Tietoturvattomasti konfiguroiduissa kotireitittimissä on internetiin auki olevia palveluita, jotka mahdollistavat esimerkiksi laitteiden hyödyntämisen osana palvelunestohyökkäystä.

Kotireitittimien tietoturvaa koskevan artikkelin toisessa osassa tarkastellaan kotireitittimissä käytössä olevia tietoliikenneprotokollia, joiden avulla huonosti suojatun laitteen voi valjastaa palvelunestohyökkäykseen murtautumatta laitteeseen.

Kotireitittimissä on usein ominaisuuksia, joita tyypilliset käyttäjät eivät yleensä tarvitse. Joissain tapauksissa nämä ominaisuudet ovat oletuksena päällä ja niiden käyttämät tietoliikenneportit ovat avoinna myös internetiin. Esimerkiksi oletussalasana ja internetistä mahdollistettu etähallinta voivat mahdollistaa kotireitittimeen murtautumisen, kuten tämän artikkelin ensimmäisessä osassa kerrottiin.

Lisäksi monissa kotireittimissä on käytössä verkkolaitteiden valvontaan ja ylläpitoon käytetty SNMP-protokolla (Simple Network Management Protocol) oletuksena ja avoinna internetiin. Tällöin kotireititintä voidaan käyttää hajautettujen palvelunestohyökkäysten (distributed denial of service) osana siten, että hyökkäysliikenne peilataan niiden kautta varsinaiseen kohteeseen.

Kannattaa huomioida, että kotireitittimien lisäksi myös muissa verkkolaitteissa, kuten kytkimissä, tulostimissa, videokonferenssijärjestelmissä ja rakennus- ja kotiautomaatiolaitteissa voi olla internetiin avoin SNMP-palvelu, jota voidaan hyödyntää palvelunestohyökkäyksissä.

1. Hyökkääjä hankkii käyttöönsä bottiverkon.
   • Palvelunestohyökkäykseen käytettäviä bottiverkkoja on vuokralla laittomiin tarkoituksiin.
2. Bottiverkon ohjaaja komentaa bottiverkon koneita tekemään palvelunestohyökkäykseen haluttuun kohteeseen.
   • Botit ovat tietokoneita, kotireitittimiä tai muita internetiin kytkettyjä laitteita, jotka ovat puutteellisen suojauksen vuoksi saastuneet haittaohjelmalla.
3. Botit etsivät verkosta kotireitittimiä, joissa SNMP on auki internetiin ja lähettävät niille pienikokoisen SNMP-kyselyn, jossa lähdeosoitteeksi on väärennetty uhrin IP-osoite.
   • Joissain verkoissa verkon reunalla oleva reititin tai palomuuri ei tarkista, onko lähtevän liikenteen osoite väärennetty, mikä mahdollistaa tämäntyyppiset hyökkäykset.
4. Kotireitittimet vastaavat SNMP-kyselyyn lähettämällä vastauksen uhrin IP-osoitteeseen.
   • Vastauksen koko on moninkertainen lähetettyyn kyselyyn nähden, joten bottiverkon lähettämä liikenne moninkertaistuu ja uhrin vastaanottama liikennemäärä on suuri. Tästä käytetään termiä amplification attack.

 

Sama ongelma koskee myös muita laajasti käytössä olevia tietoliikenneprotokollia, mikä johtuu näitä kuljettavan UDP-protokollan (User Datagram Protocol) ominaisuuksista. UDP on yhteydetön protokolla, eli liikenteen lähettämiseksi ja vastaanottamiseksi osapuolien ei ensin tarvitse neuvotella esimerkiksi käytetyistä parametreista. Vastaanottaja ei myöskään tarkista, onko lähettäjän IP-osoite aito vai väärennetty. Tämä mahdollistaa useiden UDP-pohjaisten protokollien hyväksikäyttämisen hajautettuihin palvelunestohyökkäyksiin ja liikenteen moninkertaistamiseen peilaamalla liikenne muiden laitteiden kautta.

