Diskuse k článku

Český bezpečnostní tým varuje před virem, který ohrozí celou domácnost

Do Česka dorazil virus, který napadá routery, a může tak ohrožovat všechna zařízení, která jsou k nim ve firmách či domácnostech připojena. Útočník tak může uživatelům podstrčit třeba falešný přihlašovací formulář do internetového bankovnictví.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J24i19ř95í 86Š12m56a16c22h 8666515185408

prdlaj virus, jen chyba ve FW ZyXelOS

http://www.root.cz/clanky/analyza-zranitelnost-rom-0-postihuje-1-5-milionu-domacich-routeru/

0/0
23.5.2014 15:05

J65a97n 69K40u64č37e56r90a 5221485461671

"zdar pane presidente Scrube"

"jake je heslo?"

"12345"

"tsss stejne by si nedal idiot na svuj kufr"

"hmm zajimave mam stejne heslo na svem kufru - dejte jej zmenit"

"ano pane presidente..."

0/0
17.5.2014 6:56

J15a15n 28M24ü82l58l10e86r 3367802346181

Uživatel, který má nastaveno admin/admin asi ani neví, co ta blikající krabička s kabely dělá a říká jí internet. Nedá se po něm tedy ani chtít, aby si měnil heslo, vzdálený přístup nebo DMZ a firewall. Vzdálená konfigurace je tedy nutnost pro ISP a je v jeho zodpovědnosti klienta ochránit. Pokud se definuje přístup pro specifické adresy, we firewallu vytvoří pravidla pro portknocking, blacklistuje počet přihlašovacích pokusů za čas atd., není v podstatě možné se do routeru vzdáleně dostat. Osobně používám MikroTiky, ale pokud někdo dostane nebo se rozhodne pro lowcosty a noname značky, je to jeho riziko. I za bezpečnost se musí platit.

0/0
13.5.2014 20:18
Foto

J96a79r42o48m68í94r 89K50o31b28e63l34k24a 7354984101555

No rýmu už sem chytil.

0/0
13.5.2014 14:37

J61a75n 71P38e80k96a 5383903383

:D Celou domácnost, to zní jakoby uměl vlízt i do dřezu a pod postel :D

+2/0
13.5.2014 10:40
Foto

K18a51r31e14l 83P73l61a42c83h94ý 6176316274589

Pod postel ne. Ale pokud mas lednici pripojenou k internetu, mrkne na tvou on-line zdravotni dokumentaci a kdyz budes mit vysoky tlak, zablokuje dveře a nevyda ti bucek.

+6/0
13.5.2014 12:34

A94l45a86n 50Ř93e10p57k58a 4105416

No to bude fakt hrozný trest, někteří by pak tu ledničku rozmlátili sekyrkou ;-D

0/0
14.5.2014 10:54
Foto

K72a28r57e45l 68P97l45a20c76h65ý 6806986104239

Nebo vystoupí z klubu lidí s nadváhou http://ladislavkratochvil.blog.idnes.cz/c/163914/Microsoft-Intel-Calex-stroje-nam-budou-vladnout.html

0/0
15.5.2014 9:49

J78a60n 61K92u24č14e48r41a 5441275761911

nee to neee bucek neee!!! ;-D

0/0
17.5.2014 6:46

L55u44d90v80í59k 51G89a41j65d25o26š72í85k 2595963534612

Prý sw v routeru není chráněn antivirem? ;-D

V routerech běhá milá redakce linux, který je dostatečně chráněn jménem a heslem.  Pokud ovšem nenecháte jméno a heslo v továrním nastavení admin/admin nebo admin /123456.

Vzdálená konfigurace je u všech routerů ve výchozím nastavení vypnuta a zapne jí snad jedině magor. Pokud to tedy už udělá a nechá tovární nastavení jména a hesla, pak může mít asi problem. Ovšem za ten si může sám svou vlastní blbostí.

