Ο "Chuck Norris" στο router σας (botnet attack)

[ipo]

Όποιος δεν έχει αλλάξει τον προεπιλεγμένο κωδικό στο router του και έχει ενεργοποιημένη την απομακρυσμένη πρόσβαση, μπορεί να έχει μία ανεπιθύμητη επίσκεψη από το botnet “Chuck Norris”.

Τσέχοι ερευνητές του τμήματος Επιστήμης Υπολογιστών του πανεπιστημίου Masaryk ανακάλυψαν το botnet που εξαπλώνεται βασιζόμενο στα ελλιπώς προστατευμένα router και DSL modem. Το botnet απέκτησε το παρατσούκλι “Chuck Norris” εξαιτίας ενός σχολίου στις γραμμές του κώδικά του που ανέφερε “στο όνομα του Chuck Norris” στα Ιταλικά. Ο Chuck Norris είναι γνωστός ηθοποιός σε ταινίες δράσης, με σκηνές μάχης.

Οι ειδικοί στα ζητήματα ασφαλείας ισχυρίζονται ότι σήμερα πολλοί τύποι botnet έχουν μολύνει εκατομμύρια υπολογιστές παγκοσμίως, αλλά ο “Chuck Norris” διαφέρει από τα συνηθισμένα, ως προς το γεγονός ότι μολύνει DSL modem και router, αντί για υπολογιστές. Εγκαθιστά τον εαυτό του σε router και modem μαντεύοντας το προεπιλεγμένο password διαχειριστή και εκμεταλλεύεται το γεγονός ότι πολλές συσκευές είναι ρυθμισμένες να επιτρέπουν την απομακρυσμένη πρόσβαση. Επίσης αξιοποιεί ένα γνωστό ευάλωτο σημείο των συσκευών D-Link, όπως δήλωσε ο Jan Vykopal που ηγείται του τμήματος ασφάλειας δικτύων του πανεπιστημίου Masaryk.

Εκπρόσωπος της D-Link δήλωσε ότι δεν είχε υπόψη του το botnet και η εταιρεία δεν είχε να πει κάτι επί του θέματος.

Όπως και το Psyb0t, ένα παλαιότερο botnet που μολύνει router, ο “Chuck Norris”, μπορεί να μολύνει μία συσκευή βασισμένη στο MIPS που έχει λειτουργικό σύστημα Linux, αν ο κωδικός του διαχειριστή δεν είναι αρκετά δύσκολος. Ο συνδυασμό MIPS/Linux είναι ευρέως υλοποιημένος σε DSL modem και router, αλλά το botnet επιτίθεται επίσης σε δέκτες δορυφορικής τηλεόρασης.

Ο Vykopal δεν ξέρει πόσο μεγάλη έκταση έχει πάρει η διάδοση του botnet “Chuck Norris”, αλλά ισχυρίζεται ότι έχει στοιχεία ότι το botnet έχει εισβάλει σε συσκευές που “εκτείνονται σε όλο τον κόσμο: από την Βόρειο Αμερική μέχρι την Ευρώπη και την Ασία. Το botnet στοχεύει σε πολλά δίκτυα ISP και τηλεπικοινωνιακών παρόχων”, όπως είπε.

Αυτή τη στιγμή οι συσκευές που έχει μολύνει ο “Chuck Norris” μπορούν να χρησιμοποιηθούν για συνδυασμένες επιθέσεις τύπου DOS (denial of service) έναντι άλλων συστημάτων στο διαδίκτυο. Το botnet μπορεί να εκτελέσει κώδικα σπασίματος κωδικού μέσω λημμάτων λεξικών έναντι άλλου υπολογιστή, ενώ μπορεί επίσης να αλλάξει τις παραμέτρους DNS (Domain Name System) σε ένα router. Με την τελευταία δυνατότητα, τα θύματα που συνδέονται με το μολυσμένο router, ενώ προσπαθούν να συνδεθούν με δημοφιλείς σελίδες (facebook, google), ανακατευθύνονται σε ιστοσελίδες στις οποίες εκτελείται κώδικας που προσπαθεί να εγκαταστήσει ιό στους υπολογιστές.

