Berta Sándor

Végzetes támadás érheti a routereket

Új támadási módszerekről számoltak be a szakemberek az EUSecWest nevű biztonságtechnikai konferencián. A PDOS ellen nagyon nehéz védekezni, célja kizárólag a károkozás.

A szakértők be is mutatták a legújabb megoldásokat. Ezek közül a kiemelkedett és egyben a legveszélyesebb a Permanent Denial of Service (PDOS), amelyről Richard Smith, a HP Systems Security Lab kutatója számolt be. A PDOS lényege, hogy az akciót elkövetők célzottan a hálózati eszközöket, ezen belül is a routerek firmwarejeit támadják a frissítési szolgáltatások kihasználásával és amennyiben sikerrel járnak, teljesen megbénítják az adott rendszert. A módszer egyszerű, de rendkívül hatásos, ugyanis az okozott kár nagy, az eszközök hosszabb időn át működésképtelenné válnak és a hiba kijavítása nagyon sok időt vesz igénybe, ráadásul sok pénzbe is kerül.

A PDOS további előnye a támadók szempontjából, hogy a kivitelezéséhez - a Distributed Denial of Service (DDOS) akciókkal szemben - nincs szükség zombi-PC-k megszerzésére és bevonására, lévén a sikeres támadáshoz elég egyetlen számítógép is. Smith szerint a bűnözők munkáját megkönnyíti, hogy a felhasználók és a cégek gyakran egyáltalán nem vagy csak ritkán frissítik a hálózati eszközeik firmwarejét, ez pedig óriási kockázatot jelent.

Korábban már voltak a hardvert támadó módszerek, elég csak a Csernobil-vírusra gondolni, amelyik megpróbálta felülírni a PC-k BIOS-át. "De voltak a mobil készülékeket, például az okostelefonokat és a konzolokat megbénító kártevők is. A Trojan.PSPBrick például a Sony PSP fontos rendszeradatait írta át, ami azt okozta, hogy egy újraindítás után gyakorlatilag az egész rendszer használhatatlan volt. A helyreállításhoz ezekben az esetekben mindig különleges szoftverekre van szükség" - emlékeztetett Candit Wüest, a Symantec munkatársa.

"A PDOS-nak csupán egy célja van: a pusztítás. Itt nincs szó anyagi haszonszerzésről" - emelte ki Richard Smith. A szakértő szerint egy céget már néhány router megtámadásával meg lehet bénítani, ráadásul az akciók ellen az informatikusok és a rendszergazdák többségének nem lenne lehetősége védekezni. Az egyetlen jó hír, hogy az ilyen támadásokhoz nagy szakértelem kell, hiszen ismerni kell nem csak magát a hardvert, de annak firmware-változatait is, ezért egy átlagos kiberbűnöző nem lenne képes egy ilyen akció sikeres végrehajtására.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • gkalcso #15
    :)

    Nem, de azt megmutatja, hogy a routereket nem igazán lehet elrejteni.
  • homeless #14
    A legtöbb routert el lehet érni távolról, mert a netet routolja a belső háló felé. Csak azokat nem lehet, amik belső hálók között routolnak. Régen volt olyan program ami leszedte egy távoli router config fileját, utána meg vissza is lehetett tölteni az újat:) Ez természetesen nem működött minden cisco routeren, csak ha bizonyos feltételek teljesültek.
  • Sanyix #13
    És ezzel gondolod hogy átkonfigolod? :)
  • gkalcso #12
    > Szerintem jobb helyen az ilyen hálózati eszközöket nem lehet távolról elérni és nem véletlenül, a nem jobb helyek meg igy jártak.

    tracert <távoli gép>
  • waterman #11
    hát pedig ja - ki kell kapcsolni minden lehetőséget, ami például a tftp-s automatikus frissítéseket lehetővé teszi(akár belső hálóról). nem az icipici soho routerekre kell gondolni.
    még a belső hálóról elérhetőséget is érdemes lekapcsolni és/vagy tiltani, ha már be van állítva az eszköz, akkor az aktuális configot lementeni és ha van valami akkor azt konzol-portról, helyben állítgatni.
  • Robi000001 #10
    Ha a routerbe a betörő fel tud tölteni kódot, akkor nem kell olyan nagyon sokat várni, amíg megjelenjenek a zombirouter hálózatok...
  • nagylzs #9
    > Szerintem jobb helyen az ilyen hálózati eszközöket nem lehet távolról elérni
    > és nem véletlenül, a nem jobb helyek meg igy jártak.

    Persze de nemerről van szó, hanem hogy a nem (vagy régen) frissített firmware tartalmaz olyan hibát amivel be lehet törni a router szoftverébe.

    A másik lehetőség hogy sok router automatikusan frissít firmware-t a gyártó lapjáról, és ezt kihasználva feltölthetnek rá akár olyan firmware-t is ami használhatatlanná teszi.
  • assdf #8
    Szerintem jobb helyen az ilyen hálózati eszközöket nem lehet távolról elérni és nem véletlenül, a nem jobb helyek meg igy jártak.
    Legalábbis elég nehezen hiszem el hogy egy cisco routert csak úgy hipphopp megupgradelnek távolról.
    Az otthoni 10 ezer forintos routerekről meg inkább ne is beszéljünk, a multkor lementem a parkba a laptopommal és legalább 3 jelszónélküli wlan-t talált, de olyan szinten hogy még a default ip cimen be is jött a router beállítófelülete és a gyári default jelszóval be is tudtam rá lépni...
    hihetetlen mekkora hacker vagyok :DDD
  • atlagember #7
    Szerintem a távoli, wan portról történő update-re gondolt.
  • maerlyn #6
    Nem láttam még ilyet. Légy oly kedves és mondj egy típust, kíváncsi lettem :)