+1/0
13.5.2014 10:24

M76i95c45h72a70l 42P48a63v43l94á91t 9403833404679

Zapnuta je lokalni sprava, tj. z LAN. A to bohate staci. BFU heslo do spravy nezmeni, BFU nezabrani infikovani sveho PC,.. A je hotovo.

0/0
13.5.2014 12:59

J75o14s88e75f 85K84a31r57l20i81a23k 4446453292385

Kdyz se podivas na obrazek toho routeru popsanej v blogu NICu, chvili pohledas po netu, tak zjistis, ze je to pravdepodobne "TP-Link TD-W8901G". Kdyz se po netu podivas dale, tak zjistis, ze tento routrik ma mensi chybu v administraci, konkretne webovy rozhrani trpi CSRF zranitelnosti. A kdyz te to jeste dale zajima, tak se podivas zase po netu a dostanes se na navod na zneuziti tyhle slabiny. Do minuty, a to nejsem profik hacker. Pokud uzivatel za routrem chytne botnet nebo vir, havet ti zevnitr muze delat s routrem co chce, jelikoz si heslo admina dokaze nastavit a do routeru se dostat. Jina vec je samozrejme povolena administrace z WAN ...

0/0
13.5.2014 17:38

K54a51m86i81l 49S80c56h30w84a11g51e26r 3253556965106

a ještě něco pro lamy a BFUV:

https://www.google.com/search?q=scan%20open%20ports

http://www.whatsmyip.org/port-scanner/

http://mxtoolbox.com/PortScan.aspx

0/0
13.5.2014 0:21

K80a84m57i95l 81S69c30h66w75a55g47e34r 3903576975136

BFU 4EVER;-D

0/0
13.5.2014 0:05

K43a15m49i50l 53S11c89h86w29a82g14e74r 3433676155116

;-D no upřímně nečekal jsem takovouto brutální kravinu od technetu, články o počítačích tu jsou v poslední době hloupější a hloupější... prej virus ;-D

+1/0
13.5.2014 0:02

L23u80k41a58s 86S33u55c83h30a29n16e92k 5426327393370

Já bych tady byl trochu opatrnější v hodnocení. Jistě, článek včetně informací, které jsem získal dříve z tiscali nebo lupy, je dost obecný a nepřesný, až v diskuzích se člověk dozví podstatnější věci, nicméně když zjistíte jak šlo/lze ten router napadnout, jste už jen kousek od toho vyměnit mu firmware ... a když tohle zvládnete, už je pro zkušeného programátora (či hackera) relativně snadné napsat kód, který bude systematicky testovat ip adresy (routery) na tuto zranitelnost a v okamžiku kdy uspěje, tak firmware vyměnit. Ručně to ten hacker dělat nebude ... a jelikož k řadě routerů se nemusíte vůbec dostat zvenku, je docela dobrý nápad napsat kód (virus), který se k němu dostane z vnitřní sítě.

Lámal jsem si hlavu k čemu by mohlo být přesměrování stránek na google či seznam jinam. Strašení internet bankingem považuji spíš za plané ... je to rychle odhalitelné a viníkovi by hrozily příliš vysoké tresty. Spíš bych si ale dovedl představit, že v přesměrované komunikaci dojde ke změně obsahu všech internetových stránek a to tak, že je do nich umístěna reklama generující příjem autorovi škodlivého kódu, případně je původní reklama nahrazená reklamou generující zisk pro autora. Takovýto přístup by uživatele prakticky vůbec nepoškodil (za předpokladu dostatečného výkonu onoho "proxy serveru").

0/0
13.5.2014 7:35

L12u48d82v19í15k 55G56a79j94d70o76š97í65k 2555333184502

No víte napsat virus, který si uživatel stáhne, sám ho spustí a on se po vnitřní síti připojí na router a hackne ho je dost fantasmagorie. Pracujete s tolika proměnnými, že pravděpodobnost úspěchu takového "viru" je téměř nulová.

