Laajakaistamodeemien, WLAN-tukiasemien ja muiden kotireitittimien tietoturvaan tulee kiinnittää huomiota, sillä ne voidaan valjastaa helposti osaksi palvelunestohyökkäystä. Turvattomiin kotireitittimiin pesiytynyt haittaohjelma voi myös ohjata käyttäjänsä haitallisille nettisivuille tai louhia reitittimen avulla bitcoineja. Useiden laitteiden asetukset on kuitenkin mahdollista säätää oletusasetuksia turvallisemmiksi. Viimeistään kotireitittimen uudelleenkäynnistys poistaa sinne päässeet haittaohjelmat.

Kotireitittimien tietoturvaa koskevan artikkelin ensimmäisessä osassa tarkastellaan oletussalasanojen ja haavoittuvuuksien aiheuttamia ongelmia. Lisäksi kerrotaan vinkkejä kotireitittimien tietoturvallisiin asetuksiin.
 

Kotireititin voi osallistua palvelunestohyökkäykseen

Useissa kotireitittimissä on valitettavasti monia tietoturvaongelmia, joita hyödyntämällä on mahdollista esimerkiksi murtautua laitteeseen, valjastaa se brute force -murtoyrityksiin tai osaksi hajautettua palvelunestohyökkäystä (DDoS). Jotkin haittaohjelmat liittävät kotireitittimen osaksi roskapostia lähettävää bottiverkkoa tai louhivat hyökkääjälle bitcoineja. DNS-asetuksia muokkaavat reititinhaittaohjelmat puolestaan ohjaavat käyttäjänsä tietojenkalastelusivuille tai lisäävät näytettäville sivuille ylimääräisiä mainoksia.

Kotireitittimiä ovat muun muassa laajakaistamodeemit, kaapelimodeemit ja WLAN-tukiasemat. Myös WLAN-tukiasema voi näkyä internetiin, jos laajakaistamodeemi on siltaava. Kaikkiaan laitteiden kirjo on laaja, sillä käytössä on sekä operaattoreiden tarjoamia että kuluttajien itse ostamia laitteita.

Haavoittuvuus tai oletussalasana avaa pääsyn laitteeseen

Kotireitittimiä ylläpidetään tyypillisesti www-käyttöliittymästä, johon kirjaudutaan käyttäjätunnuksella sekä salasanalla. Käyttöliittymään tulisi päästä käsiksi ainoastaan sisäverkosta. Jos laitteessa on kytketty päälle etähallinta (remote administration), käyttöliittymä on saavutettavissa myös julkisesta verkosta.

Haittaohjelma voi tarttua sisäverkonkin kautta, jos esimerkiksi klikataan sähköpostissa tai verkkosivulla olevaa haitallista linkkiä, joka lähettää haavoittuvuutta hyödyntävän HTTP-pyynnön kotireitittimelle. Tällä tavoin onnistutaan esimerkiksi muokkaamaan laitteiden DNS-asetuksia, jolloin laitteet voivat ohjata käyttäjänsä väärennetyille tietoja kalasteleville sivustoille tai näyttää sivujen yhteydessä haitallisia mainoksia. Vastaavantyyppinen autentikoinnin ohittava haavoittuvuus on löytynyt vastikään useista Netgear-laitteista.

Oletussalasanojen lisäksi tiettyihin kotireitittimiin valmistaja on jättänyt ylimääräisiä käyttäjätunnuksia, joita oma hallintaliittymä ei näytä. Jos rikollinen on saanut nämä tunnukset selville, laitteelle pääsy on mahdollista myös tällä tavoin.

Kotireitittimen ohjelmisto tulee pitää ajan tasalla

Kotireitittimet ovat sulautettuja järjestelmiä, jotka sisältävät pienitehoisille laitteille suunnitellun käyttöjärjestelmän. Myös näissä käyttöjärjestelmissä ja sovelluksissa on haavoittuvuuksia, joiden avulla toisen on mahdollista ottaa laite haltuunsa ja asentaa siihen haittaohjelmia. Tämän vuoksi laitteen ohjelmisto (firmware) kannattaa päivittää. Usein päivitykset sisältävät myös toiminnallisia parannuksia.

Uudelleenkäynnistys voi auttaa

Useimmat kotireitittimiin päässeet haittaohjelmat poistuvat laitteen muistista siinä vaiheessa, kun laitteesta katkaistaan virta. Näin kannattaa toimia esimerkiksi silloin, jos oma verkkoliikenne vaikuttaa hidastuvan.

Jos haittaohjelma on muokannut laitteen asetuksia, voi olla parasta palauttaa laite tehdasasetuksiin ja sitten päivittää se uusimpaan ohjelmistoversioon.

Näin tarkistat ja suojaat kotireitittimesi

1. Päivitä kotireitittimen ohjelmisto eli firmware.
   • Usein päivitysten saatavuuden voi tarkistaa laitteen selainpohjaisesta hallintaliittymästä. Osa laitteista osaa hakea uuden version itse.
   • Osalla operaattoreista laajakaistamodeemit päivitetään automaattisesti. Näiden laitteiden ohjelmistoa ei tule päivittää itse.
   • Päivitysten saatavuuden voi tarkistaa myös valmistajan kotisivuilta. Päivitys ladataan valmistajan kotisivuilta ja päivitetään laitteeseen selainpohjaisen hallintaliittymän kautta.
   • Huomioi, että päivityksen jälkeen voit joutua palauttamaan yhteysasetukset takaisin itse, jotta internet-liittymä toimisi normaalisti. Operaattorin ohjeet yhteysasetuksiin kannattaa olla valmiina tätä varten.
      