 

Kotireitittimissä tyypillisiä palvelunestohyökkäyksen mahdollistavia protokollia ovat huonosti konfiguroituna:

• SNMPv2, jonka avulla hyökkäysliikenne kuusinkertaistuu
• UPnP-protokollaan liittyttyvä SSDP (Simple Service Discovery Protocol), jonka avulla hyökkäysliikenne 30-kertaistuu
• DNS (Domain Name System), jos laite toimii DNS-kyselyt välittävänä palvelimena, jolloin peilatun liikenteen määrä on jopa 50-kertainen, ja
• NTP (Network Time Protocol), jos laite toimii NTP-palvelimena, jolloin peilatun liikenteen määrä on yli 500-kertainen.

 

Lisätietoa UDP-pohjaisista amplifikaatiohyökkäyksistä on US-CERT:n varoituksessa.

 

 

1. A-Link RR24AP-N
2. Apple AirPort 2012 vuoden malleihin asti (kun laite on kytketty internetiin ilman palomuuria tai muuta suojausta)
3. Zyxel 660RU-T1
4. Zyxel VMG1312-B
5. PacketFront DRG 586
6. D-Link DSL 320B
7. Netgear R6100
8. TP-Link TD-W8901G
9. Zyxel 2302HW
10. Inteno XG6746

Tarkista laitteen käyttöohjeesta tai kysy neuvoa esimerkiksi laitteen tai internet-operaattorisi asiakaspalvelusta, kuinka SNMP otetaan pois käytöstä. Jos laitteesta ei ole mahdollista kytkeä SNMP-ominaisuutta pois, sama tulos voidaan saavuttaa käyttämällä port forwarding -ominaisuutta. Tällöin porttiin 161 tulevat SNMP-kyselyt ohjataan johonkin sisäverkon IP-osoitteeseen, jota yksikään laite ei käytä. Samalla kannattaa tarkistaa muutkin ominaisuudet, joita et tarvitse.

Lisätietoa

• Kotireitittimet palvelunestohyökkäyksissä
  • Attackers increasingly abuse insecure routers and other home devices for DDoS attacks, 18.8.2015
  • DDoS attacks using SNMP amplification on the rise, 23.5.2015
  • Part 1: Is your home network unwittingly contributing to NTP DDOS attacks?, 17.8.2014
  • Part 2: Is your home network unwittingly contributing to NTP DDOS attacks?, 19.8.2014
  • 24 Million Home Routers and ISPs Open to DNS DDoS Amplification Attacks, 2.4.2014
• Peilatut palvelunestohyökkäykset ja amplifikaatiohyökkäykset yleisesti
  • UDP-Based Amplification Attacks, US-CERT
  • Tietoturva nyt! Peilatut palvelunestohyökkäykset edelleen internetin riesana, 10.02.2014
  • Tietoturva nyt! NTP-palvelimia käytetty hajautetuissa palvelunestohyökkäyksissä, 30.12.2013
•  
  • Tietoturva nyt! Viestintävirasto suosittelee Chargen-protokollan suodattamista viimeaikaisten palvelunestohyökkäysten vuoksi, 7.10.2013
• Tietoturva nyt! Heikosti ylläpidetyt kotireitittimet ovat verkkorikollisten kohteena - osa 1, 12.10.2015

Taustatietoa kotireitittimen konfigurointiin

Laajakaistamodeemien, WLAN-tukiasemien ja muiden kotireitittimien tietoturvaan tulee kiinnittää huomiota, sillä ne voidaan valjastaa helposti osaksi palvelunestohyökkäystä. Turvattomiin kotireitittimiin pesiytynyt haittaohjelma voi myös ohjata käyttäjänsä haitallisille nettisivuille tai louhia reitittimen avulla bitcoineja. Useiden laitteiden asetukset on kuitenkin mahdollista säätää oletusasetuksia turvallisemmiksi. Viimeistään kotireitittimen uudelleenkäynnistys poistaa sinne päässeet haittaohjelmat.

Kotireitittimien tietoturvaa koskevan artikkelin ensimmäisessä osassa tarkastellaan oletussalasanojen ja haavoittuvuuksien aiheuttamia ongelmia. Lisäksi kerrotaan vinkkejä kotireitittimien tietoturvallisiin asetuksiin.
 

