A maioria dos roteadores tem um gateway usado por clientes domésticos, são altamente inseguros e alguns roteadores são tão vulneráveis a ataques que deveriam ser descartados, disse um especialista em segurança na conferência Hacker X Hacker em Nova York.
“Se o roteador for vendido em [паре
с электроникой]e você não quer comprá-lo ”, disse Michael Horowitz, um consultor de computador independente na apresentação. “Se o seu roteador for fornecido a você pelo seu ISP [ISP]você também não quer usá-lo porque eles dão milhões deles e isso os torna um alvo principal para agências de espionagem e bandidos. “
Horowitz recomendou que os consumidores preocupados com a segurança atualizassem para roteadores comerciais projetados para pequenas empresas, ou pelo menos dividissem seus modems e roteadores em dois dispositivos separados. (Muitos blocos de “gateway”, geralmente fornecidos por ISPs, atuam como ambos). Se essas opções forem descartadas, Horowitz forneceu uma lista de precauções que os usuários podem tomar.
Problemas de roteador do consumidor
Os roteadores são dispositivos importantes, mas não concluídos, das redes de computadores modernas, mas poucos usuários domésticos percebem que eles são computadores e têm seus próprios sistemas operacionais, software e vulnerabilidades.
“Um roteador comprometido pode espionar você”, disse Horowitz, explicando que um roteador sob o controle de um invasor pode encenar um ataque man-in-the-middle, alterar dados não criptografados ou enviar usuários para sites de “contrapartes ruins” usados por webmail ou Internet banking.
Horowitz observou que muitos dispositivos de reforma doméstica não informam aos usuários quando as atualizações de firmware estão disponíveis, embora essas atualizações sejam necessárias para consertar falhas de segurança. Alguns outros dispositivos não aceitam senhas com mais de 16 caracteres.
Milhões de roteadores em todo o mundo têm rede Universal Plug and Play (UPnP) habilitada em portas voltadas para a Internet, expondo-os a ataques externos.
“O UPnP foi projetado para redes locais [локальных сетей]e, portanto, não tem segurança. Isso realmente não importa em si ”, disse Horowitz. Mas, ele acrescentou, “o UPnP na Internet é como ir para uma cirurgia e fazer um médico trabalhar com o pé errado”.
Outro problema é o Home Network istration Protocol (HNAP), uma ferramenta de gerenciamento encontrada em alguns roteadores de consumidores que transmite informações confidenciais sobre o roteador pela Internet para http: // [IP-адрес маршрутизатора] / HNAP1 / e fornece controle total para usuários remotos que fornecem nomes de usuário e senhas istrativos (que muitos usuários nunca alteram dos padrões de fábrica).
Em 2014, um worm de roteador chamado The Moon usou o protocolo HNAP para identificar roteadores Linksys vulneráveis para os quais ele poderia se espalhar. (Linksys rapidamente lançou o firmware).
“Quando chegar em casa, faça isso com todos os seus roteadores”, disse Horowitz ao público profissional. “Vá para / HNAP1 / e espero que você não obtenha uma resposta se for apenas uma coisa boa. Honestamente, se você receber uma resposta, jogarei o roteador fora. “
Ameaça WPS
Pior de tudo, Wi-Fi Protected Setup (WPS) é fácil de usar que permite aos usuários contornar a senha de rede e conectar dispositivos a uma rede Wi-Fi simplesmente inserindo um PIN de oito dígitos que é impresso no próprio roteador, mesmo se a senha ou o nome da rede mudou. O PIN permanece válido.
“Este é um grande problema com o descarte seguro”, disse Horowitz. “Este número de oito dígitos o levará para [роутер], não importa o que. Então, o encanador vai até sua casa, vira o roteador, remove-o da parte inferior e agora pode visitar sua rede a qualquer momento. ”
Horowitz explicou que esse PIN de oito dígitos não tem nem oito dígitos. Na verdade, tem sete dígitos, mais o dígito final da soma de verificação. Os primeiros quatro dígitos são verificados como uma sequência e os três últimos como os outros, resultando em apenas 11.000 códigos possíveis em vez de 10 milhões.