0/−3
13.5.2014 10:31

M46a21r19t25i48n 25K20o58z64á30k 4334940959547

Jediná podstatná proměnná je model konkrétního routeru. Zjistit, že na síti běží není problém (obvykle bývá defaultní branou) a dokonce i jeho značku lze zjistit poměrně snadno z MAC adresy s dost velkou úspěšností. A jakmile značku znáte, množství modelů pro každou z nich je konečné a dost omezené a spektrum jejich defaultních uživatelských jmen ještě nižší.

Ta vaše fantasmagorie je tedy stořádkový skript a databáze defaultních nastavení pro jednotlivé značky. Nic víc. Něco, co je zcela realizovatelného. Sežeňte mi příslušnou databázi a napíši vám něco, co bude mít účinnost v SOHO sítích 80 %. A to nejsem cracker, ale obyčejný programátor.

+3/0
13.5.2014 11:49
Foto

K52a76r71e93l 83P95l94a67c34h61ý 6636266554579

Ja ho asi chytil, protoze nam sam od sebe kape kohoutek v kuchyni.

+8/0
12.5.2014 23:26

P73a95v96e52l 95K21r30e21j63č33í71ř 2592501353326

Tak to je zlé.

+1/0
12.5.2014 23:56
Foto

K84a97r25e79l 55P88l83a38c33h53ý 6506536834639

Zkoušel jsem to odvirovat hasákem, ale musím změnit PB (pákovou baterii).

+1/0
13.5.2014 0:57

J83a97r63o11m46í55r 36K96r53á57l 4840319644179

A nestačil by upgrade firmware (vyměnit jen tu kartuš) ? ;-)

+1/0
13.5.2014 8:36

M70a22r45t54i41n 11K75o65z10á75k 4114380899677

Kompatibilita bývá hlavně u starších kousků hardwaru dost mizerná.

+1/0
13.5.2014 11:50
Foto

K72a98r54e67l 46P57l79a34c17h57ý 6136786954869

To bude nějaký root vir, jelikoz kape někde z toho kuloveho kloubu a nepomohly ani AntispywareSikovky.

+1/0
13.5.2014 12:31

J54a66n 93K33u33č75e66r21a 5171945211811

U nas pomohl az nasledny upgrade na PB 2.1, bohuzel se u ni projevil ihned problem na vystupu - inputO2toH2O, cekame nyni na programatora co zajisti firmware 2.3 nebo novejsi. Kazdopadne problem vznika zrejme uz v mediu ktere obsahuje skodlivy vir Ca :-( ktery se usazuje vsude...

+1/0
17.5.2014 6:52
Foto

K86a28r97e87l 10P17l64a68c33h54ý 6136276844179

My máme CaSecurity. S tím problém nebude. Je to jen průtok dat přes uzavřený port cold water.

+1/0
17.5.2014 9:00

M37i45c14h87a51l 62M15a88l21a42t 8800774158231

Není to ten virus, co rozšiřuje NSA aby mohli každého odposlouchávat? Ten má údajně taky napadat hlavně routery.

+1/−1
12.5.2014 22:10

P10e61t90r 58S56o63k70o61l 8362291577941

Všichni si změňte přihlašovací údaje do routeru a zakažte vzdálenou správu. ;-D

+6/−1
12.5.2014 20:26

P23e37t62r 10S63o75k47o26l 8482301177291

Nebo si zamkněte auto a klíče hoďte do kanálu.

+3/−2
12.5.2014 20:27

P53a57v76e96l 16M64o17h31y12l50a 2677712620535

Co na tom nechápeš? Respektive čemu se směješ? Nejedná se o zakázaní konfigurace z vnitřní sítě, ale z WANu. V menu routeru obvykle nazváno jako remote managment., čili přeloženo vzdálená správa.....

+5/−1
12.5.2014 20:31

P70e31t46r 75S19o84k39o55l 8482771357211

Všechny routery mají administraci na wanu defaultně vypnutou.

