Nie czekaj na hakera - sam przetestuj, jak bezpieczna jest twoja sieć

Data: 11.02.2020 13:54

Autor: ziemianin

tiny.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #siecikomputerowe #wifi #cyberbezpieczenstwo #poradnik #komputerswiat

Każdy z nas ma w domu sieć bezprzewodową. Jednak czy jesteśmy pewni, że jest ona bezpieczna? Czy urządzenia, które są do niej podłączone, są odpowiednio zabezpieczone? Na te pytania pomogą nam odpowiedzieć testy penetracyjne.

Nie czekaj na hakera – sam przetestuj, jak bezpieczna jest twoja sieć

poniżej całość, jakby komuś nie pasował portal KomputerŚwiat


Artykuł powstał w ramach akcji Onetu z okazji "Dnia Bezpiecznego Internetu", który jest inicjatywą Komisji Europejskiej i ma na celu zwrócenie uwagi na problemy bezpiecznego dostępu do zasobów internetowych. Korzystając z sieci jesteśmy narażeni na kradzież pieniędzy, danych, na naruszenie wizerunku czy dobrego imienia. W ramach kampanii podpowiadamy, jak uchronić się przed atakami hakerów, zabezpieczyć swoją pocztę elektroniczną, ale przede wszystkim siebie i dzieci przed zagrożeniami, które czyhają w Internecie.

Testy penetracyjne to inaczej sprawdzenie podatności na atak – sieci, urządzeń, aplikacji, właściwie wszystkich elementów infrastruktury sieciowej i sprzętów, które są do niej podłączone, a nawet osób, które z niej korzystają. Głównym celem wykonywania takich testów wcale nie jest włamanie się zdalnie na inną maszynę, ale wyszukanie luk bezpieczeństwa, które mogłyby to umożliwić potencjalnemu atakującemu. Wykryte luki można załatać, tych nieznanych – nie. Jest to bardzo obszerny dział, który obejmuje nawet interakcje międzyludzkie.Testy penetracyjne mogą imitować ataki, jakie mogą wystąpić w naszej sieci domowej.

Możemy podzielić je na dwie główne kategorie – pasywne i aktywne. Te pierwsze polegają na zebraniu informacji, śledzeniu, podsłuchiwaniu, analizie ruchu sieciowego. Prowadzą one do właściwego ataku aktywnego, którego celem jest modyfikacja danych użytkownika, przejęcie kontroli nad jego urządzeniem lub zakłócenie jego pracy.

Uwaga! Przeprowadzając analizę bezpieczeństwa lub wykonując testy penetracyjne w jakiejkolwiek sieci, musimy mieć na to pozwolenie administratora tej sieci. Możemy więc swobodnie testować własną sieć, której jesteśmy właścicielami.

Testy w naszej sieci: krok po kroku

W większości przypadków przeprowadzając testy, musimy myśleć jak osoba, która chciałaby uzyskać dostęp do naszych danych, czyli jak potencjalny atakujący. Warto przeanalizować poszczególne kroki, które są do tego niezbędne, i sprawdzać naszą ochronę na każdym z etapów.

  1. Włamanie się do sieci Wi-Fi z wykorzystaniem narzędzia aircrack-ng.

  2. Skanowanie sieci w poszukiwaniu celów ataku i sprawdzanie, jakie porty są otwarte – narzędzie Nmap.

  3. Jeśli system jest niezabezpieczony lub ma luki w zabezpieczeniach, możliwe, że bez większego trudu uda się uzyskać dostęp, stosując narzędzie Metasploit; jeżeli nie jest to możliwe, atakujący szuka innego punktu zaczepienia.

  4. Podsłuchiwanie sieci, analizowanie całego ruchu w celu wychwycenia haseł dostępu, adresów e-mail i innych wrażliwych danych – narzędzie Wireshark.

  5. Atak drogą mailową za pomocą Metasploit lub innych podobnych narzędzi.

  6. Instalacja backdoora na urządzeniu ofiary w celu utrzymania kontroli nad jego urządzeniem.

Jest to tylko przykładowy przebieg ataku – lub testu penetracyjnego. Jak widać, zaczyna się on od włamania do sieci Wi-Fi.

A zatem jej dobre zabezpieczenie to podstawa. Bez włamania do naszej sieci możliwości skutecznego ataku są dość małe – musielibyśmy sami otworzyć zainfekowany załącznik w e-mailu lub kliknąć na niebezpieczny link w internecie. Zobaczmy więc, jak włamać się do własnej sieci, by poznać jej słabe punkty.

Ataki pasywne

W tej kategorii możemy wyróżnić kilka przykładów ataków:

Social Engineering – jest to sposób na pozyskanie wrażliwych danych przy wykorzystaniu ludzkiej lekkomyślności i braku wiedzy. W tym celu wysyła się fałszywe e-maile, przegląda wyrzuconą dokumentację, podgląda użytkownika przy logowaniu itp.

Skanowanie sieci – ta metoda pozwala na poznanie topologii atakowanej sieci, dzięki temu możemy dowiedzieć się, jakie urządzenia korzystają z danej sieci, jakie porty są otwarte itp.

Sniffing – ten atak pasywny polega na monitorowaniu i rejestrowaniu całego ruchu sieciowego lub jego części w atakowanej sieci. Odpowiednio wykonany może umożliwić odkrycie haseł, loginów, a nawet prywatnych rozmów użytkowników.

Łamanie hasła – dzięki tej metodzie atakujący może, korzystając z metody siłowej (brute-force), złamać zabezpieczenie, wystarczy odpowiednio dużo czasu i mocy obliczeniowej. Łamanie hasła w sposób niezauważalny dla użytkownika jest uważane za atak pasywny. 

