Váš router beží možno roky bez aktualizácie a s pôvodným heslom. Zistite, aké útoky to umožňuje a prečo je router najzanedbávanejší článok vašej siete.
Keď si nainštalujete antivírus, aktualizujete telefón, používate dvojfaktorové overenie — cítite sa bezpečne. Ale v rohu vašej obývačky alebo kancelárie bliká zariadenie, na ktoré ste sa naposledy pozreli pri inštalácii od technika operátora. Router beží bez reštartu možno tri roky. Firmvér má z roku 2022. Heslo? To pôvodné, päťznakové, napísané na nálepke na spodku zariadenia. Útočník to môže vedieť skôr, než si to uvedomíte vy, najmä ak je zariadenie vystavené na internet alebo má slabé zabezpečenie.
1. Router — brána, ktorú nikto nestráži
Router je zariadenie, cez ktoré prechádza každý jeden paket dát vo vašej domácej alebo firemnej sieti. Každý email, každá platba, každé prihlásenie, každý videohovor. Router sprostredkúva prenos týchto dát a zabezpečuje ich smerovanie medzi zariadeniami a internetom.
Napriek tomu väčšina používateľov venuje routeru nulovú pozornosť. Nainštaluje sa raz, zabudne sa naň a beží roky v pozadí. Žiadne aktualizácie, žiadna zmena hesla, žiadna kontrola nastavení.
A práve to z neho robí jeden z najatraktívnejších cieľov pre útočníkov.
Na internete existujú špecializované vyhľadávače, ktoré neprehľadávajú webové stránky — ale priamo zariadenia pripojené na internet. Routery, kamery, tlačiarne, smart televízory. Tieto nástroje dokážu identifikovať model zariadenia, verziu firmvéru a otvorené porty a útočník ich môže filtrovať podľa krajiny, výrobcu alebo konkrétnej zraniteľnosti. Slovensko nie je výnimkou.
2. Predvolené heslá — prvá a najväčšia chyba
Každý výrobca routerov dodáva zariadenie s predvoleným prihlasovacím menom a heslom do administrátorského rozhrania. Tieto údaje sú verejne dostupné — na weboch výrobcov, v manuáloch, v databázach predvolených hesiel, ktoré si môže ktokoľvek stiahnuť.
Typické príklady:
- admin / admin
- admin / password
- user / user
- admin / 1234
Ak operátor nainštaloval router a nezmenil tieto údaje — a väčšina z nich to nerobí — administrátorské rozhranie vášho routera je prístupné komukoľvek, kto sa dostane do siete alebo kto nájde router priamo cez internet, ak je administrátorské rozhranie vystavené navonok. Útočník nepotrebuje sofistikovaný exploit. Stačí mu zoznam predvolených hesiel a trpezlivosť.
3. Zastaraný firmvér — tichá zraniteľnosť
Firmvér je operačný systém routera. Rovnako ako Windows alebo iOS, aj firmvér obsahuje chyby a výrobcovia ich priebežne opravujú vydávaním aktualizácií. Problém je, že na rozdiel od telefónu vám router sám neoznámi, že je dostupná nová verzia.
Bezpečnostné zraniteľnosti v routeroch sú evidované v medzinárodných databázach ako CVE (Common Vulnerabilities and Exposures). Každá zraniteľnosť dostane identifikátor, popis a skóre závažnosti. Útočníci tieto databázy sledujú rovnako pozorne ako bezpečnostní výskumníci a keď sa objaví nová zraniteľnosť, automatizované nástroje začnú skenovať internet v priebehu hodín.
4. Čo útočník s routerom urobí
Keď útočník získa prístup k routeru, nezaujíma ho router samotný. Zaujíma ho to, čo cez router prechádza a čo je za ním.
4.1 DNS hijacking
DNS (Domain Name System) je systém, ktorý prekladá doménové mená na IP adresy. Keď napíšete adresu svojej banky, DNS vám povie, na akú IP adresu sa pripojiť.
Router obsahuje nastavenie DNS serverov. Útočník, ktorý má prístup k routeru, môže tieto servery zmeniť na vlastné. Výsledok: keď napíšete adresu svojej banky, DNS vás presmeruje na falošnú stránku - vizuálne totožnú s originálom. URL v prehliadači vyzerá správne no prehliadač môže zobraziť varovanie o certifikáte, ak útočník nepoužíva dôveryhodný certifikát. Napriek tomu mnohí používatelia takéto varovania ignorujú alebo si ich nevšimnú.
Toto sa nazýva DNS hijacking a prebieha úplne transparentne z pohľadu bežného používateľa.
4.2 Man-in-the-Middle (MitM)
Útočník s kontrolou nad routerom sa môže vložiť medzi vaše zariadenie a internet a odpočúvať alebo modifikovať komunikáciu v reálnom čase. Technika sa nazýva Man-in-the-Middle.