Kotireititin voi osallistua palvelunestohyökkäykseen

Useissa kotireitittimissä on valitettavasti monia tietoturvaongelmia, joita hyödyntämällä on mahdollista esimerkiksi murtautua laitteeseen, valjastaa se brute force -murtoyrityksiin tai osaksi hajautettua palvelunestohyökkäystä (DDoS). Jotkin haittaohjelmat liittävät kotireitittimen osaksi roskapostia lähettävää bottiverkkoa tai louhivat hyökkääjälle bitcoineja. DNS-asetuksia muokkaavat reititinhaittaohjelmat puolestaan ohjaavat käyttäjänsä tietojenkalastelusivuille tai lisäävät näytettäville sivuille ylimääräisiä mainoksia.

Kotireitittimiä ovat muun muassa laajakaistamodeemit, kaapelimodeemit ja WLAN-tukiasemat. Myös WLAN-tukiasema voi näkyä internetiin, jos laajakaistamodeemi on siltaava. Kaikkiaan laitteiden kirjo on laaja, sillä käytössä on sekä operaattoreiden tarjoamia että kuluttajien itse ostamia laitteita.

Haavoittuvuus tai oletussalasana avaa pääsyn laitteeseen

Kotireitittimiä ylläpidetään tyypillisesti www-käyttöliittymästä, johon kirjaudutaan käyttäjätunnuksella sekä salasanalla. Käyttöliittymään tulisi päästä käsiksi ainoastaan sisäverkosta. Jos laitteessa on kytketty päälle etähallinta (remote administration), käyttöliittymä on saavutettavissa myös julkisesta verkosta.

Haittaohjelma voi tarttua sisäverkonkin kautta, jos esimerkiksi klikataan sähköpostissa tai verkkosivulla olevaa haitallista linkkiä, joka lähettää haavoittuvuutta hyödyntävän HTTP-pyynnön kotireitittimelle. Tällä tavoin onnistutaan esimerkiksi muokkaamaan laitteiden DNS-asetuksia, jolloin laitteet voivat ohjata käyttäjänsä väärennetyille tietoja kalasteleville sivustoille tai näyttää sivujen yhteydessä haitallisia mainoksia. Vastaavantyyppinen autentikoinnin ohittava haavoittuvuus on löytynyt vastikään useista Netgear-laitteista.

Oletussalasanojen lisäksi tiettyihin kotireitittimiin valmistaja on jättänyt ylimääräisiä käyttäjätunnuksia, joita oma hallintaliittymä ei näytä. Jos rikollinen on saanut nämä tunnukset selville, laitteelle pääsy on mahdollista myös tällä tavoin.

Kotireitittimen ohjelmisto tulee pitää ajan tasalla

Kotireitittimet ovat sulautettuja järjestelmiä, jotka sisältävät pienitehoisille laitteille suunnitellun käyttöjärjestelmän. Myös näissä käyttöjärjestelmissä ja sovelluksissa on haavoittuvuuksia, joiden avulla toisen on mahdollista ottaa laite haltuunsa ja asentaa siihen haittaohjelmia. Tämän vuoksi laitteen ohjelmisto (firmware) kannattaa päivittää. Usein päivitykset sisältävät myös toiminnallisia parannuksia.

Uudelleenkäynnistys voi auttaa

Useimmat kotireitittimiin päässeet haittaohjelmat poistuvat laitteen muistista siinä vaiheessa, kun laitteesta katkaistaan virta. Näin kannattaa toimia esimerkiksi silloin, jos oma verkkoliikenne vaikuttaa hidastuvan.

Jos haittaohjelma on muokannut laitteen asetuksia, voi olla parasta palauttaa laite tehdasasetuksiin ja sitten päivittää se uusimpaan ohjelmistoversioon.

Näin tarkistat ja suojaat kotireitittimesi

1. Päivitä kotireitittimen ohjelmisto eli firmware.
   • Usein päivitysten saatavuuden voi tarkistaa laitteen selainpohjaisesta hallintaliittymästä. Osa laitteista osaa hakea uuden version itse.
   • Osalla operaattoreista laajakaistamodeemit päivitetään automaattisesti. Näiden laitteiden ohjelmistoa ei tule päivittää itse.
   • Päivitysten saatavuuden voi tarkistaa myös valmistajan kotisivuilta. Päivitys ladataan valmistajan kotisivuilta ja päivitetään laitteeseen selainpohjaisen hallintaliittymän kautta.
   • Huomioi, että päivityksen jälkeen voit joutua palauttamaan yhteysasetukset takaisin itse, jotta internet-liittymä toimisi normaalisti. Operaattorin ohjeet yhteysasetuksiin kannattaa olla valmiina tätä varten.
      
