Už několik lidí v České republice našlo ve svém modemu červa. Nešlo však o živočicha, ale o malý prográmek, který svou přítomností umožnil napadení počítačů i dalších zařízení v síti. Zabraňte červovi, aby napáchal škody. Naštěstí to není tak složité.
Modemy od O2 jsou bezpečné
Na začátek můžeme uklidnit všechny ty, kteří si DSL modemy pořídili v prodejní síti O2. Všechny námi prodávaná zařízení jsou automaticky nastavená tak, aby byla proti útoku zvenčí co nejlépe chráněna. Pokud uživatel sám nastavení nezmění, útočník zvenku nemá šanci nastavení modemu upravit. Před zařazením do nabídky technici O2 navíc nová zařízení prověřují.
Pokud chcete i vy mít bezpečný modem bez starostí, můžete si u nás zakoupit nový VDSL modem.
Antivir červa odhalil
Dobrou ochranou jsou také kvalitní antivirové programy a firewally. Právě antivir totiž stál na počátku odhalení prvního červa v ADSL modemu v České republice (konkrétně model TP-Link TD-W8901G – v prodejní síti O2 nebyl nikdy nabízen). Jeho majiteli se totiž najednou přestaly zobrazovat stránky Seznamu a poté i Google – antivir psal, že stránky nejsou bezpečné. Přivolaný, technicky zdatný známý začal hledat příčinu problému a postupně se dostal k tomu, že v modemu byla změněna adresa DNS (Domain Name System – podrobnosti na Wikipedii). Ty přitom v internetu slouží jako jakýsi telefonní seznam, který ví, kde se skrývá třeba právě server Seznam.cz. Ve skutečnosti jsou totiž adresy webových serverů číselné. Jelikož by se nám ale shluky čísel špatně pamatovaly, používáme názvy a právě DNS zajistí převod názvu na čísla. Když ale červ vymění tento záznam, namísto na servery Seznamu vede adresa jinam. Antivir tedy zjistil, že stránky, které se tváří jako Seznam a Google, jsou ve skutečnosti jiné a obsahují nebezpečný kód.
Kdyby antivir webovou stránku nezablokoval, vypadal by web úplně stejně jako stránka, kterou uživatel zadal. Snažil by se ale uživatele přesvědčit, aby si instaloval nějaký program – třeba novou verzi prohlížeče. A právě instalace takového programu už je pro bezpečnost počítače fatální. Útočníci se je snaží dostat na počítač oběti, aby zde zaznamenávaly přihlašovací údaje či další citlivé informace.
Analýza zjistila chybu routeru
Majitel svolil s předáním postiženého ADSL modemu TP-Link TD-W8901G odborníkům CSIRT.CZ. Tato organizace (CSIRT = Computer Security Incident Response Team) koordinuje řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice. Ti problém analyzovali a zjistili jeho příčinu: nedostatečné zabezpečení přístupu k webovému rozhraní v softwaru modemu. Alarmující je, že podle sdružení je v České republice stále zhruba pět tisíc zařízení, u kterých může k podobnému útoku dojít. ADSL modem TP-Link TD-W8901G se prodával mezi lety 2008 a 2011 a nyní už není výrobcem podporovaný, takže pro něj ani nejsou vydávány bezpečností updaty. Zabezpečit se však dá podle postupu zveřejněného na blogu zaměstnanců CZ.NIC.
Rizik může být více
Popsaný případ podvržení DNS se stal i přes dobré nastavení modemu, a to kvůli chybě v jeho softwaru. Nicméně řada lidí se může stát terčem útoku i s modemem či jiným routerem, který žádnou chybu nemá. Velmi často totiž lidé ponechávají zařízení v továrním nastavení, kde je někdy povolený přístup k administraci z internetu. Zařízení prodávaná v síti O2 mají standardně tento přístup zakázán a do administrace se dostane pouze uživatel z vnitřní sítě. Útoky zvenčí tak nelze vůbec realizovat.
Doporučení správce domény cz
Přestože už tedy víme, proč se červ do jednoho modemu dostal a jak takovému útoku u daného modelu předejít, měli by uživatelé zůstat obezřetní a znát základní pravidla bezpečnosti. Správce domény cz – zájmové sdružení právnických osob CZ.NIC, pod které spadá i tým CSIRT – připravil několik základních rad:
1) Všímejte si adresy URL v prohlížeči a věnujte pozornost indikátoru probíhajícího HTTPS spojení.
2) Na routeru zakažte vzdálenou konfiguraci a změňte výchozí uživatelské jméno a heslo.
3) Proveďte update na poslední verzi firmware, která je pro váš router dostupná. Je potřeba mít na paměti, že routery obvykle nemají žádné automatické aktualizace, a tak je starost o updaty zcela na uživateli.
4) DNS servery můžete nastavit přímo na koncových zařízeních tak, aby nedocházelo k jejich nastavení ze strany routeru. V tom případě můžete použít DNS servery vašeho poskytovatele připojení, případně můžete využít DNS serverů sdružení CZ.NIC. Jedná se o resolvery s IP adresami 217.31.204.130 a 193.29.206.206. Pokud vaše síťové připojení funguje i přes protokol IPv6, můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.
5) Pokud to je možné, používejte DNSSEC validaci přímo v koncových zařízeních.
V následujících dnech očekávejte článek, ve kterém doporučíme, jak dále zabezpečit DSL modem, nastavit bezpečné bezdrátové připojení a vybrat správné heslo.