“Se o WPS estiver ativo, você pode entrar no roteador”, disse Horowitz. “Você só precisa fazer 11.000 rebotes” é uma tarefa trivial para a maioria dos computadores e smartphones modernos.
Depois, há a porta de rede 32764, que foi descoberta pelo pesquisador de segurança francês Eloi Vanderbeken em 2013, que foi instalada silenciosamente em gateways de roteadores vendidos por várias marcas importantes. Usando a porta 32764, qualquer usuário na rede local que inclua o ISP do usuário pode controlar totalmente o do roteador e até mesmo realizar uma redefinição de fábrica sem uma senha.
A porta foi fechada para a maioria dos dispositivos afetados depois que Vanderbeken divulgou as informações, mas depois ele descobriu que ela poderia ser facilmente aberta com um pacote de dados especialmente projetado que poderia ser enviado pelo provedor.
“É claramente feito por uma agência de espionagem, é incrível”, disse Horowitz. “Foi intencional, sem dúvida.”
Como bloquear seu roteador doméstico
Horowitz disse que o primeiro o para proteger um roteador doméstico é que o roteador e o modem não sejam o mesmo dispositivo. Muitos ISPs alugam esses dispositivos para clientes, mas eles não poderão controlar suas próprias redes.
“Se você receber uma caixa que a maioria das pessoas, na minha opinião, chama de gateway”, disse ele, “você precisa ser capaz de entrar em contato com seu ISP e colocá-la em uma gaveta para que funcione como um modem, adicione a sua própria roteador para ele. “.
Horowitz então recomendou que os clientes comprassem um roteador Wi-Fi / Ethernet comercial de baixo custo como o Pepwave Surf SOHO, que é vendido por cerca de US $ 200, em vez de um roteador amigável ao consumidor que pode custar apenas US $ 20. É improvável que os roteadores comerciais tenham UPnP ou WPS. Pepwave, Horowitz observou, oferece recursos adicionais, como reversões de firmware no caso de uma atualização de firmware dar errado.
Seja um roteador comercial ou de consumidor, há várias coisas, desde simples a complexas, que os es de rede doméstica podem fazer para garantir que seus roteadores sejam mais seguros:
Correções fáceis
Altere as credenciais de do nome de usuário e senha padrão. Esta é a primeira vulnerabilidade atacada. O manual do roteador deve mostrar como fazer isso; se não, google com certeza.
Mude o nome da rede ou SSID para “Netgear”, “Linksys” ou qualquer que seja o padrão, algo único, mas não dê um nome que o identifique.
“Se você mora em um prédio de apartamentos em um apartamento 3G, não chame seu SSID de“ Apartamento 3G ”, respondeu Horowitz. “Chame-o de Apartamento 5F.
Ative a criptografia sem fio WPA2 para que apenas usuários autorizados possam ar sua rede.
Desative o Wi-Fi Protected Setup se o seu roteador permitir.
Configure uma rede Wi-Fi para convidados e ofereça-a aos usuários se o seu roteador tiver esse recurso. Se possível, configure uma rede de convidado que seja capaz de desligar por um período de tempo especificado.
“Você pode ligar a rede de convidados e ajustar o cronômetro, e depois de três horas ela desligará”, disse Horowitz. “Este é um recurso de segurança muito bom.”
Se você tiver muitas casas inteligentes ou dispositivos Things Internet, é provável que muitos deles não sejam muito seguros. Conecte-os à sua rede Wi-Fi de convidado em vez da rede principal para minimizar os danos causados por qualquer comprometimento potencial do dispositivo IoT.
Não use o gerenciamento de roteador baseado em nuvem se o fabricante do roteador sugerir. Em vez disso, descubra se você pode desativar esse recurso.
“Esta é uma ideia muito ruim”, disse Horowitz. “Se o seu roteador oferecer isso, eu não faria isso, porque agora você confia na outra pessoa entre você e o seu roteador.”