Ataki aktywne

Tego typu ataków jest znacznie więcej niż pasywnych. Oto najważniejsze:

Spoofing – ten typ ataku polega na podszywaniu się pod inny autoryzowany w danej sieci komputer. Celem jest oszukanie systemów zabezpieczających. Umożliwia to bezproblemowe uzyskanie dostępu na przykład do sieci, w której aktywne jest filtrowanie MAC.

Hijacking – czyli przechwytywanie sesji, polega na przechwyceniu sesji w protokole TCP. Dzieje się to po tym, jak atakujący zrywa połączenie między serwerem i klientem, aby móc zastąpić klienta i bez konieczności logowania kontynuować komunikację.

Koń trojański – popularnie nazywany trojanem. Jest to program, który może podszywać się lub wchodzić w skład dowolnej aplikacji i po zainstalowaniu przez użytkownika wykonuje w tle różne operacje, które zaprogramował atakujący, na przykład zapisuje hasła lub inne dane.

Ataki typu DoS – jest to typ ataków, które mają na celu uniemożliwienie dostępu do różnych usług zwykłym użytkownikom. Polegają one głównie na spamowaniu połączeń, które mają za zadanie wyczerpać zasoby serwera lub dowolnego urządzenia sieciowego, czego skutkiem będzie przerwa w pracy. 

Kali Linux

W przeprowadzeniu testów w naszej sieci pomoże nam system do zadań specjalnych – Kali Linux. Jest to dystrybucja Linuxa, która ma już wbudowane praktycznie wszystkie aplikacje i pakiety potrzebne do sprawdzenia stanu ochrony sieci bezprzewodowej i nie tylko. Do naszej dyspozycji będziemy mieli blisko 350 różnego rodzaju narzędzi, które zostały podzielone na 14 kategorii. Obraz ISO systemu w wersji Live znajduje się na płycie DVD dołączonej do Komputer Świata Special.

Tworzymy bootowalny pendrive

W celu przetestowania systemu Kali Linux musimy go uruchomić w wirtualnej maszynie lub utworzyć specjalny nośnik, z którego uruchomimy wersję Live. Pomoże nam w tym program Rufus, który znajduje się na płycie DVD.

Uruchamiamy go na naszym komputerze. Podpinamy nośnik USB. Upewniamy się, że u góry okna Rufusa został wybrany odpowiedni nośnik USB. Następnie wskazujemy obraz ISO , który ma być umieszczony na noś­niku. Obraz znajduje się na płycie w folderze Kali Linux, wybieramy go, a następnie klikamy na Start. Uwaga! Pamiętajmy, że ten proces całkowicie usunie dane z pendrive’a. Należy też pamiętać, że jest to wgrywanie wersji Live na nośnik, a nie instalacja systemu. Instalację możemy uruchomić z bootowalnego nośnika z Kali Linux.

Uruchamiamy bootowalny pendrive

Na nośniku powinniśmy mieć już system Kali Linux w wersji Live, dzięki temu możemy uruchomić system, zapoznać się z jego wyglądem i funkcjami, zanim go zainstalujemy na stałe. Po włożeniu nośnika do portu USB musimy zrestartować komputer i przy jego starcie wcisnąć F8 lub F12 – uruchomi się Boot Menu, dzięki czemu będziemy mogli wybrać nośnik USB do startu komputera. Następnie za pomocą strzałek wskazujemy opcję Live i zatwierdzamy wybór klawiszem Enter w celu uruchomienia systemu do testów. Gdybyśmy chcieli zainstalować Kali Linuxa, wybieramy opcję Graphical install.

Jeśli nasza płyta główna nie wspiera Boot Menu, będziemy musieli uruchomić ustawienia BIOS-u – najczęściej przy starcie komputera za pomocą klawisza F1, F2, F10, Delete lub Esc, a następnie ustawić priorytet startu z płyty CD/DVD.

Uwaga! Dokładny poradnik, jak zainstalować Linuxa, znajdziemy w KŚ+. Nie instalujmy systemu Linux na tym samym dysku co system Windows – w trakcie instalacji wszystkie dane z wybranego nośnika zostaną usunięte.

Z jakiej wersji korzystać

Jeśli zamierzamy tylko przetestować system Kali Linux i sprawdzić działanie różnych narzędzi systemu, korzystajmy z wersji Live. Należy jednak pamiętać, że żadne działania wykonywane w takiej wersji systemu nie są zapisywane na stałe i po ponownym uruchomieniu wszystkie ustawienia, aktualizacje, zapisane dane zostaną usunięte. Jeżeli zamierzamy dłużej korzystać z systemu, wskazana jest instalacja, ponieważ na przykład część narzędzi może wymagać aktualizacji do poprawnego działania.

Pierwsze kroki w Kali Linux

  1. Jeśli zdecydowaliśmy się na instalację systemu, w jej trakcie możemy od razu ustalić język systemu oraz login i hasło użytkownika. W przypadku korzystania z wersji Live domyślny login to root,

a hasło to toor.

Podajemy je na ekranie logowania i zatwierdzamy, wciskając klawisz Enter lub klikając na Next i Unlock.

  1. Następnie, aby zmienić język na polski, klikamy w górnym prawym rogu ekranu na strzałkę na pasku zadań, a następnie na symbol Narzędzi.

  2. Teraz po lewej stronie klikamy na Region & Language, a po prawej na Language,

z listy wybieramy język polski i klikamy na Restart w celu zresetowania sesji użytkownika.

Po ponownym zalogowaniu będziemy mogli testować system Kali Linux w języku polskim.

  1. Domyślnie nie możemy umieszczać skrótów do programów na pulpicie, a jedynie foldery – warto o tym pamiętać. Po lewej stronie znajduje się pasek szybkiego dostępu, na którym znajdują się programy z kategorii Ulubione.

