路由器被黑 网络入口再拉警钟
- 2014-3-8 17:01:42
- 类型:原创
- 来源:电脑报
- 报纸编辑:马渝曦
- 作者:
【电脑报在线】安全公司Team Cymru 3月初发布报告,指出全球有 30 万台路由器设备被黑,设备被黑厂商包括 D-Link、Micronet、腾达、TP-Link等。被黑之后,用户通过被黑路由器访问网页,可能会被劫持到恶意网站,银行密码等安全信息也可能被盗。 一时间,关于路由器存在安全问题的话题甚嚣尘上,人人都在扭头寻找那台躲在房间小角落原本默默无闻的路由器。它都沦陷了,我们的家庭网络还安全吗?
安全公司Team Cymru 3月初发布报告,指出全球有 30 万台路由器设备被黑,设备被黑厂商包括 D-Link、Micronet、腾达、TP-Link等。被黑之后,用户通过被黑路由器访问网页,可能会被劫持到恶意网站,银行密码等安全信息也可能被盗。 一时间,关于路由器存在安全问题的话题甚嚣尘上,人人都在扭头寻找那台躲在房间小角落原本默默无闻的路由器。它都沦陷了,我们的家庭网络还安全吗?
钱包账户电脑,统统交出来
不要小看路由器这个网络入口,它连接着商用、家用各个网络,被攻击者盯上后,牵扯到的安全问题会涉及方方面面。
近日,本报安全专家小新接到读者奎奎爆料,奎奎称自己连日来时常出现电脑频繁弹窗、网页首页面被更改的状况。他一直认为电脑中木马了,在反复查杀后,始终无法使电脑恢复正常状态。症状如此明显,为何找不到线索?好在这样的问题,小新曾在一次与路由器厂商的沟通中有所了解,内网电脑无明显漏洞,那么网络设备就有可能被攻陷了。建议奎奎更换无线路由器并设置复杂的管理员账号后,问题消失了。
一次小小的烦恼能反映出什么问题?出现这类无法判定的安全问题,在很大程度上意味着路由器被攻破了。大多数路由器(特别是无线路由器)用户并未对管理员账号/密码进行修改,再加上所用网络加密级别低、密码简单,可通过缺省口令暴力破解等方式获取到网络密码(无线密码),进而通过管理员登录界面,再使用默认的管理员账号登录,这样攻击者就进入了你的设备管理界面。获得管理权限后,完成挂马操作,该操作未你的电脑上完成,神不知鬼不觉。
当然,这只是用你的设备挂马,为了推送广告、获取推广佣金,仅算是温柔一刀。不过,网络入口轻易被控,你有没有如刺在喉的感觉?
让我们看看更刺激的案例。今年在欧洲波兰爆发了一次针对路由器的大规模攻击事件(ZyNOS固件漏洞事件)。波兰CERT(计算机安全应急响应组)在报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞,导致这次事件发生。这次中间人攻击中,黑客在多个网上银行的页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码。最后窃取了用户银行里的钱。”
从这一事件可看出由于家用路由器一般都不支持内部/外部攻击防御,不具备反病毒、木马和黑客侵扰等功能,再加上路由器漏洞频出(特别是可远程操控的固件漏洞),让远程DNS劫持成为可能。以ZyNOS固件漏洞为例(TP-Link等设备都使用这个固件),黑客通过DNS劫持攻击了波兰的5家网银用户,将网银HTTPS页面定向到伪造的HTTP页面,页面看起来和官方网银一模一样,普通人很难察觉。
从目前出现的各种攻击事件来看,现在对路由器真正形成威胁的就是DNS劫持。DNS劫持就是劫持了DNS服务器,DNS服务器解析我们上网需要的IP地址,被劫持后原IP地址转入变成了被篡改的IP地址,其结果就是特定网址不能访问,反而变成黑客指定的网址,用户原本想去的网站被替换为钓鱼网站或广告网站。
威胁的背后是疏忽
其实,不管是无线路由器还是传统宽带路由器,它们都是借助系统对设备各元器件进行管理,从某种程度上讲它们就是一台小电脑。虽然它们使用的操作系统大部分是类Linux系统,与电脑相比漏洞少,但随着技术的发展,它们在技术上早没什么隐私可言。如今,它被研究出了几个最容易被攻破的弱点,这些弱点有些与设备本身相关,有些与用户行为相关。
