|
||||
最近路由器的安全問題又成為了熱點,主要源於安全公司Team Cymru的統計報告顯示,全球有多達30萬臺路由器遭受黑客攻擊,涉及多個知名品牌。
路由器被黑最大風險就是破財
據介紹,這次被黑的路由器產品涉及到了D-Link、Micronet、騰達、TP-Link等知名品牌的多個型號產品,同時在相關的報告中還指出了受攻擊的路由器主要處於東南亞的發展中國家。這次攻擊的共同特征是將路由器DNS解析劫持到了5.45.75.11和5.45.76.36等IP地址,也就是說用戶無論訪問哪裡,都會首先訪問上面兩個地址所在的服務器,再由他們對數據進行中轉。
通過DNS劫持,黑客可以將用戶隨時重定向到任何地方,比如正在訪問某銀行的用戶,很有可能被虛假的DNS服務器將連接重定向到釣魚網站,造成財產損失。虛假DNS服務器也可以用來做其他用途,比如將網絡請求重定向到指定的服務器,形成大規模DDoS攻擊;哪怕是引導這些用戶點擊廣告,也足夠讓黑客賺翻了。另外,由於通過第三方服務器中轉,因此也為數據包抓取、分析等常規的竊密行為也提供了機會。
我們的網絡從誕生起就存在一些不完善的地方,比如ARP攻擊所采用的漏洞就是貫穿著網絡發展始終的,然而對應的攻擊是到了一個特定時間之後纔越來越頻繁,因為此前網絡上的數據並沒有包含太多價值,攻擊很難獲得什麼實際利益。隨著互聯網深入生活,我們越來越多的行為『上網』,因此傳輸在網絡上的數據價值在不斷提昇,同時黑客的攻擊行為也越來越受到利益驅使,如何通過互聯網非法謀利,自然會格外招惹黑客的注意。
路由被黑從『點擊不明網頁』開始
與傳統的黑客行為有所不同,這次黑客的攻擊目標並非計算機,而是路由器(包括無線路由器)。在長期的黑客攻防戰中,我們的計算機已經幾乎是一臺武裝到牙齒的設備,想要發動有效攻擊是極其困難的。相反,作為網絡出口的路由器設備不但要處理大量數據,而且幾乎沒什麼有效的安全防護手段,不難看出這樣的設備將會成為未來黑客研究的重點。根據圖示,在具體的攻擊行為方面,首先黑客要引誘用戶通過瀏覽器訪問特定的頁面,下載惡意代碼到本地,惡意代碼會獲取root權限並且自動修改DNS地址,這樣攻擊就在神不知鬼不覺的情況下完成了。
這次黑客攻擊中出現了兩個特點,首先是黑客攻擊行為並沒有依賴於密碼破解。在傳統的各種攻擊行為中,密碼是一個重要屏障,大部分成功入侵的案例都因為用戶沒有設置密碼、采用默認密碼或者設置弱密碼。而這次攻擊中,黑客的攻擊行為直接繞過了密碼取得root權限並修改DNS服務器,這種現象是很少見的。
其次,報告中被點名了的有大量的知名品牌,比如D-Link、Micronet、騰達、TP-Link等等,這些產品在國內市場非常常見,市場佔有率非常高。雖然報告中沒有指出在中國國內有類似的路由器被黑的現象,但用戶難免推己及人,從路由器被黑事件引發關於『我的路由器安全嗎』這樣的思考。
從整個攻擊行為來看,黑客雖然繞過了密碼,但並不代表攻擊行為100%成功,甚至可以說這種攻擊路由器的行為失敗率是非常非常高的。黑客能夠實現攻擊的第一個前提就是能夠引誘用戶點擊連接訪問指定的網址,而對於中國很多用戶而言,『不防問來源不明的網址』已經成為上網習慣,並且在PC端有大量的安全工具和管理工具對點擊行為進行攔截或者提醒,甚至許多瀏覽器和聊天工具也整合了相關的功能。
同樣,即使點擊了,也不代表路由器被黑是聽天由命的事情。黑客是通過遠端WEB管理界面訪問路由器獲取root權限,在成功引誘用戶點擊連接之後,攻擊是否成功就要看遠端WEB管理IP地址選項是否開啟,那麼接下來的問題就是路由器有沒有開啟對應的功能以及如何進行設置的。因此在不確定自己的路由器是否會被黑之前不妨先考慮一個問題,你知道什麼是『遠端WEB管理IP地址』嗎?
另一方面,國內外安全組織也正在對黑客所指定的DNS服務器進行解析,將逐步了解黑客通過該服務器做了哪些進一步攻擊的行為,甚至追查黑客攻擊的始作俑者。
其實報告中黑客所使用的並不是什麼新技術,早在一年多以前,我國的國家信息安全漏洞共享平臺(CNVD)就收錄了一條編號為CNVD-2013-20783的路由器安全漏洞,這個漏洞由波蘭網絡安全專家Sajdak發現,最早發現存在於TP-Link的產品中,後來Sajdak又陸續發現其他一些型號的路由器產品中也存在同樣的漏洞,因此公布了相關信息,當時除了國家信息安全漏洞共享平臺之外,各地的公安部門和網絡安全機構也都同步發布了信息,以提醒廣大網友注意檢查和預防攻擊行為。
在漏洞信息發布不久,以TP-Link為首的廠商也積極進行了回應,立即給出了最直接的解決辦法,即徹底關閉『遠端WEB管理IP地址』,或者將IP地址設置為0.0.0.0。同時,廠商承諾將盡快昇級路由器產品的固件封堵漏洞。在中國,這已經都是去年春天的事情了。
總結:路由被黑影響范圍其實有限,應保持高安全意識
由於這次攻擊要同時滿足路由器固件沒昇級、用戶點擊指定鏈接以及用戶開啟特定選項三個條件,因此本身就是一種成功率非常低的攻擊行為。也正是因為如此,在這次路由器被黑的事件中,網民數量稱霸全球的中國並未受到什麼影響,至少在報告中並沒有被提及,可見不論是網絡安全部門、企業還是網絡設備制造商,遇到安全問題時的響應都是十分迅速的,並且可以看出中國網民的網絡安全知識普及程度也明顯高於周邊國家。
不過對於用戶來說,躲過一次攻擊並不意味永久的安全,其中暴露的問題還是要引人深思的。比如為什麼多個品牌的路由器產品會有相同的漏洞存在,比如為什麼有些路由器的相關選項默認是開啟狀態等等。同時,目前路由器的架構相對老舊、無法承載基於硬件的安全模塊等問題也亟待解決,也許黑客發現的下一個漏洞就會造成更大危害,但令我們欣喜的是,路由器和無線路由器的改革正在緩慢推進,一些智能化的產品已經逐步在市場上露面,並且獲得了高通這樣的上游芯片廠商支持,未來的路由器產品不但能夠承載更加繁重的網絡任務,並且安全性也會得到大大增強,我們的上網環境也將變得更高速和安全。