+2/−5
12.5.2014 20:32

P77a15v39e88l 74M78o53h70y15l97a 2867722540705

Tak tímhle bych si nebyl až tak jist. Rozumné routery samozřejmě ano. Nicméně už jsem viděl pár modelů, co to vypnuté ve výchozím nastavení nemají. Ale to nic nemění na faktu, že se tato funkce jmenuje vzdálená správa. Takže přirovnání o hozených klíčích do kanálu je tak trochu mimo. Hezký večer přeji,

+2/−2
12.5.2014 20:44

P21e35t91r 71S68o89k46o19l 8142251787711

To by musel být model z čínské tržnice. Pokud si průměrný domácí uživatel brouk pytlík změní přístupy do routeru a dostane radu vypnout vzdálenou správu na zařízení, podaří se mu jistě nevídané kousky, které skončí většinou factory resetem. Takže hodně štěstí všem při zabetonování svého routeru. Jen doufám, že se nedočkám článků s radami o domácím léčení zdravotních neduhů.

+2/−1
12.5.2014 20:48

P21a32v89e96l 19M97o70h94y85l12a 2907232750875

1) brouk pytlík nemá co v konfiguraci dělat - s tím souhlasím.

2) které routery nejsou dneska z číny? Kde se dneska dělá cisco, zywall, fortigate, juniper, huaweii a pod. Je to o tom kdo si co pohlídá a kolik to stojí peněz. Je to masakr, dneska už se tam dělají snad všechny routery......

+3/0
12.5.2014 21:08

P27e91t48r 72S44o73k31o48l 8722131637751

Noname věci kvalitativně ještě o dva stupně níž než  klumpy Mercury, Geeya o kterých tu taky nejspíš ani neuslyšíte a přesto se dost prodávají. A i u těch bych váhal, že by některý měl vzdálenou správu na wan v defaultu zapnutou. Routery se montují v číně, ale firmware si větší firmy dělají svůj.

0/0
12.5.2014 21:45

P18a45v73e68l 10K23r19e12j67č31í80ř 2172881873116

Taky bych řekl.

0/0
12.5.2014 21:35

J58e83r19o43m78e 95B80l71o53c70k 7419800155502

Tak například Comtrend, který dává v současnosti O2 pro VDSL, má defaultně zapnutého klienta TR-069 pro WAN management protocol.

0/0
13.5.2014 15:03

K72a59m85i43l 42S88c35h30w27a11g77e14r 3723296955216

;-D EXPERT promluvil ;-D doporučuji video I am ingeneer :-P

0/0
13.5.2014 0:04

P41a83v55e71l 71K63r62e68j83č78í36ř 2722301963686

fakt, Ingeneer? Nějak to nemůžu najít ;-D

0/0
13.5.2014 0:08

K42a13m61i94l 71S93c72h55w97a74g37e66r 3183656745336

http://youtu.be/rp8hvyjZWHs

0/0
13.5.2014 0:22

P60a75v42e39l 56K34r43e77j19č95í27ř 2592621623626

fakt IIIIngeneer? Pořád to nějak nevidím ;-D

0/0
13.5.2014 0:27

K10a30m42i44l 10S20c34h34w27a67g37e57r 3953446955546

Jé, sorry, já myslel, že děti chodí spát v deset ;-D

0/0
13.5.2014 0:37

P12e19t55r 74Z95á86l67e21s17n69ý 3824844740751

No, když jsem zjistil, že je to pouze BFS tipovač hesla, který změní DNS, ale nápad nedávat si na DNS router nebo AP, ale rovnou ISP je dobrý a adresu DNS NIC.cz jsem neznal, takže to mám alespoň bez hledání.

Článek možná byl zbytečně dramatický a z půlky to byla jen omáčka bez hodnotné informace, ale nakonec jsem se něco dozvědělR^.

+4/0
12.5.2014 20:22

L23u91k45a22s 36S46u74c31h73a22n36e50k 5256707283760

On to není tipovač hesla ... zkuste si pročíst http://rootatnasro.wordpress.com/2014/01/11/how-i-saved-your-a-from-the-zynos-rom-0-attack-full-disclosure/ a budete překvapen.