首先路由器自身得找找问题所在。更新固件不够“强势”、漏洞补防响应慢、安全机制进化缓慢,这些应该是它当前最需要解决的问题。
路由器的固件更新往往不像杀毒软件或系统那样带有一定强制性,大多数用户也就懒得在乎,因此设备买回家一用就是几年,固件版本相当陈旧,黑客工具可以轻松锁定路由器的漏洞并进行攻击。
伴随这个问题出现的就是漏洞补防响应慢问题,因为用户不在乎,以及设备的稳定性普遍较好,路由器厂商在产品推出后的检测以及与安全领域的合作上就有些马虎,没有对路由器的安全问题形成系统分析体系,面对安全事件时响应速度极低,补防措施(如升级等)也就不够及时。同时,由于路由器(特别是无线路由器)在近几年处于供需两旺的阶段,厂商在拼价格、拼功能的同时极少关注安全性上的投入,使得路由器在安全策略的设计上鲜有突破。
再看看用户自身行为原因。忽略网络加密甚至不加密,不修改管理员账户,系统陈旧,DNS手工设置,这些问题也使得用户无法抵御住目前针对路由器最主流的DNS劫持。
大部分路由器都有一个初始设置,很多时候用户不修改管理端默认用户名和密码。当攻击者扫描出路由器品牌和型号后就可以利用默认信息进行登录,将路由器的DNS手工捆绑,这样就可以随意篡改用户上网的真正页面。此外,很多用户为了翻墙对DNS地址进行了手工设置,而这种“手工设置”恰恰为黑客提供了机会,利用DNS劫持漏洞迷惑内网主机。此外,国内存在很多使用Windows XP的电脑,在未安装补丁和第三方工具的情况下,这类电脑只能使用采用WEP加密的无线网络,而WEP加密比较容易破解,通过漏洞扫描、缺省口令暴力破解等方式后,攻击者就可入侵无线路由器。
专家观点:
编辑观点:品控与人防需要携手
@电脑报马渝曦:安全问题的出现始终绕不开人,即使设备安全控制能力增强了,人的行为依旧无法管控,不经意间受到的诱惑、开启某个网站、接受未知文件,都可能导致防线崩溃。所以设备厂商在追求设备智能的同时,必须顺带把人也管管,强制灌输安全意识。
为何不让设备再“智能”一点。设备厂商应尽量和安全工具厂商合作推出整合固件,同时应让传统路由器进一步发展,让路由器对通过其的数据进行更“智能”的扫描,可像电脑安全工具或企业级UTM产品一样防范入侵,必要时引入自动更新智能安全策略等功能。
为何不让安全服务成为强制享受。现在很多用户追求的是简单易用,懒人成堆,很少在乎设备包装盒上的安全提醒,更不会有人用心考虑过设备的安全性。强制行为反而能有效督促用户完成安全设置。设备厂商可通过强制性的提醒或设置,让用户意识到安全问题的存在。例如,设备初次使用前必须强制完成安全设置,以及借助设备定期向网络移动端用户推送安全提醒。
钱包账户电脑,统统交出来
不要小看路由器这个网络入口,它连接着商用、家用各个网络,被攻击者盯上后,牵扯到的安全问题会涉及方方面面。
近日,本报安全专家小新接到读者奎奎爆料,奎奎称自己连日来时常出现电脑频繁弹窗、网页首页面被更改的状况。他一直认为电脑中木马了,在反复查杀后,始终无法使电脑恢复正常状态。症状如此明显,为何找不到线索?好在这样的问题,小新曾在一次与路由器厂商的沟通中有所了解,内网电脑无明显漏洞,那么网络设备就有可能被攻陷了。建议奎奎更换无线路由器并设置复杂的管理员账号后,问题消失了。
一次小小的烦恼能反映出什么问题?出现这类无法判定的安全问题,在很大程度上意味着路由器被攻破了。大多数路由器(特别是无线路由器)用户并未对管理员账号/密码进行修改,再加上所用网络加密级别低、密码简单,可通过缺省口令暴力破解等方式获取到网络密码(无线密码),进而通过管理员登录界面,再使用默认的管理员账号登录,这样攻击者就进入了你的设备管理界面。获得管理权限后,完成挂马操作,该操作未你的电脑上完成,神不知鬼不觉。
当然,这只是用你的设备挂马,为了推送广告、获取推广佣金,仅算是温柔一刀。不过,网络入口轻易被控,你有没有如刺在喉的感觉?