2. Jos laitteeseen ei ole saatavilla päivitystä ja se on kovin vanha, laite kannattaa vaihtaa uudempaan.
    
3. Vaihda oletussalasanat uusiin ja turvallisempiin.
   • Monissa laitteissa on helposti arvattava oletussalasana, joita on listattu internetissä. Salasana on syytä vaihtaa uuteen, jotta ulkopuoliset eivät pääse kirjautumaan laitteeseen.
      
4. Estä laitteen etähallinta (remote management) internetistä.
   • Laitteesta ja käyttöliittymän kielestä riippuu, löytyykö asetus esimerkiksi nimellä "remote management", "remote access" tai "etähallinta".
      
5. Poista käytöstä ominaisuudet, joita et tarvitse.
   • Internetiin avoimena olevia kotireitittimen lisäominaisuuksia hyödynnetään hajautettujen palvelunestohyökkäysten tekemiseen. Kotireitittimen käyttämättömät lisäominaisuudet kannattaakin kytkeä pois käytöstä. Tarkasta ainakin UPnP, SNMP, SSDP, NetBIOS, NTP, multicast DNS (mDNS) ja RIPv1.
   • Joissakin laitteissa lisäominaisuudet on mahdollista kytkeä päälle vain sisäverkon suuntaan. Tämä parantaa laitteen turvallisuutta, koska lisäominaisuuksiin ei tällöin pääse käsiksi internetistä. Yleensä lisäominaisuudet pitää kuitenkin kytkeä kokonaan pois päältä.
   • Jos lisäominaisuus on toteutettu turvattomasti, laitteeseen voi päästä luvattomasti. Esimerkiksi UPnP voi tehdä mahdolliseksi sen, että kotiverkossa oleva haittaohjelma pääsee muokkaamaan reitittimen asetuksia.
      
6. Katkaise virta kotireitittimestä poistaaksesi sinne mahdollisesti pesiytyneet haittaohjelmat.
   • Laitteiden pysyväismuistiin ei ole yleensä mahdollista kirjoittaa, joten useimmat haittaohjelmat katoavat uudelleenkäynnistyksen myötä.
      
7. Tarkista kotireitittimesi nimipalvelinasetukset (DNS) luvattomien muokkausten varalta.
   • Useimmiten asetuksissa on oman operaattorisi DNS-palvelimen osoite. Asetukset on yleensä kerrottu operaattorin kotisivuilla tai laitteen mukana tulleissa ohjeissa.
   • Voit myös käyttää F-Securen Router Checker -työkalua osoitteessa https://campaigns.f-secure.com/router-checker/.

Yksityiskohtaisemmat ohjeet riippuvat käyttämästäsi laitteesta. Käyttöohjeet tulevat yleensä laitteen mukana. Tämän lisäksi ohjeita voi hakea laitevalmistajan tai operaattorin kotisivulta tai asiakastuesta. Tarvittaessa voit pyytää jotain tuttua tai tietokonetukipalvelua tarjoavaa yritystä auttamaan.

• DNA:n asiakastuen ohjeet laajakaistamodeemeihin
• Elisan asiakastuen ohjeet laajakaistamodeemeihin
• Soneran asiakastuen ohjeet laajakaistamodeemeihin

Hyökkääjä voi käyttää kotireititintä haitallisiin tarkoituksiin myös tiettyjä yhteydettömiä UDP-pohjaisia tietoliikenneprotokollia hyödyntämällä, jolloin laitteeseen ei tarvitse murtautua. Tällöin laitteen tietoturvallisten asetusten merkitys korostuu. UDP-pohjaisista palvelunestohyökkäyksistä kerrotaan enemmän tämän artikkelin toisessa osassa.

