Článek
Na vlastní kůži se o tom přesvědčil počítačový programátor Jakub Bouček, který objevil zřejmě první napadený router v České republice. Ten Novinkám popsal, jak celý útok probíhal.
„Před rokem jsem rodině pana Tomáše nainstaloval několik nových počítačů, zajistil připojení k internetu a základní zabezpečení. Minulý týden zavolal, že mu počítač blokuje přístup na Seznam.cz,“ uvedl Bouček s tím, že nejprve si myslel, že chyba bude na straně provozovatele webových stránek.
KOMENTÁŘ DNE:
Lyžařské Nagano - Nedá se nic dělat, dnešní komentář musí být sportovní, protože jedna mladá dáma přepsala lyžařské dějiny země. Čtěte zde >>
Po chvíli ale přestal fungovat i Google a programátor zjistil, že problém je jinde – internetové připojení blokoval nainstalovaný firewall, který správně rozpoznal, že se do počítače snaží dostat nezvaný návštěvník.
Podvodná výzva k aktualizaci flash playeru se zobrazuje i na legitimních webech, protože je napaden router, brána do světa internetu.
Prostřednictvím napadených routerů, tedy bran do světa internetu, se totiž útočníci snažili při všech zaznamenaných útocích propašovat do připojených počítačů škodlivý virus. Při snaze o zobrazení nějaké internetové stránky vyskočí hláška o nutnosti instalace flash playeru. Místo té se ale do PC stáhne virus.
Výzvy k aktualizaci se přitom zobrazují i po zadání regulérních webů, jako jsou například Seznam.cz a Google.com, což může některé uživatele uvést v omyl. To se ale naštěstí v případě pana Tomáše nestalo, protože firewall zafungoval včas a správně.
ČTĚTE TAKÉ: |
---|
Nebezpečný počítačový virus se šíří Českem, varuje Národní bezpečnostní tým |
Podvodníci zkoušejí nový trik. Obrana není snadná |
Doposud se tradovalo, že router může být napaden, pokud nemá uživatel nastaveno silné přístupové heslo k jeho konfiguraci. Tedy zpravidla pokud lidé nechají tovární nastavení. První zaznamenaný případ v České republice však ukázal, že to není tak docela pravda.
„Heslo jsem na routeru nastavoval osobně při instalaci. Sice nebylo hustodémonsky krutopřísné, ale pořád dostatečně silné. Podobné pravidlo platí pro WPA2-TKIP heslo pro WiFi. Útok tedy, předpokládám, byl zaměřen na nějakou technologickou zranitelnost routeru z některého z počítačů v LAN síti,“ konstatoval Bouček.
Ani silná hesla nejsou zárukou bezpečí
Ani silná přístupová hesla tedy nejsou zárukou toho, že uživatel bude v bezpečí. „Routery mají velkou moc, která se několik generací podceňovala, a bude chvíli trvat, než výrobci stihnou zareagovat a rozšířit stroje schopné aktivně se na zabezpečení podílet,“ podotkl programátor, který má počítačovou bezpečnost jako koníček.
Narážel přitom na automatické aktualizace routerů. Tuto funkci totiž většina síťových prvků na rozdíl od klasických počítačů nenabízí. Pokud se tedy objeví nějaká zranitelnost a uživatel záplatu nenainstaluje manuálně, zadní vrátka routeru jsou otevřena všem případným útočníkům.
Nakaženým přístrojem, kterého se útok týkal, byl TP-LINK TD-W8901G. V posledních dnech se počty případů zaznamenaných v Česku stále množí.
„Máme od dalších uživatelů potvrzen výskyt tohoto problému i na routerech další značky. Dále máme, zatím nepotvrzenou, informaci, že minimálně v jednom případě byl útok proveden ze zavirovaného PC v lokální síti. Znovu tedy vybízíme uživatele ke zvýšené opatrnosti,“ uvedl bezpečnostní analytik Pavel Bašta z Národního bezpečnostního týmu CSIRT, který je provozován sdružením CZ.NIC.
