O mercado de roteadores domésticos é muito parecido com o mercado de smartphones Android. Os fabricantes estão produzindo um grande número de dispositivos diferentes e não se preocupam em atualizá-los, deixando-os abertos a ataques.
Como seu roteador pode se juntar ao lado negro
Os invasores geralmente tentam alterar a configuração do servidor DNS em seu roteador, apontando-o para um servidor DNS mal-intencionado. Quando você tenta se conectar a um website, por exemplo, o website do seu banco, o servidor DNS mal-intencionado solicita que você acesse um site de phishing. Pode ainda dizer bankofamerica.com na sua barra de endereço, mas você estará em um site de phishing. O servidor DNS mal-intencionado não responde necessariamente a todas as consultas. Ele pode simplesmente atingir o tempo limite da maioria das solicitações e, em seguida, redirecionar as consultas para o servidor DNS padrão do seu provedor. Solicitações de DNS incomumente lentas são um sinal de que você pode ter uma infecção.
Pessoas de olhos aguçados podem perceber que esse site de phishing não tem criptografia HTTPS, mas muitas pessoas não notam. Os ataques de remoção de SSL podem até mesmo remover a criptografia em trânsito.
Os invasores também podem apenas inserir anúncios, redirecionar os resultados da pesquisa ou tentar instalar downloads de passagem. Eles podem capturar solicitações para o Google Analytics ou outros scripts em quase todos os sites e redirecioná-los para um servidor que fornece um script que, ao contrário, injeta anúncios. Se você vê anúncios pornográficos em um site legítimo, como o How-To Geek ou o New York Times, é quase certo que você está infectado com algo - seja no seu roteador ou no próprio computador.
Muitos ataques fazem uso de ataques de falsificação de solicitações entre sites (CSRF). Um invasor incorpora JavaScript mal-intencionado em uma página da Web e esse JavaScript tenta carregar a página de administração baseada na Web do roteador e alterar as configurações. Como o JavaScript está sendo executado em um dispositivo dentro de sua rede local, o código pode acessar a interface da web que está disponível apenas dentro da sua rede.
Alguns roteadores podem ter suas interfaces de administração remota ativadas junto com nomes de usuário e senhas padrão - os bots podem procurar esses roteadores na Internet e obter acesso. Outras explorações podem tirar proveito de outros problemas do roteador. O UPnP parece estar vulnerável em muitos roteadores, por exemplo.
Como verificar
O único sinal revelador de que um roteador foi comprometido é que seu servidor DNS foi alterado. Convém visitar a interface baseada na Web do seu roteador e verificar a configuração do servidor DNS.
Primeiro, você precisa acessar a página de configuração baseada na web do seu roteador. Verifique o endereço de gateway da sua conexão de rede ou consulte a documentação do seu roteador para descobrir como.
Faça login com o nome de usuário e a senha do seu roteador, se necessário. Procure uma configuração de "DNS" em algum lugar, geralmente na tela de configurações da conexão WAN ou Internet. Se estiver definido como "Automático", tudo bem. Você está recebendo do seu ISP. Se estiver definido como "Manual" e houver servidores DNS personalizados inseridos, isso pode muito bem ser um problema.
Não há problema se você configurou seu roteador para usar bons servidores DNS alternativos, por exemplo, 8.8.8.8 e 8.8.4.4 para o DNS do Google ou 208.67.222.222 e 208.67.220.220 para o OpenDNS. Mas, se houver servidores DNS que você não reconhece, é um malware de sinal que mudou seu roteador para usar servidores DNS. Em caso de dúvida, realize uma pesquisa na Web para os endereços dos servidores DNS e veja se eles são legítimos ou não. Algo como “0.0.0.0” é bom e muitas vezes significa apenas que o campo está vazio e o roteador está recebendo automaticamente um servidor DNS.
Os especialistas recomendam verificar essa configuração ocasionalmente para verificar se o roteador foi comprometido ou não.
Ajuda, há um servidor DNS mal-intencionado!
Se houver um servidor DNS mal-intencionado configurado aqui, você poderá desativá-lo e informar ao seu roteador para usar o servidor DNS automático do seu provedor ou insira os endereços dos servidores DNS legítimos, como o DNS do Google ou o OpenDNS aqui.
Se houver um servidor DNS mal-intencionado inserido, convém limpar todas as configurações do seu roteador e redefini-las de fábrica antes de configurá-lo novamente - apenas para garantir a segurança. Em seguida, use os truques abaixo para ajudar a proteger o roteador contra novos ataques.
Endurecendo seu roteador contra ataques
Você pode certamente endurecer seu roteador contra esses ataques - um pouco. Se o roteador tiver falhas de segurança que o fabricante não corrigiu, não será possível protegê-lo completamente.
- Instalar atualizações de firmware: Assegure-se de que o firmware mais recente para o seu roteador esteja instalado. Ative as atualizações automáticas de firmware se o roteador oferecer isso. Infelizmente, a maioria dos roteadores não oferece. Isso garante pelo menos que você esteja protegido contra quaisquer falhas corrigidas.
- Desativar o acesso remoto: Desativar o acesso remoto às páginas de administração baseadas na web do roteador.
- Mude a senha: Altere a senha para a interface de administração baseada na web do roteador para que os invasores não consigam entrar com o padrão.
- Desligue o UPnP: UPnP tem sido particularmente vulnerável. Mesmo que o UPnP não esteja vulnerável no seu roteador, um malware em execução em algum lugar dentro da sua rede local pode usar o UPnP para alterar seu servidor DNS.É assim que o UPnP funciona - confia em todos os pedidos vindos da sua rede local.
O DNSSEC deve fornecer segurança adicional, mas não é uma panacéia aqui. No mundo real, todo sistema operacional cliente confia apenas no servidor DNS configurado. O servidor DNS mal-intencionado poderia reivindicar que um registro DNS não possui informações DNSSEC ou que possui informações DNSSEC e o endereço IP transmitido é o real.