Po kliknięciu prawym przyciskiem myszy na ikonę wybranej aplikacji możemy ją usunąć z tej kategorii. Dodawanie ulubionych wygląda bardzo podobnie. Wystarczy prawym przyciskiem myszy kliknąć na ikonę aplikacji i wybrać opcję Dodaj do ulubionych.

  1. Na samym dole paska szybkiego dostępu znajduje się przycisk, który pozwala na wyświetlenie programów zainstalowanych w systemie.

Nie znajdziemy tu jednak wszystkich narzędzi, ponieważ niektóre z nich dostępne są tylko po wpisaniu odpowiedniej komendy w terminalu.

  1. Górny pasek podzielony został na kilka elementów. Możemy traktować go jak pasek zadań w systemie Windows. Po kliknięciu na Programy otworzy się menu z wszystkimi aplikacjami podzielonymi na odpowiednie kategorie.

Po kliknięciu na Miejsca będziemy mogli szybko dostać się do najważniejszych folderów w systemie i dysku.

  1. Po prawej stronie paska znajduje się ikona kamery.

Jest to skrót do programu EasyScreenCast, który pozwala na nagrywanie ekranu pulpitu z możliwością nagrywania wielu ekranów oraz dodatkowo jest możliwość jednoczesnego nagrywania materiału z kamery internetowej.

  1. Klikając w górnym prawym rogu ekranu na strzałkę, otworzymy specjalne menu, dzięki któremu będziemy mogli szybko zapoznać się z informacjami o sieci czy poziomie głośności, a dodatkowo zablokować lub wyłączyć system. Klikając na ikonę narzędzi, otworzymy Ustawienia systemowe.

Pierwsze kroki po instalacji

Po zainstalowaniu systemu pierwsze, co powinniśmy zrobić, to pełna aktualizacja systemu i wszystkich jego pakietów.

  1. Uruchamiamy Terminal.

  2. Wpisujemy komendę sudo apt-get update i zatwierdzamy klawiszem Enter.

  3. Następnie ponownie podajemy komendę sudo apt-get upgrade i zatwierdzamy.

  4. Pojawi się informacja o tym, jakie pakiety zostaną zaktualizowane i ile danych musimy pobrać z internetu. Wystarczy nacisnąć klawisz T, zatwierdzić całą operację klawiszem i poczekać na jej zakończenie.

  5. W trakcie instalacji aktualizacji proces może się zatrzymywać, a my będziemy musieli na przykład potwierdzić licencję lub zgodzić się na instalację, wystarczy wybrać TAK i wcisnąć Enter lub nacisnąć Q. Proces aktualizacji najlepiej powtarzać przynajmniej raz na tydzień.

Armitage: szukamy urządzeń podatnych na ataki

  1. Uruchamiamy terminal, wpisujemy polecenie service postgresql start i zatwierdzamy klawiszem Enter.

  2. Klikamy w górnym lewym rogu na Programy, Exploitations Tools, Armitage.

  3. Następnie łączymy się z lokalną bazą danych, która zostanie automatycznie utworzona – dane powinny wczytać się automatycznie. Klikamy na Connect.

  4. W kolejnym oknie klikamy na Yes, aby uruchomić specjalny serwer RPC usługi metasploit.

Musimy poczekać na zainicjalizowanie bazy i nawiązanie połączenia – może to potrwać nawet około 5 minut.

  1. Po pomyślnym nawiązaniu połączenie pojawi się główne okno programu Armitage, który ułatwia odnajdywanie słabych punktów na urządzeniach w sieci.

  2. Zaczynamy od sprawdzenia topologii sieci, czyli wyszukania urządzeń podłączonych do sieci. Na górnym pasku klikamy na Hosts, Nmap Scan, Quick Scan (OS detect).

Podajemy adres naszej sieci z końcówką /24, aby przeskanować całą sieć. (Aby znaleźć adres, uruchamiamy terminal, wpisujemy i zatwierdzamy komendę ifconfig; szukamy interfejsu sieciowego, którym się łączymy (wlan0 dla połączeń bezprzewodowych) i przy polu inet znajdziemy nasz adres IP;

adres sieci to nasz adres IP z maską /24). Klikamy na OK.

  1. Po zakończeniu skanowania w panelu w prawym górnym rogu pojawią się maszyny, które zostały wykryte, a zamiast pulpitów będą wyświetlone ich logotypy systemów. Dzięki temu łatwo rozpoznamy urządzenia pracujące z Linuxami i Windows.

  2. Na górnym pasku klikamy na Attacks, Find Attacks.

Dzięki temu przy każdej maszynie pojawi się możliwość wybrania ataku.

  1. Znajomość słabości i umiejętność ich wykorzystania wymaga specjalistycznej wiedzy. W wypadku większości osób wystarczy wykonanie testu Hail Mary.

Polega on na uruchomieniu ataku na wszystkie wyszukane urządzenia przy wykorzystaniu wszystkich dostępnych możliwych form ataku. Jeśli w wyniku tego ataku uzyskamy dostęp do jednej z maszyn, jej ikona zmieni kolor na czerwony. W naszym przypadku maszyny testowe były zaktualizowane i nie można było się w ten prosty sposób do nich włamać (co nie znaczy, że jest to niemożliwe).

Łamanie zabezpieczeń Wi-Fi

Do tego celu służy specjalny pakiet aircrack-ng, który składa się z kilku narzędzi mających jasny i określony cel, analiza sieci bezprzewodowych i łamanie ich zabezpieczeń. W internecie znajduje się lista adapterów i kart sieciowych, które są zatwierdzone przez twórców tego programu. Nie będziemy mogli z niego korzystać na typowej karcie w laptopie, ponieważ takie karty nie zapewniają obsługi tak zwanego trybu monitora, który jest niezbędny do wykonania ataku.

