14. heinäkuuta 2010

Reitittimissä "virhe" - yhteydet internetistä niihin mahdollisia

Miljoonat reitittimet (ja palomuurit?) ovat vaarassa - niihin tunkeutuminen internetistä on mahdollista. Yleensä oletuksena ne eivät salli minkäänlaisia yhteyksiä otettavan itseensä muualta kuin lähiverkosta, eli käyttäjiensä taholta. Etäkäyttö internetistä käsin pitää erikseen laittaa päälle, jos sitä muka haluaa ja tarvitsee johonkin. Tämä synnyttää tehokkaan esteen kaikille yrityksille manipuloida reititintä ja edes yrittää hyökätä sen kimppuun ulkoapäin.

Nyt on kuitenkin käynyt ilmi, että nämä suojaukset on mahdollista kiertää. Uhri tarvitsee vain houkutella sopivalle nettisivustolle, ja DNS-kikkailujen ja skriptien ansiosta hyökkääjä kykenee iskemään uhrin ja internetin välissä olevan reitittimen kimppuun. Mikäli reititin ei ole salasanasuojattu - tai se on suojattu oletussalasanoin kuten suurinosa on - on hyökkääjällä täysin vapaa pääsy manipuloimaan oikeastaan aivan kaikkea uhrin nettiliikennettä reittimen avulla. Hän voi esimerkiksi huijata uhrin aina jatkossa väärille nettisivuille, ohjata koko nettiliikenteen kulkemaan omien sivujensa kautta, ottaa palomuurin reitittimestä pois päältä tai kytkeä langattoman lähiverkon salauksen pois päältä jne. Mikäli reititin on oikeaoppisesti salasanasuojattu, hyökkäyksen onnistuminen edellyttää joko salasanan tietämisen tai arvaamisen, tai jonkin reitittimen kirjautumiseen tai käyttöön liittyvän tietoturva-aukon hyödyntämisen.

Moni sanoo nyt, että huh-huh, eipä ongelmaa, kyllähän nuo ovat aina salasanasuojattuja jne.

No, ajatellaan asiaa toiselta kantilta. Mikäli, ihan teoriassa, reitittimissä on takaportti tai tietoturva-aukko, joka mahdollistaa siihen tunkeutumisen, tämä nyt esille tullut haavoittuvuus mahdollistaa kaikkien noiden miltei täysimittaisen hyväksikäytön etäältä, eli internetistä käsin. Aikaisemmin, vaikka reitittimessä olisi ollutkin jokin tuntematon takaportti tai tietoturva-aukko, joka olisi mahdollistanut sen asetusten manipuloimisen, ei tuo manipulointi olisi yleensä onnistunut kuin ko. lähiverkosta käsin tai laitteen luokse fyysisesti pääsemällä. Mikäli kyseinen lähiverkko ja laite olisi fyysisesti suojatussa paikassa, vaikkapa lukittujen ovien takana, ei reitittimen valtaaminen ja manipulointi onnistuisi siis oikeastaan mitenkään. Mutta, nytpä onnistuu.

Aina välillä spekuloidaan sillä, että miten vaikkapa ulkomaiset tiedustelupalvelut tai ammattirikolliset onnistuvat tunkeutumaan miltei minne tahansa internetin kautta. Olen ehkä paranoidi ja väärässä, mutta sanon joka tapauksessa, että kenties tässä on taas yksi esimerkki tavasta tehdä tuollainen hyökkäys. Kyseinen aukko on näet ollut olemassa ilmeisesti jo 15 vuotta, eikä sitä ole vieläkään saatu kunnolla tilkittyä ja nyt on paljastunut siis oikeastaan vain uusi keino hyväksikäyttää vanhaa aukkoa. Kuinka kauan ammattirikolliset ja tiedustelupalvelut ovat tienneet tästä uudesta hyökkäyskeinosta ja miksei alkuperäistä aukkoa ole vieläkään tilkitty laitevalmistajien toimesta?