2. Jos laitteeseen ei ole saatavilla päivitystä ja se on kovin vanha, laite kannattaa vaihtaa uudempaan.
    
3. Vaihda oletussalasanat uusiin ja turvallisempiin.
   • Monissa laitteissa on helposti arvattava oletussalasana, joita on listattu internetissä. Salasana on syytä vaihtaa uuteen, jotta ulkopuoliset eivät pääse kirjautumaan laitteeseen.
      
4. Estä laitteen etähallinta (remote management) internetistä.
   • Laitteesta ja käyttöliittymän kielestä riippuu, löytyykö asetus esimerkiksi nimellä "remote management", "remote access" tai "etähallinta".
      
5. Poista käytöstä ominaisuudet, joita et tarvitse.
   • Internetiin avoimena olevia kotireitittimen lisäominaisuuksia hyödynnetään hajautettujen palvelunestohyökkäysten tekemiseen. Kotireitittimen käyttämättömät lisäominaisuudet kannattaakin kytkeä pois käytöstä. Tarkasta ainakin UPnP, SNMP, SSDP, NetBIOS, NTP, multicast DNS (mDNS) ja RIPv1.
   • Joissakin laitteissa lisäominaisuudet on mahdollista kytkeä päälle vain sisäverkon suuntaan. Tämä parantaa laitteen turvallisuutta, koska lisäominaisuuksiin ei tällöin pääse käsiksi internetistä. Yleensä lisäominaisuudet pitää kuitenkin kytkeä kokonaan pois päältä.
   • Jos lisäominaisuus on toteutettu turvattomasti, laitteeseen voi päästä luvattomasti. Esimerkiksi UPnP voi tehdä mahdolliseksi sen, että kotiverkossa oleva haittaohjelma pääsee muokkaamaan reitittimen asetuksia.
      
6. Katkaise virta kotireitittimestä poistaaksesi sinne mahdollisesti pesiytyneet haittaohjelmat.
   • Laitteiden pysyväismuistiin ei ole yleensä mahdollista kirjoittaa, joten useimmat haittaohjelmat katoavat uudelleenkäynnistyksen myötä.
      
7. Tarkista kotireitittimesi nimipalvelinasetukset (DNS) luvattomien muokkausten varalta.
   • Useimmiten asetuksissa on oman operaattorisi DNS-palvelimen osoite. Asetukset on yleensä kerrottu operaattorin kotisivuilla tai laitteen mukana tulleissa ohjeissa.
   • Voit myös käyttää F-Securen Router Checker -työkalua osoitteessa https://campaigns.f-secure.com/router-checker/.

Yksityiskohtaisemmat ohjeet riippuvat käyttämästäsi laitteesta. Käyttöohjeet tulevat yleensä laitteen mukana. Tämän lisäksi ohjeita voi hakea laitevalmistajan tai operaattorin kotisivulta tai asiakastuesta. Tarvittaessa voit pyytää jotain tuttua tai tietokonetukipalvelua tarjoavaa yritystä auttamaan.

• DNA:n asiakastuen ohjeet laajakaistamodeemeihin
• Elisan asiakastuen ohjeet laajakaistamodeemeihin
• Soneran asiakastuen ohjeet laajakaistamodeemeihin

Hyökkääjä voi käyttää kotireititintä haitallisiin tarkoituksiin myös tiettyjä yhteydettömiä UDP-pohjaisia tietoliikenneprotokollia hyödyntämällä, jolloin laitteeseen ei tarvitse murtautua. Tällöin laitteen tietoturvallisten asetusten merkitys korostuu. UDP-pohjaisista palvelunestohyökkäyksistä kerrotaan enemmän tämän artikkelin toisessa osassa.

Sanasto

• DDoS: Distributed Denial of Service. Hajautettu palvelunestohyökkäys.
• DNS: Domain Name System. Nimipalvelu, jonka avulla verkkotunnus (esim. kyberturvallisuuskeskus.fi) voidaan muuttaa IP-osoitteeksi.
• HTTP: HyperText Transfer Protocol. Tiedonsiirtoprotokolla, jonka avulla välitetään muun muassa www-sivuja.
• NetBIOS: Network Basic Input Output System. Lähiverkon palveluiden toteuttamiseen käytetty ohjelmarajapinta.
• NTP: Network Time Protocol. Internetissä kellonajan synkronointiin tarkoitettu protokolla.
• mDNS: Multicast Domain Name System. Nimipalveluprotokolla verkkoihin, joissa ei ole omaa nimipalvelinta.
• RIPv1: Routing Information Protocol version 1. Reititysprotokolla.
• SSDP: Simple Service Discovery. Tietoliikenneprotokolla, joka mahdollistaa laitteiden ja palveluiden etsimisen lähiverkosta.
• SNMPv2: Simple Network Management Protocol version 2. Verkkolaitteiden hallintaan käytetty protokolla.
• UDP: User Datagram Protocol. Tietoliikenneprotokolla, joka ei vaadi yhteyden avausta tietokoneiden välillä ennen liikenteen lähettämistä.
• UPnP: Universal Plug and Play. Joukko protokollia, jotka tekevät mahdolliseksi sen, että laitteet voivat löytää toisensa lähiverkossa ja jakaa esimerkiksi mediatiedostoja keskenään.
• WLAN: Wireless Local Area Network. Langaton lähiverkko.

Lisätietoa

• 12 million home and business routers vulnerable to critical hijacking hack, 18.12.2014
• How to Check Your Router for Malware, 31.8.2015
• Linux-Targeting Malware Sets Up Proxies on Infected Machines, 3.10.2015
• DNS Changer Malware Sets Sights on Home Routers, 28.5.2015