Άπαξ και εγκατασταθεί στη μνήμη του router, το botnet κλείνει τις θύρες απομακρυσμένης επικοινωνίας και ξεκινά να σαρώνει το δίκτυο για άλλες ευάλωτες συσκευές. Δύναται να ελεγχθεί μέσω IRC. Με δεδομένο ότι ο “Chuck Norris” βρίσκεται στη RAM της συσκευής, μπορεί να απομακρυνθεί με επανεκκίνηση της συσκευής.

Οι χρήστες που δεν επιθυμούν να μολυνθεί η συσκευή τους, μπορούν να μετριάσουν τον κίνδυνο, χρησιμοποιώντας ασφαλή κωδικό στο router ή το modem. Επίσης μπορούν να αποφύγουν τον κίνδυνο με το να ενημερώνουν το υλικολογισμικό της συσκευής τους και να απενεργοποιήσουν την δυνατότητα απομακρυσμένης πρόσβασης.

Ο Vykopal είπε ότι τα τελευταία χρόνια, οι hacker έχουν αρχίσει να εστιάζουν σε συσκευές όπως τα router, που συχνά δεν είναι επαρκώς ασφαλισμένα. “Δεν ενημερώνονται τακτικά με τις αναβαθμίσεις ασφαλείας, παρόλο που οι ενημερώσεις είναι διαθέσιμες.” Οι συσκευές “είναι διαρκώς συνδεδεμένες στο διαδίκτυο και έχουν uptime ημερών ή και μηνών”.

Αναμένει ότι στο μέλλον ακόμα περισσότερα malware θα στοχεύουν τέτοιες συσκευές. Παρ' όλη τη σπανιότητά τους, τα botnet που βασίζονται στα router, δεν είναι δύσκολο να δημιουργηθούν, μιας και τα κενά ασφαλείας στα router εμφανίζονται κάθε τόσο, σύμφωνα με τον Dancho Danchev, ανεξάρτητο αναλυτή διαδικτυακών απειλών.





Πηγή: Computerworld

[ipo]

Αξίζει να σημειωθεί ότι η αλλαγή των DNS, δίνει πάρα πολλές δυνατότητες στο hacker και είναι ιδιαίτερα επικίνδυνη. Ακόμα κι αν δε βρει κενό ασφαλείας στον υπολογιστή, ώστε να αποκτήσει τον έλεγχό του, μπορεί να αποσπάσει κωδικούς ασφαλείας του χρήστη από ιστοσελίδες και άλλες διαδικτυακές υπηρεσίες, ανακατευθύνοντας τη δρομολόγηση διαφόρων πρωτοκόλλων.

[TermInuS]

Αξίζει επίσης να σημειωθεί ότι τίποτα δεν σε φυλάει από τον Chuck Norris. Οπότε μη κάνετε το κόπο να αλλάξετε τον κωδικό.

[gtl]

Αξίζει επίσης να σημειωθεί ότι τίποτα δεν σε φυλάει από τον Chuck Norris. Οπότε μη κάνετε το κόπο να αλλάξετε τον κωδικό.

O Κθούλου με φυλάσσει από τον Chuck Norris και δεν φοβά

[MNP-10]

O Κθούλου με φυλάσσει από τον Chuck Norris και δεν φοβά

Την υπολοιπη προταση την εκοψε ο chuck norris με μια καρατιά

[cmaniac]

Επίσης μπορούν να αποφύγουν τον κίνδυνο με το να ενημερώνουν το υλικολογισμικό της συσκευής τους και να απενεργοποιήσουν την δυνατότητα απομακρυσμένης πρόσβασης.

Ηρθε η ωρα να μας μιλησει η "μαμα" Thomson.... Μηπως ειναι ωρα να αφησει τον οικιακο χρηστη να μπορει να κατεβασει τις νεες εκδοσεις μεσω της ιδιας κι οχι ψαχνοντας παντου για να βρει αυτο που αναζητα? Γιατι σα να παραγινε το κακο με τα χατηρια των ISP...