Pri nešifrovanej komunikácii (HTTP) vidí útočník obsah kompletne. Pri šifrovanej HTTPS je situácia náročnejšia — moderné prehliadače a mechanizmy ako HSTS (HTTP Strict Transport Security) poskytujú dodatočnú ochranu. Napriek tomu staršie alebo menej zabezpečené stránky môžu byť stále zraniteľné voči technikám, ktoré sa pokúšajú túto ochranu obísť.
4.3 Botnet — váš router ako vojak cudzej armády
Útočník nepotrebuje váš router na to, aby ukradol vaše dáta. Môže ho jednoducho zneužiť ako súčasť botnetu — siete tisícok alebo miliónov kompromitovaných zariadení, ktoré útočník ovláda centrálne.
Tieto zariadenia potom vykonávajú príkazy útočníka — napríklad DDoS útoky, rozosielanie spamu, alebo ťažbu kryptomien. Všetko na váš účet, s vašou elektrinou, cez vašu IP adresu.
Princíp botnetu je technicky jednoduchý — kompromitované zariadenia dostávajú príkazy z centrálneho servera (C2) a vykonávajú ich koordinovane. Útočník tak môže ovládať tisíce zariadení súčasne, pričom každé z nich vyzerá ako bežný používateľ na internete.
4.4 Lateral movement — z routera do celej siete
Router je brána. Ale za ňou je celá sieť — počítač, telefón, smart televízor, IP kamera, tlačiareň. Útočník, ktorý kompromitoval router, môže pokračovať hlbšie do siete v procese nazývanom lateral movement.
V domácom prostredí to môže znamenať prístup k súborom na sieťovom disku. Vo firemnom prostredí — prístup k interným systémom, databázam, alebo ďalším zariadeniam v sieti.
5. Otvorené porty — dvere, o ktorých neviete
Každý router spravuje tzv. porty — číselné identifikátory, cez ktoré prebieha konkrétny typ komunikácie. Port 80 je HTTP, port 443 je HTTPS, port 22 je SSH a podobne.
V niektorých prípadoch, najmä pri nesprávnej konfigurácii alebo špecifických nastaveniach, môžu byť na routeri otvorené porty umožňujúce vzdialenú správu. Ide o funkciu určenú najmä pre technikov operátora alebo pokročilých používateľov ak je však aktívna a nedostatočne zabezpečená, predstavuje potenciálnu vstupnú bránu pre útočníka.
Kombinácia otvoreného portu pre vzdialenú správu a predvoleného hesla admin/admin je ekvivalentom odomknutých vchodových dverí s kľúčom v zámke.
6. Firemný pohľad — keď router nie je váš problém, ale váš zamestnanec
Bezpečnosť routera nie je len otázka domácnosti. Pre firmy predstavuje nezabezpečený router zamestnanca pracujúceho z domu jeden z najťažšie kontrolovateľných bezpečnostných rizík.
Zamestnanec sa pripojí na firemný VPN z domu. Pracuje s internými systémami, emailom, dokumentmi. No ak je jeho domáci router kompromitovaný, útočník môže vidieť, že komunikácia prebieha, no pri správne nastavenej VPN je jej obsah šifrovaný a nie je priamo čitateľný.
6.1 Firemné siete a segmentácia
Firmy, ktoré nezabezpečujú sieťovú segmentáciu, sú obzvlášť zraniteľné. Ak útočník prenikne do siete cez kompromitovaný router či už firemný alebo domáci zamestnanca a vnútorná sieť nie je rozdelená do izolovaných segmentov, môže sa voľne pohybovať medzi servermi, databázami aj koncovými zariadeniami.
Princíp zero trust — teda nepredpokladať dôveryhodnosť žiadneho zariadenia ani používateľa len na základe jeho umiestnenia v sieti je práve odpoveďou na tento typ hrozby. Každý prístup musí byť overený, každé zariadenie autentifikované.
6.2 Audit sieťovej infraštruktúry ako prvý krok
Väčšina firiem nevie, koľko zariadení je pripojených na ich sieť. Tlačiarne, staré servery, IoT senzory, kamery — každé z nich je potenciálny vstupný bod. Pravidelný audit sieťovej infraštruktúry nie je luxus, ale základný predpoklad bezpečnosti.
Súčasťou auditu by malo byť: inventarizácia všetkých zariadení v sieti, kontrola verzií firmvéru, overenie predvolených prihlasovacích údajov, analýza otvorených portov a pravidiel firewallu.
Záver
Router nie je čierna skrinka. Je to aktívne sieťové zariadenie, ktoré spracováva každú komunikáciu vo vašej sieti a ako každý softvér, obsahuje chyby, ktoré sa časom objavujú a zneužívajú.
Tri roky starý firmvér, predvolené heslo a otvorené porty nie sú technický detail. Sú to vstupné body, cez ktoré útočník nepotrebuje nič iné ako trpezlivosť a správny nástroj.
Zariadenie v rohu obývačky alebo kancelárie rozhoduje o bezpečnosti celej vašej siete. Stojí za to vedieť, čo v ňom beží.