Pro angličtiny neznalé - některé routery, viz tento, vám klidně na vyžádání pošlou svou rom-0 v nekódované podobě a nechtějí po vás žádné heslo. V té rom je pak uloženo i heslo. Takže změna továrních nastavení nepomůže. Může pomoct zakázání té vzdálené správy, ale tady vidím trochu riziko aby se to někomu nepovedlo nastavit tak, že už to ani nebude moct sám spravovat :)

+2/0
12.5.2014 22:39

P46e43t22r 51Z24á49l17e86s65n23ý 3614304360401

Tak a opět diskuze lepší než článek, moc vám děkuji.

Jen také pomůže nedělat si zálohu nebo si případnou zálohu uložit osobně někam k sobě a router nechat bez zálohy. Pokud router zálohu vyžaduje, změnit heslo, udělat zálohu a následně dát původní heslo (kdo se nechce hrabat v nastavení, měnit porty a bojíte se odkazovat na nepoužívanou IP).

0/0
12.5.2014 23:31

K37a48m58i50l 53S45c21h83w17a59g78e80r 3453426485546

8-o pane nějak nerozumím o čem mluvíte, prostě si na routeru neotvírejte ŽÁDNÉ porty ven a tento přitroublý článek v klidu zapomeňte ;-)

0/−1
13.5.2014 0:09

P71e95t91r 40Z33á49l72e33s60n73ý 3844584550231

No, to se nedivím, že nevíte, když chcete "otevírat porty ven". Nastavit, že nikdo mimo LAN nemůže přistupovat do paměti routeru je hezké, ale nijak nezamezí útoku někoho, kdo se k LAN chce připojit, přitom heslo dávám každé návštěvě a po každé návštěvě se mi ho měnit nechce a stejně tak nechci mít konfiguraci nastavenou na adresu, která nebude "nikdy" přidělena ;-) .

0/0
13.5.2014 0:32

P83a54v93e43l 84K86r91e73j27č82í65ř 2612351613716

Jako že libovolné zařízení připojené k WiFi může měnit konfiguraci routeru? To máte asi nějaký krám :-)

0/0
13.5.2014 0:36

P43e14t73r 47Z20á50l64e37s95n16ý 3874744350881

Libovolné zařízení s ID a heslem pro konfiguraci routeru. V článku, na který odkazoval pan Suchánek je ale odhalena bezpečnostní chyba některých routerů, kdy je možné číst zálohu i bez překonávání jakéhokoli zabezpečení, v záloze bylo v popsaném případě heslo bez encryptace.

0/0
13.5.2014 0:47

K79a59m61i38l 93S75c34h85w12a57g60e62r 3973786195746

Podle vaší úvahy cítím lehký zmatek ve znalostech o fungování routeru. Nebo možná trpíte nějakou formou dyslexie a dělá vám problém čtení psaného textu (viz to co jste dal do uvozovek - nějak nevidím, kde jsem tohle napsal). To by vás omlouvalo, ale zároveň by vám asi nepomohl manuál ani případné odkazy, které bych vám nabídl. Tak zkuste říct nějakému IT kamarádovi aby vám to vysvětlil nebo ještě lépe pomohl nastavit.

To o čem píšete je "síťové heslo" a používá se pouze na šifrování přenášených dat. Ale NIKOMU neumožňuje konfigurovat samotný router. Samozřejmě za předpokladu, že jste v administraci nastavil nějaké jiné heslo než to nastavené z továrny a pokud možno jiné než máte nastaveno pro šifrování. Bohužel jednodušeji to napsat asi neumím - profesionální deformace...

Jinak je mi vás docela líto, pokud podezíráte vlastní návštěvy, že by se vám pokoušeli nabourat do sítě. Možná by bylo dobré si promluvit s nějakým terapeutem třeba psychologem. Vypadá to na solidní paranoiu.

0/0
13.5.2014 0:57

Najdete na iDNES.cz