A oto w skrócie cała procedura łamania zabezpieczeń w przypadku enkrypcji WPA2:

  1. Uruchamiamy terminal i wpisujemy komendę airmon-ng start wlan0.

Uruchomi to tryb monitora wlan0mon na karcie Wi-Fi i pozwoli na skanowanie w poszukiwaniu sieci.

  1. Następnie wpisujemy airodump-ng wlan0mon – rozpocznie się skanowanie sieci w naszym otoczeniu.

  2. Dzięki temu będziemy mogli dowiedzieć się między innymi, jak zabezpieczone są poszczególne sieci. My oczywiście włamujemy się do naszej sieci, do której znamy hasło.

  3. Wpisujemy komendę airodump-ng --bssid XX:XX:XX:XX:XX -c Y --write Plik1 wlan0mon.

Zamiast X podajemy adres MAC z kolumny BSSID, a zamiast Y numer kanału z kolumny CH, które będą widoczne na ekranie przy punkcie 2.

  1. Teraz musimy przechwycić zakodowane hasło dostępu do sieci. Uda się to wtedy, gdy jakiś użytkownik połączy się z tą siecią lub my wymusimy rozłączenie użytkownika, który za chwilę automatycznie się połączy – będziemy mogli wtedy przechwycić zakodowane hasło.

  2. W nowym oknie terminalu wpisujemy komendę aireplay-ng --deauth 100 -a XX:XX:XX:XX:XX:XX wlan0mon, ponownie w miejsce X podajemy adres MAC routera.

  3. W głównym oknie z punktu 4 w prawym górnym rogu powinien pojawić się napis WPA handshake oraz adres MAC punktu dostępowego.

Możemy zamknąć wszystkie terminale, ponieważ hasło jest już zapisane w pliku Plik1 na naszym komputerze.

  1. Teraz powinniśmy użyć słownika. Słownikiem może być każdy plik TXT (zawierający możliwe hasła: jeden wiersz, jedno hasło). Słowniki możemy tworzyć sami lub wyszu­kać je w internecie. W nowym terminalu wpisujemy komendę aircrack-ng Plik1-01.cap -w [lokalizacja słownika] i zatwierdzamy.

Łamanie hasła taką metodą może być bardzo czasochłonne i nieefektywne, gdyż do ataku wykorzystywany jest słownik. Jeśli hasła nie ma w słowniku, nie zostanie znalezione.

  1. W przypadku specjalnie ustalonego hasła 0123456789 czas łamania był bardzo krótki, ponieważ jest to proste hasło. Zwykły komputer sprawdza około 500 haseł na sekundę.

Cały proces jest znacznie trudniejszy i bardziej skomplikowany, możemy jednak wyciąg­nąć z tego naukę – im dłuższe i bardziej złożone hasło, tym trudniejsze do złamania. Zaleca się stosowanie hasła przynajmniej 16-znakowego, składającego się z małych i dużych liter, cyfr oraz znaków specjalnych. Nasze hasło będzie wtedy praktycznie nie do złamania, dzięki czemu będziemy bezpieczni.

Skanowanie wewnątrz sieci

Korzystając ze skanera Nmap oraz nakładki graficznej Zenmap, możemy szybko przeanalizować naszą sieć i sprawdzić, co jest widoczne dla atakujących oraz czy musimy martwić się otwartymi portami.

  1. Klikamy na Programy, 01-Information Gathering, zenmap.

  2. Uruchomi się program z interfejsem graficznym, który ułatwi nam korzystanie ze skanera Nmap.

  3. W polu Cel wpisujemy adres początkowy naszej sieci, na przykład 192.168.1.1/24. Opcja /24 pozwala na przeskanowanie wszystkich adresów tej podsieci.

  4. W polu Profil wybieramy opcję Ping scan, aby sprawdzić, jakie urządzenia są aktywne w sieci, lub Intense Scan – skan, który trwa bardzo długo, ale pozwala na poznanie wielu szczegółów.

  5. Skanowanie rozpocznie się po kliknięciu na Start i może zająć dłuższy czas (w zależności od opcji).

  6. Po jego zakończeniu możemy dowiedzieć się na przykład, jaki system jest używany na danym komputerze lub urządzeniu i jakie porty są otwarte. Najważniejsza informacja to otwarte porty na danym urządzeniu – warto sprawdzić, czy każdy z podanych portów jest bezpieczny i czy nie jest potencjalnym miejscem ataku, ewentualnie warto wyszukać w internecie informacje o tym, jak zamknąć konkretny port, jeśli stanowi zagrożenie.

Wireshark: sniffing – przechwytujemy hasło

Jest to sniffer, czyli program, który przechwytuje i analizuje pakiety sieciowe przepływające w sieci. Oznacza to, że dzięki niemu będziemy mogli podsłuchiwać innych użytkowników w naszej sieci, a nawet pozyskiwać ich prywatne informacje.

  1. Klikamy w górnym lewym rogu na Programy, Sniffing & Spoofing, Wireshark.

  2. W głównym oknie programu wybieramy interfejs sieciowy, który wykorzystamy do przechwytywania pakietów, w naszym przypadku będzie to bezprzewodowy interfejs wlan0. Klikamy na górnym pasku na symbol płetwy w celu rozpoczęcia nasłuchu.

  3. W tle będziemy mogli zaobserwować mnóstwo pakietów sieciowych, nas jednak interesują pakiety, które mogą zawierać hasło i login użytkownika.

  4. Na innym urządzeniu w sieci wchodzimy na stronę z logowaniem i podajemy dane logowania (musi to być strona korzystająca z protokołu HTTP), na przykład http://www.techpanda.org, i wpisujemy dane: login – testowe@konto.pl, hasło – testowehaslo. Klikamy na Submit.

