Στην mailing list του ubuntu-gr κατά καιρούς γράφονται μηνύματα με απορίες και προβληματισμούς χρηστών .Πολύ πρόσφατα μόλις χθές ,γράφτηκε το παρακάτω μήνυμα :
Kostas Oikonomou έγραψε:2015-05-29 21:37 GMT+03:00 Kostas Oikonomou <k......@.....gr>:
> Αγαπητοί φίλοι,
> Σήμερα διάβασα την είδηση για ύπαρξη ιού που επιτίθεται σε router που
> βασίζονται σε Linux. Επειδή δεν γνωρίζω πολλά τεχνικά στοιχεία, επισυνάπτω
> το σύνδεσμο της είδησης:
> https://iguru.gr/2015/05/29/47721/malwa ... ia-router/και θα
> ήθελα να ρωτήσω κάποια πράγματα:
> Έχω στο σπίτι ένα router από την HOL, στο οποίο είναι συνδεδεμένοι δυο
> σταθεροί υπολογιστές που «τρέχουν» Lubuntu 12.10 32bit και Ubuntu 14.04LTS
> 64bit. Επίσης υπάρχει και ένας φορητός υπολογιστής που επίσης τρέχει Ubuntu
> 14.04LTS 64bit. Σε κανένα υπολογιστή δεν υπάρχει εγκατεστημένο antivirus.
> 1. Ο ιός έχει σχέση με το λογισμικό που είναι εγκατεστημένο στο router
> (φαντάζομαι ότι το router «τρέχει» κάποιο λογισμικό), ή έχει σχέση με το
> λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε router; Στην τελευταία
> περίπτωση έχουμε τρεις τέτοιους υπολογιστές.
> 2. Αν έχει σχέση με το λογισμικό με το οποίο «τρέχει» το router και όχι με
> το λογισμικό των υπολογιστών που είναι συνδεδεμένοι σε αυτό, πως μπορώ να
> ελέγξω με τι λογισμικό «τρέχει» το router μου (για να δω αν είναι βασισμένο
> σε Linux και, σε αυτή την περίπτωση, πως μπορώ να το «θωρακίσω»)
>
> 3. Το Ubuntu είναι ασφαλές έναντι των ιών, ή χρειάζεται να εγκαταστήσω
> antivirus;
>
Στο μήνυμα αυτό ανταποκρίθηκαν να απαντήσουν οι jemadux και ο simosx .
H απάντηση που έγραψε ο simosx είναι η παρακάτω :
simosx έγραψε:Οι οικιακοί δρομολογητές (home routers) είναι μικροί υπολογιστές που
τρέχουν τον πυρήνα Linux και λογισμικό διαχείρισης της ευρυζωνικής
σύνδεσης.
Γενικά, αυτό το λογισμικό διαχείρισης εμφανίζει προβλήματα ασφάλειας σε
μερικούς κατασκευαστές, με αποτέλεσμα να μπορεί να προσβληθεί ο
δρομολογητής από κακόβουλους χρήστες.
Το πιο τυπικό πρόβλημα είναι να επιτρέπεται η πρόσβαση στη σελίδα
διαχείρισης από τρίτους μέσω του Διαδικτύου.
Ναι, όσο παράξενο και να ακούγεται, υπάρχουν περιπτώσεις να μπορεί να
συνδεθεί κανείς στο δρομολογητή σας από το διαδίκτυο.
Όταν συνδεθεί κάποιος στο δρομολογητή σου, χρειάζεται τυπικά να δώσει
κάποιο όνομα χρήστη και κωδικό. Εδώ, αρκετοί κατασκευαστές αφήνουν κάτι
εύκολο, όπως admin/admin.
Πρόσφατα ανακαλύφθηκε από τεχνικούς της ESET κακόβουλο λογισμικό που
εκμεταλλεύεται τις παραπάνω αδυναμίες ώστε να συνδεθεί σε δρομολογητές και
με κάποιο τρόπο να εγκαταστήσει κακόβουλο λογισμικό στον ίδιο το
δρομολογητή.