让我们看看更刺激的案例。今年在欧洲波兰爆发了一次针对路由器的大规模攻击事件(ZyNOS固件漏洞事件)。波兰CERT(计算机安全应急响应组)在报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞,导致这次事件发生。这次中间人攻击中,黑客在多个网上银行的页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码。最后窃取了用户银行里的钱。”
从这一事件可看出由于家用路由器一般都不支持内部/外部攻击防御,不具备反病毒、木马和黑客侵扰等功能,再加上路由器漏洞频出(特别是可远程操控的固件漏洞),让远程DNS劫持成为可能。以ZyNOS固件漏洞为例(TP-Link等设备都使用这个固件),黑客通过DNS劫持攻击了波兰的5家网银用户,将网银HTTPS页面定向到伪造的HTTP页面,页面看起来和官方网银一模一样,普通人很难察觉。
从目前出现的各种攻击事件来看,现在对路由器真正形成威胁的就是DNS劫持。DNS劫持就是劫持了DNS服务器,DNS服务器解析我们上网需要的IP地址,被劫持后原IP地址转入变成了被篡改的IP地址,其结果就是特定网址不能访问,反而变成黑客指定的网址,用户原本想去的网站被替换为钓鱼网站或广告网站。
威胁的背后是疏忽
其实,不管是无线路由器还是传统宽带路由器,它们都是借助系统对设备各元器件进行管理,从某种程度上讲它们就是一台小电脑。虽然它们使用的操作系统大部分是类Linux系统,与电脑相比漏洞少,但随着技术的发展,它们在技术上早没什么隐私可言。如今,它被研究出了几个最容易被攻破的弱点,这些弱点有些与设备本身相关,有些与用户行为相关。
首先路由器自身得找找问题所在。更新固件不够“强势”、漏洞补防响应慢、安全机制进化缓慢,这些应该是它当前最需要解决的问题。
路由器的固件更新往往不像杀毒软件或系统那样带有一定强制性,大多数用户也就懒得在乎,因此设备买回家一用就是几年,固件版本相当陈旧,黑客工具可以轻松锁定路由器的漏洞并进行攻击。
伴随这个问题出现的就是漏洞补防响应慢问题,因为用户不在乎,以及设备的稳定性普遍较好,路由器厂商在产品推出后的检测以及与安全领域的合作上就有些马虎,没有对路由器的安全问题形成系统分析体系,面对安全事件时响应速度极低,补防措施(如升级等)也就不够及时。同时,由于路由器(特别是无线路由器)在近几年处于供需两旺的阶段,厂商在拼价格、拼功能的同时极少关注安全性上的投入,使得路由器在安全策略的设计上鲜有突破。
再看看用户自身行为原因。忽略网络加密甚至不加密,不修改管理员账户,系统陈旧,DNS手工设置,这些问题也使得用户无法抵御住目前针对路由器最主流的DNS劫持。
大部分路由器都有一个初始设置,很多时候用户不修改管理端默认用户名和密码。当攻击者扫描出路由器品牌和型号后就可以利用默认信息进行登录,将路由器的DNS手工捆绑,这样就可以随意篡改用户上网的真正页面。此外,很多用户为了翻墙对DNS地址进行了手工设置,而这种“手工设置”恰恰为黑客提供了机会,利用DNS劫持漏洞迷惑内网主机。此外,国内存在很多使用Windows XP的电脑,在未安装补丁和第三方工具的情况下,这类电脑只能使用采用WEP加密的无线网络,而WEP加密比较容易破解,通过漏洞扫描、缺省口令暴力破解等方式后,攻击者就可入侵无线路由器。
专家观点:
编辑观点:品控与人防需要携手
@电脑报马渝曦:安全问题的出现始终绕不开人,即使设备安全控制能力增强了,人的行为依旧无法管控,不经意间受到的诱惑、开启某个网站、接受未知文件,都可能导致防线崩溃。所以设备厂商在追求设备智能的同时,必须顺带把人也管管,强制灌输安全意识。
为何不让设备再“智能”一点。设备厂商应尽量和安全工具厂商合作推出整合固件,同时应让传统路由器进一步发展,让路由器对通过其的数据进行更“智能”的扫描,可像电脑安全工具或企业级UTM产品一样防范入侵,必要时引入自动更新智能安全策略等功能。
为何不让安全服务成为强制享受。现在很多用户追求的是简单易用,懒人成堆,很少在乎设备包装盒上的安全提醒,更不会有人用心考虑过设备的安全性。强制行为反而能有效督促用户完成安全设置。设备厂商可通过强制性的提醒或设置,让用户意识到安全问题的存在。例如,设备初次使用前必须强制完成安全设置,以及借助设备定期向网络移动端用户推送安全提醒。
本文出自2014-03-10出版的《电脑报》2014年第09期 E.硬件DIY
(网站编辑:pcw2013)
| 更多关于 路由器被黑 的文章 |
读者活动
48小时点击排行
编辑推荐
论坛热帖
网站地图 | 版权声明 | 业务合作 | 友情链接 | 关于我们 | 招聘信息
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sin*.c*m 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcwi.com
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sin*.c*m 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcwi.com
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号