Την υπολοιπη προταση την εκοψε ο chuck norris με μια καρατιά

Μπα... Την εκοψε το φιλτρο που εχει εγκαταστησει κρυφα στο forum

[zombie_wireless]

Άμα θελήσει κάποιος να μπέι θα μπεί στο router/modem θα μπεί τα καλύτερα μέτρα να πάρεις.


Είναι σαν το σπίτι, που έχεις βάλει 15 κλειδαριές ωστόσο ο κλέφτης καταφέρνει και μπαίνει...

[Kurozuka]

Άμα θελήσει κάποιος να μπέι θα μπεί στο router/modem θα μπεί τα καλύτερα μέτρα να πάρεις.


Είναι σαν το σπίτι, που έχεις βάλει 15 κλειδαριές ωστόσο ο κλέφτης καταφέρνει και μπαίνει...

δλδ εσυ σπιτι σου κοιμασε με ανοικτη πορτα/παραθυρα και μενεις και ισογειο?εγω τουλαχιστον κλεινω τον φεγγιτη....

[tiatrou]

Την υπολοιπη προταση την εκοψε ο chuck norris με μια καρατιά

........Auto merged post: tiatrou πρόσθεσε 1 λεπτά και 37 δευτερόλεπτα αργότερα ........

Άπαξ και εγκατασταθεί στη μνήμη του router, το botnet κλείνει τις θύρες απομακρυσμένης επικοινωνίας και ξεκινά να σαρώνει το δίκτυο για άλλες ευάλωτες συσκευές. Δύναται να ελεγχθεί μέσω IRC. Με δεδομένο ότι ο “Chuck Norris” βρίσκεται στη RAM της συσκευής, μπορεί να απομακρυνθεί με επανεκκίνηση της συσκευής.

Δηλαδή αν κατάλαβα καλά, μόνο ένα παγκόσμιο blackout μας σώζει.

[gma46]

ΤΟΝ Chuck Norris TON ΗΞΕΡΑ ΣΑΝ ΗΘΟΠΟΙΟ ΤΩΡΑ ΤΟΝ ΓΝΩΡΙΖΩ & ΣΑΝ ΙΟ ΤΙ ΝΑ ΠΩ . ΔΕΝ ΜΠΟΡΟΥΜΕ Ν ΠΡΟΣΤΑΤΕΥΘΟΥΜΕ ΑΠΟ ΠΟΥΘΕΝΑ ΤΕΛΙΚΑ .

[esertas]

Καλά κάνω και κλείνω το modem όταν τελειώσω την εργασία μου, όποια και αν είναι αυτή.

[ddjpp]

Να βάλουμε Bruce Lee που τον έχει νικήσει σε ταινία.......

[maik]

Σταματηστε για 5 λεπτα το κατεβασμα και καντε ενα cold restart στο router σας.
Η κινηση να επαναλαμβανεται τρεις φορες την μερα μετα το φαγητο.

[gtklocker]

Ναιιι, θα με φάει ο Τσακ Νόρρις.

Έχω κωδικό στο ρούτερ μου που περιέχει 1!;q{}$#%^&*()$%^$%^#$@###@@#$%^&*(, τα πάντα όλα.

[darist]

Αξίζει να σημειωθεί ότι η αλλαγή των DNS, δίνει πάρα πολλές δυνατότητες στο hacker και είναι ιδιαίτερα επικίνδυνη. Ακόμα κι αν δε βρει κενό ασφαλείας στον υπολογιστή, ώστε να αποκτήσει τον έλεγχό του, μπορεί να αποσπάσει κωδικούς ασφαλείας του χρήστη από ιστοσελίδες και άλλες διαδικτυακές υπηρεσίες, ανακατευθύνοντας τη δρομολόγηση διαφόρων πρωτοκόλλων.

Αν κατάλαβα καλά ο fake DNS server δίνει IP address κάπου στη Ρωσία ή στο Καζακστάν, όπου φιλτράρουν τα δεδομένα για κάνα password ή αριθμό πιστωτικής κτλ. και μετά τα ανακατευθύνουν στην σωστή διεύθυνση. Να υποθέσω οτί αυτό φαίνεται από ένα απλό tracert, σωστά?