  5. Wracamy do programu Wireshark i klikamy na górnym pasku na ikonę czerwonego kwadratu w celu zatrzymania nasłuchu. Potem w polu Filtrów wpisujemy http i klikamy na strzałkę.

  6. Szukamy pakietu, który w kolumnie Info będzie miał zapis POST, i na niego klikamy.

  7. Teraz w dolnym oknie rozwijamy listę HTML Form URL. Na samym dole będziemy mieć przechwycone wszystkie pola formularza, który wypełnialiśmy, w tym wypadku adres e-mail oraz hasło, które podawaliśmy.

Metoda ta działa tylko na witrynach, które nie korzystają z szyfrowania. Dlatego tak ważne jest, aby korzystać z VPN lub logować się tylko i wyłącznie na witrynach, które korzystają z szyfrowanego protokołu HTTPS.

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Data: 19.01.2020 19:42

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #router #siecikomputerowe

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.

Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Materiał w formie tekstowej: Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

Spis treści

Wprowadzenie

Serwer DHCP

Dane DNS

DNS hijacking

Atak DDOS

Dyski i drukarki

Udostępnianie plików

WPA2

Sieć lokalna

Lokalizacja WIFI

WPS

UPNP

Port forwarding

Aktualizacje

Błędy bezpieczeństwa

Lista komputerów

Wprowadzenie

Jeżeli słuchasz tego podcastu to znaczy, że posiadasz dostęp do Internetu. Jest więc spora szansa, że w zaciszu Twojego mieszkania znajduje się router, który dostarcza Internet do komputera, telefonu i tabletu. Urządzenia te zazwyczaj są schowane za meblami i przypominamy sobie o nich raz na jakiś czas, gdy potrzeba chwili nakazuje nam ich restart. Ale ich zadanie jest o wiele większe niż tylko rozdzielanie pakietów do odpowiednich miejsc. Możesz sobie z tego nie zdawać sprawy, ale router stanowi swoistą pierwszą linię obrony przed atakującymi, którzy czyhają na nasze wirtualne zasoby.

Cześć. Ja jestem Kacper Szurek i w dzisiejszym odcinku podcastu Szurkogadanie opowiem o bezpieczeństwie domowych routerów. Co może nam grozić, jeżeli przestępca przejmie nad nimi kontrolę? Jakie opcje może wykorzystać przeciwko nam, a także jak możemy się przed tym obronić? Jeżeli materiały tego rodzaju Ci się podobają zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Serwer DHCP

Zacznę od wyjaśnienia, jak atakujący może wykorzystać nasz domowy router przeciwko nam. Domowy router nie służy tylko do rozdzielenia Internetu przychodzącego z jednego kabla naszego dostarczyciela usług na wiele komputerów. Posiada wiele innych, wbudowanych funkcji. Jedną z nich jest serwer DHCP. Ten to serwer automatycznie przydziela nam adres IP, którym będzie się posługiwał nasz komputer. Wykorzystując analogię – każdy komputer podłączony do sieci, aby mógł z niej korzystać, musi mieć swój adres IP. Tak jak każde mieszkanie musi mieć swój numer – aby listonosz wiedział, gdzie dostarczyć listy. Po włączeniu komputera, router zazwyczaj przesyła nam pakiet z adresem IP, którego powinniśmy używać.

Dane DNS

Oprócz tego, przekazuje tam również adres serwera DNS. Ludzie są bowiem słabi w zapamiętywaniu liczb – a adres IP to właśnie taki ciąg. Zamiast tego wolimy wykorzystywać nazwy, które coś dla nas znaczą. Jeżeli bowiem chciałbyś odwiedzić moją stronę, prościej jest mi powiedzieć abyś wpisał w przeglądarkę ciąg „szurek.pl”. Wtedy to Twoja przeglądarka i system operacyjny komunikują się z serwerem DNS, pytając jaki adres IP ma serwer „szurek.pl”. Serwer DNS zwraca odpowiedni wynik i dopiero wtedy można połączyć się z odpowiednim komputerem w sieci. Tak działa to normalnie. Ale jeżeli atakujący posiada dostęp do routera – może przeprowadzić atak DNS hijacking.

DNS hijacking

Wtedy nasz komputer otrzyma błędny adres serwera DNS, który jest kontrolowany przez przestępcę. Niesie to za sobą różnorakie konsekwencje. Po pierwsze – osoba po drugiej stronie będzie wiedziała, jakie adresy stron odwiedzamy. Zapytanie o każdy taki adres bowiem trafia do serwera DNS. Po drugie – jeżeli tylko będzie miała na to ochotę – będzie mogła zwrócić nam błędny adres IP serwera, o którego adres prosimy. Czyli zamiast łączyć się z serwerem naszego banku, możemy połączyć się z komputerem atakującego.

Ale atak może się odbywać na innej płaszczyźnie. Przez router przepływa bowiem cały ruch internetowy. Złośliwy aktor może dla przykładu modyfikować treść dowolnej strony, którą przeglądamy – doklejając do niej nowy kawałek kodu. Ten to może wykonywać najróżniejsze czynności. Logować wciśnięte klawisze, kopać kryptowaluty, czy też modyfikować podawane w formularzach dane. Wszystko zależy od inwencji twórcy. Jeżeli ściągamy jakiś plik z serwisu, automatycznie w locie może podmienić jego zawartość na inną, wygenerowaną przez niego. To może prowadzić do dalszej infekcji nie tylko naszego routera, ale także systemu operacyjnego na komputerze. Wszak ściągnęliśmy plik ze strony, której ufamy i nie spodziewaliśmy się, że mogła ona zawierać jakieś złośliwe elementy.

