprzestępcy mając wiedzę na temat luk w oprogramowaniu konfiguracyjnym określonych modeli routerów są w stanie, bez wiedzy użytkownika, podmienić adresy serwerów DNS w ustawieniach połączenia zaatakowanej osoby. Znane są adresy internetowe (IP) serwerów DNS wykorzystywanych przez cyberprzestępców, to:
5.45.75.36
5.45.75.11
95.211.241.94
oraz
95.211.205.5
Jeżeli po sprawdzeniu ustawień twojego routera stwierdzisz obecność jednego z powyższych adresów w konfiguracji serwerów DNS, oznacza to że jesteś ofiarą ataku.
Konsekwencje tego ataku są bardzo znaczące. W wyniku podmiany adresów serwerów DNS, odpowiedzialnych za rozwiązywanie nazw domenowych każdego odwiedzanego miejsca w Internecie, agresorzy mogą (i robią to) niepostrzeżenie przekierowywać ruch zaatakowanych użytkowników na podstawione strony, a w tym przypadku na fałszywe witryny banków online.
Co więcej, decyzja Orange o odcięciu rutingu adresów IP wykorzystywanych przez cyberprzestępców de facto uniemożliwia zaatakowanym osobom korzystanie z internetu, ale też chroni ich w ten sposób. Metoda ta z pewnością nie musi podobać się odciętym, ale w tej sytuacji, dopóki nie uda się wyłączyć fałszywych serwerów DNS, jest chyba najbardziej skuteczna.
Problem jednak jest o tyle poważny, że ruch operatora zarządzającego usługą Neostrada chroni wyłącznie klientów tej firmy, tymczasem z zagrożonych ruterów korzysta znacznie więcej osób łączących się z Siecią poprzez usługi innych dostawców. Nie są oni w żaden sposób chronieni. Skala ataku jest bardzo poważna. Ocenia się, że zagrożonych może być nawet milion osób w naszym kraju!
Mniej doświadczonym osobom, które chciałyby sprawdzić, czy w tej chwili nie korzystają właśnie z podstawionych przez cyberprzestępców adresów serwerów DNS podpowiadamy jak zweryfikować adres DNS w systemie Windows:
1. Z menu Start należy wybrać polecenie Uruchom (ewentualnie użyć kombinacji klawiszy Windows+R), a następnie w wyświetlonym okienku wpisać polecenie cmd.exe
2. Po wyświetleniu się okienka Wiersza poleceń, należy w nim wpisać polecenie:
ipconfig /all
i wcisnąć Enter.
3. W oknie, w którym wprowadzono to polecenie powinna wyświetlić się informacja na temat konfiguracji sieci i łącza internetowego. M.in. adresy wykorzystywanych przez dany komputer serwerów DNS.
Osoby używające komputerów Apple powinny zamiast powyższej metody użyć w konsoli polecenia:
cat /etc/resolv.conf
Tak samo postępują użytkownicy systemu Linux (choć Ci akurat z pewnością posiadają tę wiedzę).
Warto pamiętać, że nawet jeżeli po wyświetleniu adresów DNS powyższą metodą nie zobaczymy danych serwerów podstawianych przez cyberprzestępców, to warto zweryfikować jeszcze ustawienia na samym routerze:
1. Należy zalogować się do programu konfiguracyjnego routera (najczęściej odbywa się to poprzez przeglądarkę internetową). Uwaga! Fakt niemożności zalogowania się do routera za pomocą standardowej kombinacji uwierzytelniającej może być sygnałem, że zostaliśmy zaatakowani. W takim razie należy przywrócić fabryczne ustawienia routera używając procedury przedstawionej w instrukcji obsługi danego modelu urządzenia.
2. Po zalogowaniu się do urządzenia należy sprawdzić ustawienia serwerów DNS i - jeżeli stwierdzimy obecność adresów "złośliwych" serwerów DNS należy je podmienić (np. na bezpieczne adresy 8.8.8.8 i 8.8.4.4).
3. Bardzo ważne jest wyłączenie zdalnego dostępu (czyli właśnie przez internet) do ustawień konfiguracyjnych routera.
4. Obowiązkowo należy sprawdzić witrynę domową producenta i w przypadku dostępności aktualizacji oprogramowania routera wykonać taką aktualizację.
Oprócz powyższych metod, Orange udostępniło narzędzie, które pozwala dowolnemu użytkownikowi Sieci (nie tylko klientowi Orange) sprawdzić, czy nie jest on podatny na atak.
Zachęcamy wszystkich znających kwestie techniczne użytkowników, by pomogli swoim mniej zinformatyzowanym przyjaciołom i znajomym w weryfikacji, czy nie dysponują oni zaatakowanym przez cyberprzestępców routerem. Dotyczy to również kwestii aktualizacji oprogramowania wewnętrznego routera - niestety wiele modeli jest pozbawionych funkcji automatycznej aktualizacji przez sieć, co tym samym oznacza że taką operację zainteresowany musi wykonać sam, a to często - w przypadku osób "nietechnicznych" - przekracza ich możliwości.
Powyżej zrzut z witryny firmy TP-Link z oprogramowaniem do routerów. Analogiczne strony udostępniają wszyscy producenci routerów.
Źródło: Niebezpiecznik
Anty-LightworkersPL