Podle něj byly podobné útoky zaznamenány v minulých dnech například v Polsku. Desítky dalších uživatelů se staly oběťmi viru v Německu, Anglii nebo například v Americe, což dokládají i reakce postižených na zahraničních diskuzních fórech.
Virus je nutné smazat přímo na routeru
Bezpečnostní doporučení z minulého týdne i přes alarmující případ z Česka stále platí. Nezvaného návštěvníka je možné odstranit uvedením routeru do továrního nastavení. Jak na to, se lidé dozvědí z návodů dodávaných k zařízením. Zpravidla se však na síťovém prvku nachází malé tlačítko nazvané reset (většinou je tak malé, že jde stisknout pouze špendlíkem nebo hrotem tužky), stačí jej chvilku držet, dokud nezačnou kontrolky na routeru blikat.
Aby se kyberzločincům nepodařilo znovu nezvaného návštěvníka tímto způsobem do systému propašovat, je nutné u routeru nastavit silné přístupové heslo k jeho konfiguraci. U bezdrátových modelů to samé platí u hesla k WiFi síti, vhodné je také používat silnější bezpečnostní standard, například WPA 2.
Vhodné je také pravidelně sledovat, zda nejsou pro router dostupné nějaké aktualizace přímo od výrobce. Právě v případě zaznamenaném v Česku se totiž škodlivý kód mohl do routeru dostat kvůli chybě softwaru, přestože byl dostatečně zabezpečen.
Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
Anketa
PŘEHLEDNĚ: Jak probíhá útok na router?
1. Internetem se šíří virus, který cílí na routery. Napadnout tyto brány do světa internetu může buď přímo při procházení zavirovaných webů, nebo prostřednictvím některého počítače v dané síti, který je již zavirován.
2. Ve chvíli, kdy se virus zabydlí v routeru, dokáže zcela zablokovat internetové připojení na všech počítačích, a to i chytrých mobilech a tabletech, zapojených v síti.
3. U většiny doposud zaznamenaných útoků virus začal následně zobrazovat výzvu k instalaci aktualizace flash playeru. Snaží se tak vzbudit dojem, že stránky nejdou spustit právě kvůli neaktuálnosti pluginů.
4. Výzva se zobrazovala i v případech, že byly do adresního řádku zadány regulérní weby, které ve skutečnosti k zobrazování obsahu flash player nepotřebují – například Seznam.cz nebo Google.com.
5. Místo aktualizace si lidé stáhnou do počítače virus. Zobrazování hlášek i na regulérních webech je možné právě kvůli tomu, že kyberzločinci ovládají přímo samotný router. Ve skutečnosti tedy žádné ze zadaných serverů vir neobsahují.
6. I když antiviry z napadeného počítače virus odstraní, stále nemají uživatelé vyhráno. Zdroj dalších hrozeb se totiž ukrývá přímo v samotném routeru. A k němu nemá drtivá většina bezpečnostních aplikací vůbec žádný přístup.
7. Řešením je uvést router do továrního nastavení. Jak na to se lidé dozvědí z návodů dodávaných k zařízení. Pokud si nejsou uživatelé jisti, jak správně router nastavit, je vhodné tuto činnost přenechat odborníkovi.
8. Není vyloučeno, že chování viru útočníci upraví. Tím, že se nachází přímo v routerech, může totiž i přesměrovávat stránky na podvodné weby. V takovém případě pak kyberzločinci mohou získat přístup ke všem on-line účtům.
9. Pokud pozorujete ve své síti podobné problémy, můžete zjistit velmi snadno, zda je router zavirován pomocí chytrého telefonu. Místo WiFi se stačí připojit k webu prostřednictvím mobilního připojení. Pokud se výzva k instalaci aktualizace nezobrazí, je router zavirován.