Te ataki są niwelowane przez protokół HTTPS i szyfrowanie połączenia. O ile bowiem atakujący może podmienić adres IP, to nie może stworzyć odpowiedniego certyfikatu. Więcej o tym temacie opowiadam w innym podcaście na temat protokołu HTTPS. Tylko, to zabezpieczenie działa jedynie w przypadku protokołu HTTPS. Musimy więc być tego świadomi.

Atak DDOS

Ale atak może zaszkodzić nie tylko nam. Na świecie istnieją bowiem miliony routerów. Znajdując błąd w jednym z nich – atakujący może zaatakować wszystkie z danej serii, a następnie wykorzystać do niecnych celów. Jednym z takich celów jest atak DDoS – kiedy to wiele różnych routerów wykonuje zmasowany atak na jedną stronę internetową. Cel jest jeden – doprowadzić do tymczasowej awarii strony, tak aby nie mogli z niej korzystać inni użytkownicy. Nie brzmi to jakoś złowrogo, ale zastanówmy się nad potencjalnymi konsekwencjami. Przed nami czarny piątek – jeden z lepszych okresów dla wszystkich sklepów internetowych, gdzie sprzedaż produktów trwa w najlepsze. Kilkuminutowy atak podczas takiego dnia to już realne straty dla sklepów, liczone w setkach złotych. Ale to nie wszystko.

Dyski i drukarki

Do niektórych routerów można podpiąć zewnętrzne dyski twarde oraz drukarki. Dzięki temu wszyscy domownicy mają dostęp do ważnych dla nich plików w obrębie całego mieszkania. To samo tyczy się atakującego, który może wykorzystać tak zebrane informacje do podszycia się pod nas lub do szantażu. Może również dla żartu uruchomić drukowanie 1000 stron w nocy na naszej domowej drukarce. Dalej, routery posiadają wbudowaną zaporę sieciową. Ona to działa trochę jak zawór jednostronny. My – możemy łączyć się z zewnętrznymi stronami i oglądać ich zawartość. Równocześnie zewnętrzne podmioty nie mogą bezpośrednio łączyć się z naszymi komputerami – ponieważ nie pozwoli na to firewall. Atakujący odpowiednio modyfikując konfigurację, może umożliwić dostęp do naszych komputerów.

Udostępnianie plików

Często zdarza się, że w obrębie sieci lokalnej udostępniamy niektóre pliki z naszego komputera, tak aby inni użytkownicy mieli do nich dostęp. Teraz – dostęp do nich jest również możliwy z zewnątrz. Jak widać zagrożeń jest wiele – wszystko zależy od kreatywności przestępców. Wiemy już, że router należy chronić. Ale jak to robić?

WPA2

Jeżeli korzystasz z Wi-Fi – włącz szyfrowanie WPA2 z AES. Co więcej, hasło tam używane powinno być długie i skomplikowane. Dlaczego? Ktoś, kto to będzie chciał skorzystać z Twojego Wi-Fi do niecnych celów nie musi cały tydzień siedzieć w samochodzie pod Twoim blokiem. Wystarczy, że raz pójdzie wyprowadzić psa z odpowiednim sprzętem. Ten sprzęt pobierze odpowiedni pakiet. Można go potem wykorzystać do przeprowadzania ataków siłowych w domu – bez dostępu do routera. Jeżeli więc nasze hasło ma tylko kilka znaków – szybko zostanie złamane. Atakujący będzie próbował wszystkich możliwych kombinacji. Nowoczesny sprzęt jest w stanie sprawdzić kilkaset tysięcy takich haseł na sekundę. Równie dobrze, jeżeli nie wykazaliśmy się kreatywnością – hasło może znajdować się w jednym z wcześniejszych wycieków danych. Wtedy złamanie go to tylko czysta formalność.

Sieć lokalna

Dzięki temu ktoś otrzyma dostęp do naszej sieci lokalnej. A to oznacza, że ma bezpośredni dostęp do naszych komputerów. Jeżeli ich nie aktualizujemy, bądź znajdują się tam stare wersje podatnych programów – możemy być narażeni. Co więcej, ktoś może wykorzystać nasz Internet i przeprowadzić jakąś nielegalną czynność. A wtedy to do naszych drzwi zapuka policja z prośbą o wyjaśnienia. Nazwa sieci nie powinna bezpośrednio wskazywać na naszą osobę. Sieć Kowalskiego to niekoniecznie dobry pomysł.

Lokalizacja WIFI

Zwłaszcza, że istnieją projekty, które zbierają informacje na temat dostępnych w danej lokalizacji sieci Wi-Fi. Informacje te służą niektórym usługom do geolokalizacji użytkownika, w sytuacji w której sygnał GPS nie jest dostępny. Okazuje się bowiem, że skanując listę dostępnych sieci i porównując ją z wirtualną bazą, możemy z dużą dozą prawdopodobieństwa określić, gdzie znajduje się dany użytkownik. Nazwy sieci w skali świata rzeczywiście się powtarzają. Ale już ich kombinacje – czyli fakt, że w danym miejscu użytkownik widzi sygnał sieci kowalski, test i kwiatek niekoniecznie. Pozostając w temacie haseł. Warto zmienić login i hasło do interfejsu graficznego urządzenia, tak aby przestała działać standardowa kombinacja admin/admin. Równocześnie dostęp do interfejsu graficznego powinien być dostępny tylko od strony portów LAN. Tłumacząc to nieco prościej – tylko z poziomu naszego mieszkania powinniśmy móc zalogować się do panelu admina. Można to łatwo sprawdzić, korzystając na moment z Internetu mobilnego w naszym telefonie. Jeżeli w przeglądarce podamy adres IP domowego Internetu, nie będąc równocześnie do niego podłączonymi – i otrzymamy możliwość wpisania hasła – koniecznie warto wyłączyć odpowiednią opcję.