Ας πούμε ακόμα μια φορά ότι το πρόβλημα είναι στο λογισμικό διαχείρισης του
δρομολογητή (και όχι στο πυρήνα Linux).
Αυτό που είναι σημαντικό σε κάθε χρήστη, είναι να ελέγξει αν ο οικιακός
δρομολογητής είναι προσβάσιμος από έξω, δηλαδή από το διαδίκτυο. Ένας
τρόπος για να το ελέγξουμε, είναι να:
1. πάμε στο http://www.canyouseeme.org/ και εκεί να πατήσουμε Check Port.
Μόλις πατήσουμε το κουμπί, τότε ο εξυπηρετητής στο canyouseeme.org θα
επιχειρήσει να συνδεθεί στην IP μας, δηλαδή στο δρομολογητή μας.
Έχει ως προεπιλογή τη θύρα 80, που είναι η τυπική θύρα για τη διαχείριση.
Αν η θύρα αυτή δεν είναι προσβάσιμη από έξω (καλό), τότε θα δούμε «Error: I
could not see your service on x.x.x.x on port (80)
Reason: Connection timed out». Διαφορετικά, πρέπει να ψάξουμε περισσότερο.
2. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το
23. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your
service on x.x.x.x on port (23) Reason: Connection timed out»
3. πάμε πάλι στη σελίδα http://www.canyouseeme.org/ και για Port βάζουμε το
10073. Και εδώ πάλι πρέπει να δούμε μήνυμα ότι «Error: I could not see your
service on x.x.x.x on port (10073) Reason: Connection timed out». Αυτό το
10073 είναι η θύρα που τρέχει το σκουλίκι, οπότε αν στο βήμα 2 δεν υπήρξε
σύνδεση, τότε και εδώ δεν θα βγάλει κάτι.
Διάβασα το PDF που υπάρχει στη σελίδα
http://www.welivesecurity.com/wp-conten ... xMoose.pdf
Το όλο άρθρο δεν έχει πολλές πρακτικές πληροφορίες για διαπίστωση και
ασχολείται με την ανάλυση του σκουλικιού.
Το πιο σχετικό που γράφει, είναι «If the credentials can be used via Telnet
to login, if Telnet is enabled by default and if a shell access can be
obtained by typing sh in the device’s prompt, then these are very good
indicators that a device could be infected by Linux/Moose.»
Είναι πολλά τα Αν που αναφέρει, οπότε με τους παραπάνω ελέγχους μπορείτε να
έχετε μια εικόνα. Είναι ακόμα νωρίς για να έχουμε μια ξεκάθαρη εικόνα για
αυτή την αδυναμία ασφάλειας, μια αδυναμία στο λογισμικό διαχείρισης
δρομολογητών (και άλλων τέτοιων συσκευών).
Αν χρήστες με Windows σού δίνουν στικάκια για να τα ελέγξεις, τότε μπορείς
να εγκαταστήσεις κάποιο από τα antivirus. Είναι πιο ασφαλές να ελέγξεις από
Ubuntu παρά από Windows.
Σίμος
Μετά από αυτήν την απάντηση μπορούμε να κάνουμε ένα τυπικό έλεγχο όπως μας τον περιγράφει ο simosx .
Tα σημεία που έχουν μεγάλη σημασία πιστεύω
1.Γενικά, αυτό το λογισμικό διαχείρισης εμφανίζει προβλήματα ασφάλειας σε
μερικούς κατασκευαστές, με αποτέλεσμα να μπορεί να προσβληθεί ο
δρομολογητής από κακόβουλους χρήστες.
και
2.Ας πούμε ακόμα μια φορά ότι το πρόβλημα είναι στο λογισμικό διαχείρισης του
δρομολογητή (και όχι στο πυρήνα Linux).
