Home routers malware and linux

Οι οικιακοί δρομολογητές (home routers) είναι μικροί υπολογιστές που τρέχουν τον πυρήνα Linux και λογισμικό διαχείρισης της ευρυζωνικής σύνδεσης.

Γενικά, αυτό το λογισμικό διαχείρισης εμφανίζει προβλήματα ασφάλειας (security) σε μερικούς κατασκευαστές, με αποτέλεσμα να μπορεί να προσβληθεί ο δρομολογητής από κακόβουλους χρήστες.

Το πιο τυπικό πρόβλημα είναι να επιτρέπεται η πρόσβαση στη σελίδα διαχείρισης από τρίτους μέσω του Διαδικτύου.

Ναι, όσο παράξενο και να ακούγεται, υπάρχουν περιπτώσεις να μπορεί να συνδεθεί κανείς στο δρομολογητή σας από το διαδίκτυο.

Όταν συνδεθεί κάποιος στο δρομολογητή σου, χρειάζεται τυπικά να δώσει κάποιο όνομα χρήστη και κωδικό. Εδώ, αρκετοί κατασκευαστές αφήνουν κάτι εύκολο, όπως admin/admin.

Πρόσφατα ανακαλύφθηκε από τεχνικούς της ESET κακόβουλο λογισμικό που εκμεταλλεύεται τις παραπάνω αδυναμίες ώστε να συνδεθεί σε δρομολογητές και με κάποιο τρόπο να εγκαταστήσει κακόβουλο λογισμικό στον ίδιο το δρομολογητή.

Ας πούμε ακόμα μια φορά ότι το πρόβλημα είναι στο λογισμικό διαχείρισης του δρομολογητή (και όχι στο πυρήνα Linux).

Αυτό που είναι σημαντικό σε κάθε χρήστη, είναι να ελέγξει αν ο οικιακός δρομολογητής είναι προσβάσιμος από έξω, δηλαδή από το διαδίκτυο. Ένας τρόπος για να το ελέγξουμε, είναι να:

1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port.

Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας.

Έχει ως προεπιλογή τη θύρα 80 port (80), που είναι η τυπική θύρα για τη διαχείριση.
Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I could not see your service on x.x.x.x on port (80) Reason: Connection timed out».

Διαφορετικά, πρέπει να ψάξουμε περισσότερο.

2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 23.

Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (23) Reason: Connection timed out»

3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το 10073.

Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το 10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε σύνδεση, τότε και εδώ δεν θα βγάλει κάτι.

Διάβασα το PDF που υπάρχει στη σελίδα
http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

Το όλο άρθρο δεν έχει πολλές πρακτικές πληροφορίες για διαπίστωση και ασχολείται με την ανάλυση του σκουλικιού.
Το πιο σχετικό που γράφει, είναι «If the credentials can be used via Telnet to login, if Telnet is enabled by default and if a shell access can be obtained by typing sh in the device’s prompt, then these are very good indicators that a device could be infected by Linux/Moose.»

Είναι πολλά τα Αν που αναφέρει, οπότε με τους παραπάνω ελέγχους μπορείτε να έχετε μια εικόνα. Είναι ακόμα νωρίς για να έχουμε μια ξεκάθαρη εικόνα για αυτή την αδυναμία ασφάλειας, μια αδυναμία στο λογισμικό διαχείρισης δρομολογητών (και άλλων τέτοιων συσκευών).

Αν χρήστες με Windows σού δίνουν στικάκια για να τα ελέγξεις, τότε μπορείς να εγκαταστήσεις κάποιο από τα antivirus. Είναι πιο ασφαλές να ελέγξεις από Ubuntu παρά από Windows.

Σίμος Ξενιτέλλης (Simeon (simos) Xenitellis)
Simeon (simos) Xenitellis (B.Sc. (Athens), M.Sc. (London)) obtained his B.Sc in Informatics in 1998 from the Technological Educational Institute of Athens and his M.Sc. in Information Security from the University of London in 1999
http://www.isg.rhul.ac.uk/~simos/
http://simos.info/blog/