W Polsce trwają masowe ataki na routery WiFi. Potencjalnych ofiar jest ponad milion. Sprawdź czy jesteś bezpieczny
Wczoraj Orange zdecydował się zablokować wielu swoim klientom dostęp do Sieci. Okazało się jednak, że nie jest to awaria, a bardzo mądra decyzja działu bezpieczeństwa firmy spowodowana przez liczne ataki na routery. Bliżej nieznany sprawca wykorzystał poważną dziurę w oprogramowaniu routerów i podmienił adresy DNS przekierowujące na fałszywe strony banków.
O tym, że jest to bardzo niebezpieczne, mogło przekonać się wiele osób. Znany jest przykład ofiary, która przez tę dziurę straciła 16 000 zł. O skali tego problemu może świadczyć fakt, że potencjalnych ofiar jest ponad milion. Początkowo byliśmy przekonani, że problem ten dotyczy tylko użytkowników Internetu od Orange, ale tak naprawdę oni obecnie są najmniej narażeni na ataki.
Dzieje się tak, ponieważ Orange zdecydowało się zablokować dostęp do Sieci dla wielu klientów. Zrobiło to w sposób przemyślany i sprytny – po prostu nie dopuszcza do sieci urządzeń korzystających z niebezpiecznych adresów DNS:
- 5.45.75.36
- 5.45.75.11
- 95.211.241.94
- 95.211.205.5
Co prawda wskutek tego kolejki chętnych do rozmowy z konsultantami Neostrady były ogromne i sięgały nawet 150 osób, ale chyba możemy się zgodzić z tym, że działanie takie było uzasadnione. W końcu bezpieczeństwo klientów jest o wiele ważniejsze niż ich dobre samopoczucie. Orange wydało też specjalne narzędzie do sprawdzenia, czy nasze DNSy są bezpieczne. Korzystać z niego mogą wszyscy, nie tylko abonenci Orange.
Warto tu nadmienić, że blokada Orange chroni tylko klientów tej firmy.
Na chwilę obecną nic nam nie wiadomo, aby inni operatorzy także zdecydowali się na zablokowanie dostępu do adresów IP fałszywych DNS-ów ze swojej sieci. Dlatego wszyscy powinniśmy sprawdzić, jakich DNS-ów używamy my, nasza rodzina i znajomi, którzy w większości są nieświadomi zagrożenia, zwłaszcza, że ataki na routery trwają zaledwie od wczoraj.
By sprawdzić, z jakich DNS-ów korzystamy, należy wejść do Menu Start, wpisać „uruchom”, w wyświetlonym okienku wpisać „cmd.exe”, a w wyświetlonym terminalu wpisać „ipconfig /all”. W przypadku korzystania z Linuksa lub Mac OS X, konieczne jest posłużenie się poleceniem cat /etc/resolv.conf. W obu przypadkach powinniśmy tu zobaczyć adres naszego routera.
Oprócz tego warto zalogować się na naszym routerze i dokładniej sprawdzić adresy DNS.
Dzieje się tak, ponieważ powyższa metoda sprawdzania nie zawsze jest skuteczna, gdyż atakujący mogą podstawić fałszywa DNS-y na routerze i to zarówno w konfiguracji DHCP (wówczas wykryjecie je powyższą metodą), jak też w konfiguracji połączenia WAN (wówczas adres routera pojawi się jako DNS, ale router będzie przekierowywał ruch do serwerów przestępców).
W tym celu należy zalogować się na router. Odpowiednie hasła są dołączane do umowy, w przeciwnym razie trzeba spróbować loginu i hasła „admin” lub spróbować użyć uniwersalnego hasła biyshs9eq, a następnie przejść do ekranu konfiguracji WAN i ekranu konfiguracji DHCP na LAN, skasować złośliwe DNSy (wymienione wyżej) i zastąpić je bezpiecznymi, na przykład 8.8.8.8 i 8.8.4.4. Przydatne może też być wyłączenie zarządzania routerem od strony Internetu, ale w tym celu należy posłużyć się instrukcją obsługi modemu.
Jeśli byliście zagrożeni i korzystaliście wczoraj z Internetu, sprawdźcie stan Waszych kont bankowych. Nikomu tego nie życzymy, ale możliwe jest, że przestępcom udało się wyczyścić wiele rachunków. W tym miejscu chcieliśmy też pochwalić Orange za podjęcie trudnej, ale bardzo dobrej decyzji oraz wspomnieć, że powyższe informacje pochodzą z bloga Niebezpiecznik, gdzie sprawa ta została opisana po raz pierwszy.
Zdjęcie Network server network cable plug pochodzi z serwisu Shutterstock.