Muitos novos “roteadores de rede”, como Google Wifi e Eero, são totalmente dependentes da nuvem e só podem interagir com o usuário por meio de aplicativos de smartphone baseados em nuvem. Embora esses modelos ofereçam melhorias de segurança em outras áreas, como atualizações automáticas de firmware, pode valer a pena procurar um roteador tipo malha que permita o istrativo local, como o Netgear Orbi.
Moderadamente difícil
Instale um novo firmware quando disponível. Visite a interface de istração do roteador regularmente para verificar. Com algumas marcas, pode ser necessário verificar o site do fabricante para atualizações de firmware. Os roteadores mais recentes, incluindo a maioria dos roteadores de rede, atualizarão automaticamente o firmware. Mas tenha um roteador de backup à mão, caso algo dê errado.
Configure seu roteador para usar o intervalo 5 GHz para Wi-Fi em vez da banda mais padrão 2,4 GHz se possível e se todos os seus dispositivos forem compatíveis.
“Faixa 5 GHz não se aplica ao intervalo 2,4 GHz ”, disse Horowitz. “Então, se houver algum bandido na sua área em um ou dois quarteirões, ele pode ver sua rede em 2,4 GHz, mas pode não ver sua rede de relógio 5 GHz “.
Desative o o istrativo remoto e desative o o istrativo por Wi-Fi. Os es só devem se conectar a roteadores via Ethernet com fio. (Novamente, isso não será possível em muitos roteadores mesh.)
Dicas adicionais para usuários mais avançados
Altere as configurações da interface istrativa da Web se o roteador permitir. O ideal é que a interface forneça uma conexão HTTPS segura em uma porta não padrão, de forma que a URL para o istrativo seja algo como o exemplo de Horowitz “https: //192.168.1…1: 82 “em vez do mais padrão” http: //192.168.1…1″, Que por padrão usa a porta 80 padrão da Internet.
Ao ar a interface istrativa, o modo de navegador anônimo ou privado é usado para que o novo URL não seja salvo no histórico do navegador.
Desative PING, Telnet, SSH, UPNP e HNAP se possível. Todos esses são protocolos de o remoto. Em vez de definir as portas apropriadas como “fechadas”, defina-as “furtivamente” para que não haja resposta a mensagens externas não solicitadas que possam vir de invasores explorando sua rede.
“Todo roteador tem a opção de não responder aos PINGs”, disse Horowitz. “Isso é absolutamente o que você deseja incluir – um ótimo recurso de segurança que ajuda você a se esconder. Claro, você não vai se esconder do seu ISP, mas vai se esconder de algum cara na Rússia ou na China. “
Altere o servidor de nomes de domínio do roteador (DNS) de seu próprio servidor ISP para um compatível com Open DNS (208.67.220.220, 208.67.222.222) ou Google Public DNS (8…8…8…8, 8…8…4…4) Se você estiver usando IPv6, os endereços de DNS aberto correspondentes são 2620: 0: ccc :: 2 e 2620: 0: ccd :: 2e Google 2001: 4860: 4860 :: 8888 e 2001: 4860: 4860 :: 8844.
Use um roteador de rede privada virtual (VPN) para complementar ou substituir um roteador existente e criptografar todo o tráfego da rede.
“Quando digo roteador VPN, quero dizer um roteador, que pode ser um cliente VPN”, disse Horowitz. “Então você se inscreve em alguma empresa VPN e tudo o que você envia por meio desse roteador a pela rede dela. Esta é uma ótima maneira de ocultar o que você está fazendo do seu ISP. “
Muitos roteadores Wi-Fi domésticos podem “piscar” para executar firmware de código aberto, como o firmware DD-WRT, que por sua vez oferece e nativo ao protocolo Open VPN. A maioria dos serviços VPN comerciais oferece e a VPN aberta e fornece instruções sobre como configurar roteadores de código aberto para usá-los.
Por fim, use o Serviço de digitalização de portas da Gibson Research Corp. Na tela https://www.grc.com/shieldsup. Ele verificará seu roteador em busca de centenas de vulnerabilidades comuns, a maioria das quais pode ser atenuada por um de roteador.