Lienee vain ajan kysymys, milloin tavalliset hakkerit ja muut pahantekijät alkavat käyttää tätä hyökkäystapaa hyväkseen. Silloin ollaankin sitten helisemässä. Toivoa sopii, että ihmiset ymmärtäisivät vihdoinkin edes vaihtaa ne reitittimiensä (huomaa, että adsl-modeemi on yleensä myös reititin) oletussalasanat ja kieltää etäyhteydet niihin jne. jne. Arvelen toivomiseni olevan jälleen kerran täysin turhaa, koska ihmiset ovat tottuneet vain ottamaan reitittimen laatikosta ja kytkemään sen paikoilleen, tekemättä senkään eteen yhtään sen enempää tutkiskelua ja säätelyä. Kun huonolla tuurilla uhriparan tietokoneen palomuurikin vuotaa kuin seula ja asetukset ovat pielessä, on tilanne hyvin huolestuttava jos ja kun reititinkin saadaan tällä hyökkäyksellä polvilleen...

5 kommenttia:

Anonyymi kirjoitti...

No, ehkä vähän vanha uutinen. Jo pidemmän aikaa on tiedetty, että reititinvalmistajat tekevät tarkoituksella takaportteja laitteisiin, koska USA:ssa laki niin vaatii. Tässä uutisessa on nyt kyse melko pitkälti samasta asiasta.

Laki vaatii nimen omaan Internet-operaattoreille tarkoitettuihin reitittimiin takaportit, joten oman adsl-modeemin suojaaminen ei tietenkään auta paskan vertaa.

http://www.networkworld.com/community/node/57070

Markus Jansson kirjoitti...

Erittäin hyvä pointti kerta kaikkiaan. Olin jo unohtanutkin nuo takaportit. Mielenkiintoista, että esimerkiksi internet-palveluntarjoajat eivät kerro lainkaan asiakkailleen tuosta.

Anonyymi kirjoitti...

Onhan kai aika selvää että suuren rapakon takana tehdään yhteistyötä verkkolaitteiden valmistajien ja sähköisen tiedustelun kesken pyöreiden pöytien äärellä, ainakin itse näin tekisin, koska tieto tai sen varastaminen pitää etumatkaa muihin. Sama käyttöjärjestelmien, hakukoneiden ja nettisivujen statistiikkapalveluiden kanssa. En yhtään ihmettele että verkkolaitteisiin tehdään takateitä niin että halutessa jokaiseen laitteeseen pääsee käsiksi verkon kautta.
Ja prosessorien pinta-alastakin suuri osa on dokumentoimatta, jossa voi olla kaikkea kivaa.
Ja nyt on tulossa myös Kiina jenkkien lisäksi, joka pienestä peukaloinnista on jäänyt kiinnekin.
Tulostimet merkkaavat tulosteeseen tunnisteet, wlanverkkojen liikennettä nuuskitaan Googlen ja varmaan myös muiden toimesta sekä muuta kivaa. Isoveli valvoo.

Iiro Laiho kirjoitti...

Tuossa on kaiketi toteutettu JavaScriptillä haittaohjelma, joka muuttaa reitittimen asetuksia lähiverkosta käsin.

Liiallinen luottaminen verkon rajalla oleviin palomuureihin on usein kohtalokasta. Koneet voivat saastua haittaohjelmasta tai joku voi tökätä saastuneen kannettavansa verkkoon. Oikea tapa on kiinnittää riittävää huomiota lähiverkossa toimivien palveluiden tietoturvaan.

jaska kirjoitti...

Wlan verkon osalta tältä on helppo suojautua, mikäli pelkkä wlan riittää käyttöön.

Sallii reitittimen konfauksen vain piuhan kautta eikä pidä piuhaa kiinni kuin tarvittaessa. Ennen piuhan kiinnittämistä on toki hyvä koittaa varmistaa koneen puhtaus ja välttää ainakin siinä välissä epäilyttäviä sivuja.