Sigurnosna tvrdnja: Većina kućnih usmjerivača ranjivih na hakiranje

Inženjer iz sigurnosne tvrtke Seismic tvrdi da će uskoro objaviti upute o tome kako hakirati milijune bežičnih usmjerivača koji se najčešće koriste u kućnim internetskim vezama. Upute za hackiranje su dio onoga što je postalo godišnje guranje grudi od strane govornika na konferenciji za sigurnost Black Hat koja hvali svoje ključne riječi s obećanjima o sigurnosti krajnjeg računala kao što znamo.

Black Hat USA 2010 započinje 28. srpnja u Las Vegasu, Nevada.

Ars Technica izvještava da je prezentacija "Kako zaraditi milijune usmjerivača" (ne ukradene bilo koje riječi tamo, jesu li?), bit će dana u Black Hatu od strane viši sigurnosni inženjer za seizmičku Craig Heffner. Heffnerova prezentacija uključivat će demonstraciju uživo o tome kako "pop udaljena korijenska ljuska na usmjerivačima Verizon FIOS", kao i alat koji će automatizirati opisani napad.

Seizmić je do sada testirala oko 30 usmjerivača i utvrdila da otprilike polovica njih su ranjivi na ovaj napad. Popis ranjivih usmjerivača uključuje usmjerivače tvrtke Linksys, Belkin, ActionTec, ASUS, Thompson i Dell.

Napad koristi staru tehniku ​​- "DNS rebinding" - u novoj ambalaži. DNS rebinding "pretvara zaštitnike ugrađene u web preglednike koji imaju za cilj ograničiti skripte i HTML" i omogućuje napadačima da iskorištavaju preglednike napadača i postavljaju zahtjeve za njih. Hack se izvodi kada korisnik pristupi web stranici pod kontrolom hakera. Web stranica koristi kôd (Java) kako bi prevario preglednik u misleći da stranica ima isto podrijetlo kao i na korisničkom računalu. Hacker tada može kontrolirati usmjerivač i pristupiti računalima na korisničkoj mreži.

Prema Black Hatovom web mjestu, ovaj napad DNS rebinding može zaobići postojeće protumjere zaštite DNS jer ne zahtijeva da napadač zna konfiguracijske postavke usmjerivača (make, model, unutarnja IP adresa, ime računala) i ne oslanja se na bilo kakve tehnike protu DNS-a.

Trenutno, prema Heffneru, najbolji način borbe protiv ovog potencijalnog napada je - iznenađenje, iznenađenje - promijenite zadanu lozinku vašeg usmjerivača. No, sve dok proizvođači usmjerivača ne pojačaju i ažuriraju firmver, to je sve što možete učiniti (ili dobiti novi usmjerivač). Heffner vjeruje da su tvrtke imale dosta vremena za popravljanje ove rupe (i nisu imale), pa ih je jedini način da ih ubacimo u akciju kako bismo prezentirali kako zaraditi milijun usmjerivača.