WPS

Jeżeli nasz router posiada opcję WPS – wyłączmy ją. W teorii miała przyspieszyć parowanie komputera z nową siecią Wi-Fi. Zamiast przepisywać długie i skomplikowane hasła – wystarczył krótki pin lub wciśnięcie przycisku na obudowie urządzenia. Obecnie, standard ten uznawany jest za niebezpieczny i powinno się go wyłączyć. Możemy również zmienić adres serwera DNS na taki, który zapewni nam odpowiednią dawkę prywatności. Jednym z wyborów może być 1.1.1.1 należący do Cloudflare.

UPNP

Kolejny protokół, który należy wyłączyć to UPnP. Został on stworzony dla wszystkich urządzeń IOT, które znajdują się w naszym mieszkaniu. Mowa tu więc o wszystkich inteligentnych czajnikach, oczyszczaczach powietrza czy też odkurzaczach. One to wysyłając odpowiednie dane do routera, mogą odblokować odpowiednie porty na firewallu– tak aby mogły działać prawidłowo. Tylko, że urządzenia IOT nie słyną z dobrego bezpieczeństwa. Umożliwianie dostępu do nich z zewnątrz niekoniecznie jest najlepszym pomysłem. Zwłaszcza, jeżeli nie jesteśmy w pełni świadomi tego faktu a czynność ta dzieje się bez naszego udziału. Porty te można również odblokować samemu.

Port forwarding

Zazwyczaj opcja ta kryje się pod nazwą “port forwarding”. Jeżeli nigdy z niej nie korzystałeś – sprawdź czy nie znajdują się tam dziwne wpisy. Droższe routery pozwalają na stworzenie dodatkowej sieci Wi-Fi – tak zwanej sieci gościa. Zazwyczaj, jest ona odseparowana od normalnej sieci WIFI – to znaczy, że urządzenia z jednej sieci nie widzą tych z tej drugiej. Teoretycznie sieć taka powstała, abyśmy mogli udostępnić domowy Internet naszym gościom, którzy przyszli na kilkugodzinną imprezę na nasze mieszkanie. Ale równie dobrze, można wykorzystać tą funkcję do udzielenia dostępu do Internetu urządzeniom, którym nie za bardzo ufamy. Chociażby urządzeniom IOT.

Aktualizacje

Pamiętajmy o aktualizacjach. Niektóre routery (chociażby firmy Mikrotik) mogą same zaktualizować swój system – tak jak robi to Windows. Warto umieścić router w niedostępnym dla postronnych osób miejscu.

Dlaczego? Niektóre urządzenia posiadają na swoich obudowach porty USB, do których można wpiąć routery LTE lub też inne kompatybilne nośniki. Wtedy cały nasz ruch może trafiać do serwera kontrolowanego przez atakującego. Co więcej, routery posiadają przycisk resetu, który usuwa wszystkie hasła i przywraca urządzenie do stanu fabrycznego. Stąd też, bezpieczeństwo zależy także od braku fizycznego dostępu do urządzenia.

Wyłącz również opcję odpowiadania na pakiety ping. W przypadku niektórych routerów warto “przeklikać”” się przez dostępne w panelu opcje. Dla przykładu NetGear zbiera anonimowe statystyki, które to można wyłączyć z poziomu odpowiedniej opcji. Jeżeli widzisz nazwę, której nie rozumiesz – najprawdopodobniej jej nie potrzebujesz.

Błędy bezpieczeństwa

A takich dodatkowych usług może być wiele: SSH, telnet, SNMP. Jeżeli dopiero stoisz przed wyborem odpowiedniego dla siebie urządzenia, warto przed zakupem przeprowadzić na jego temat krótkie poszukiwania. Wystarczy w wyszukiwarce użyć nazwy modelu i dodać słowo kluczowe „exploits”, „bug”, „vulnerability”. Dowiesz się wtedy czy na urządzenie nie ma obecnie jakiejś znanej, a nienaprawionej przez producenta luki.

Urządzenia tego typu często mają dość krótki czas życia. Zdarza się zatem, że błąd istnieje – został zgłoszony, ale producent nie zamierza go naprawić. Dlatego też warto sprawdzić, czy producent wydaje regularne aktualizacje oprogramowania. Samo istnienie błędu to nie koniec świata. Błędy bezpieczeństwa zdarzają się każdemu.

Ważne jest natomiast jak szybko producent na nie reaguje i czy udostępnia odpowiednie łatki bezpieczeństwa. Większość urządzeń pozwala na zapisywanie logów ze swojego działania: w tym zdarzeń dotyczących bezpieczeństwa. Ale nie oszukujmy się, panel sterowania routerem to nie jest pierwsze miejsce, do którego trafiamy każdego poranka. Można więc rozważyć opcję wysyłania emaila – w przypadku specjalnych zdarzeń.

Lista komputerów

Sporo urządzeń pozwala na podgląd aktualnie podpiętych poprzez Wi-Fi komputerów – w tym nazw, którymi się one posługują. Jeżeli widzisz tam zbyt dużą liczbę laptopów, bądź też nie rozpoznajesz któregoś z nich – może pora na zmianę hasła? Nigdy nie wiadomo czy sąsiad nie wykorzystuje naszego połączenia.

Na koniec całej tej konfiguracji warto potwierdzić, czy rzeczywiście nic nam nie umknęło. Serwisy takie jak Shodan czy też Censys nieustannie skanują wszystkie adresy w Internecie, sprawdzając, co się na nich znajduje. Jeżeli w daną wyszukiwarkę wpiszemy nasz publiczny adres IP – powinniśmy otrzymać puste wyniki. Oznacza to bowiem, że żadna usługa nie jest dostępna z zewnątrz.

W innym wypadku – albo dane firmy są nieaktualne albo też musimy przyjrzeć się, dlaczego niektóre porty są dostępne.

Więcej informacji na ten temat można odnaleźć na stronie routersecurity.org1. Znajduje się tam kompletna lista punktów, które powinniśmy sprawdzić na naszym routerze.

I to już wszystko w tym odcinku. Podobało się? Pokaż odcinek znajomym. A ja już dzisiaj zapraszam do kolejnego odcinka. Cześć!

Koniec europejskiej puli adresów internetowych IPv4

Data: 26.11.2019 19:12

Autor: R20_New

kopalniawiedzy.pl

W Europie skończyła się pula adresów IPv4. Dzisiaj o godzinie 15:35, 25 listopada 2019 roku przyznaliśmy ostatnie adresy IPv4. Tym samym pula adresów IPv4 uległa wyczerpaniu, oświadczyła RIPE NCC, organizacja zajmująca się zarządzaniem zasobami internetowymi dla Europy, Bliskiego Wschodu i części Azji.

Wyczerpanie się puli IPv4 nie jest zaskoczeniem, przewidywano je od dawna.

RIPE NCC informuje jednocześnie, że fakt wyczerpania się puli IPv4 nie oznacza, iż adresy takie nie będą w przyszłości przyznawane. Organizacja będzie bowiem zajmowała się odzyskiwaniem zwolnionych adresów. Można je pozyskać od firm, które przestały działać czy też od sieci, które zrezygnowały z używania części przyznanych adresów. Odzyskane numery IPv4 będą przyznawane członkom RIPE NCC w kolejności ich zapisywania się na listę oczekujących. Trafią one wyłącznie do tych, którzy wcześnie n ie otrzymali żadnych adresów IPv4 do RIPE NCC. Ocenia się, że każdego roku odzyskanych zostanie kilkaset tysięcy adresów. To kropla w morzu potrzeb.

Adresy IPv4 to 32-bitowe numery wykorzystywane do identyfikowania urządzeń podłączonych do internetu. Na całym świecie jest zatem 232 (4,2 miliarda) takich adresów, jednak do sieci podłączonych jest tak wiele urządzeń, że zaczyna brakować numerów IPv4. W 2012 roku IANA (Internet Assigned Numbers Authority) przyznało RIPE NCC ostanią przysługującą tej organizacji pulę IPv4. Od tamtej pory były tylko kwestią czasu, kiedy pula się wyczerpie.

Następcą IPv4 jest IPv6. Wykorzystuje on 128-bitowe numery, zatem liczba adresów wynosi tutaj 2128 (340 undecylionów czyli 340 miliardów miliardów miliardów miliardów). Problem jednak w tym, że pomimo powtarzanych od wielu lat ostrzeń, IPv6 został wdrożony w niewielkim stopniu. Jedynie 24% ruchu internetowego korzysta z nowego systemu, a w bieżącym roku odsetek ten spadł w porównaniu z rokiem ubiegłym.

Bez powszechnego zaimplementowania IPv6 grozi nam sytuacja, w której rozwój internetu zostanie niepotrzebnie ograniczony, nie przez brak inżynierów, sprzętu czy inwestycji, ale przez brak unikatowych identyfikatorów sieciowych, ostrzega RIPE NCC.

Autor: Mariusz BłońskiŹródło: RIPE NCC

#ip #ipv4 #RIPE #informatyka #siecikomputerowe #internet

Wykorzystanie wyrażeń regularnych do analizy atrybutu AS-PATH

Data: 22.03.2019 14:09

Autor: showroute_pl

showroute.pl

Regexp, a dokładniej regular expressions, czyli wyrażenia regularne są to wzorce, które opisują ciągi znaków. Bardzo często spotykane w językach programowanie.

Data: 13.02.2019 00:04

Autor: zakowskijan72

Szukam providera VPN, który udostępni mi prawdziwą funkcjonalność VPN, czyli każde urządzenie zalogowane z tego samego konta VPN będzie dostępne tak, jakby było w LANie.

Wiem już, że NordVPN nie oferuje takiej funkcjonalności. Pomimo tego, że mają VPN w nazwie, to oferują jedynie 'anonimowe' surfowanie w sieci.

Ktoś może coś polecić?

Data: 08.02.2019 13:18

Autor: VoolT

Możecie polecić jakiś sprawdzony programik do wymiany plików pomiędzy komputerami w domu za pomocą routera wifi/kabel bez wychodzenia poza sieć domową?

Alternatywa dla openvpn i ipsec od Google.

Data: 07.02.2019 23:59

Autor: shellman

getoutline.org

Outline ułatwia organizacjom medialnym konfigurowanie firmowej wirtualnej sieci prywatnej (VPN) na własnych serwerach, by mogły bezpieczniej łączyć się z siecią i dbać o poufność przesyłanych informacji.

Korzysta z technologii Shadowsocks, którą można wykorzystać do jeszcze innych fajnych rzeczy:)

BGP Community - co to jest?

Data: 04.02.2019 14:54

Autor: showroute_pl

showroute.pl

Co to jest BGP Community? Po co operatorzy używają community? Jak mogę wykorzystać BGP community w swojej sieci? Na te i kilka innych pytań odpoweidź znajdziesz w nowym wpisie ,a ShowRoute.pl

Kompendium: Co powinieneś wiedzieć o domenie internetowej?

Data: 02.02.2019 22:31

Autor: viaxe

thecamels.org

Bez adresu strony, czyli domeny internetowej, nikt nie odwiedzi Twojej witryny www. No może poza magikami, którzy znają adres IP serwera, na jakim się ona znajduje i wiedzą jak go wykorzystać. Zresztą, czy wyobrażacie sobie zwiedzanie Internetu poprzez wpisywanie skomplikowanego ciągu liczb, aby zobaczyć swój ulubiony serwis?