Sanasto

• DDoS: Distributed Denial of Service. Hajautettu palvelunestohyökkäys.
• DNS: Domain Name System. Nimipalvelu, jonka avulla verkkotunnus (esim. kyberturvallisuuskeskus.fi) voidaan muuttaa IP-osoitteeksi.
• HTTP: HyperText Transfer Protocol. Tiedonsiirtoprotokolla, jonka avulla välitetään muun muassa www-sivuja.
• NetBIOS: Network Basic Input Output System. Lähiverkon palveluiden toteuttamiseen käytetty ohjelmarajapinta.
• NTP: Network Time Protocol. Internetissä kellonajan synkronointiin tarkoitettu protokolla.
• mDNS: Multicast Domain Name System. Nimipalveluprotokolla verkkoihin, joissa ei ole omaa nimipalvelinta.
• RIPv1: Routing Information Protocol version 1. Reititysprotokolla.
• SSDP: Simple Service Discovery. Tietoliikenneprotokolla, joka mahdollistaa laitteiden ja palveluiden etsimisen lähiverkosta.
• SNMPv2: Simple Network Management Protocol version 2. Verkkolaitteiden hallintaan käytetty protokolla.
• UDP: User Datagram Protocol. Tietoliikenneprotokolla, joka ei vaadi yhteyden avausta tietokoneiden välillä ennen liikenteen lähettämistä.
• UPnP: Universal Plug and Play. Joukko protokollia, jotka tekevät mahdolliseksi sen, että laitteet voivat löytää toisensa lähiverkossa ja jakaa esimerkiksi mediatiedostoja keskenään.
• WLAN: Wireless Local Area Network. Langaton lähiverkko.

Lisätietoa

• 12 million home and business routers vulnerable to critical hijacking hack, 18.12.2014
• How to Check Your Router for Malware, 31.8.2015
• Linux-Targeting Malware Sets Up Proxies on Infected Machines, 3.10.2015
• DNS Changer Malware Sets Sights on Home Routers, 28.5.2015

Angler Exploit Kit -hyökkäysohjelmiston käyttö haittaohjelmien tartuttamiseen Windows-tietokoneisiin ei ota laantuakseen. Päivittämättömän Flash-selainliitännäisen käyttäjät lataavat haittaohjelmia joka päivä.

Kyberturvallisuuskeskus julkaisee Angler Exploit Kit -hyökkäysalustasta kaksiosaisen artikkelin. Ensimmäisessä osassa keskitytään verkkosivuilla näytettävien mainosten yhteydessä leviäviin haittaohjelmiin.

Viestintäviraston Kyberturvallisuuskeskus tiedotti exploit kit -hyökkäysohjelmistoista viimeksi heinäkuussa , kun Hacking Team -tietomurrossa paljastuneita Flash-haavoittuvuuksia hyödynnettiin Angler Exploit Kitissä välittömästi. Myös uudet Windows-haavoittuvuudet, joihin päivitykset julkaistiin tällä viikolla, on jo otettu käyttöön Angler Exploit Kit -hyökkäysalustassa. Tällöin tartunnat tapahtuivat tyypillisimmin murrettujen www-sivujen kautta.

Haittaohjelmat voivat levitä myös luotetuilla sivustoilla näytettävien mainosten yhteydessä ilman, että sivustoa on murrettu. Vastikään on havaittu laajamittainen "malvertising"-kampanja, jossa hyökkääjät esiintyivät mainostajina ja onnistuivat liittämään tunnettuihin mainosalustoihin omia, haitallista sisältöä tarjoavia mainospalvelimiaan.

Verkkomainostaja voi tietämättään ohjata käyttäjän pahuuteen

Toinen haittaohjelmien leviämisreitti on verkkosivuilla näytettävät mainokset. Tästä käytetään termiä malvertising (= malware + advertising). Usein haitallinen linkki, skripti tai Flash-tiedosto on mukana suoraan mainoksessa.

Malwarebytes-blogissa uutisoitiin syyskuun puolessa välissä ovelasta malvertising-kampanjasta, joka kosketti useita tunnettuja mainosverkkoja ja siten peräti kymmeniä miljoonia käyttäjiä lähes kolmen viikon ajan. Mainokset itsessään eivät kuitenkaan olleet saastuneita, joten haittaliikennettä oli hankala havaita.

Haittakoodin levittäjät esiintyivät asianmukaisina mainostajina ja rekisteröityivät useisiin tunnettuihin mainosverkkoihin, kuten DoubleClick tai AppNexus, joiden mainoksia näytetään tunnetuilla verkkosivuilla kuten ebay.co.uk tai answers.com. Ongelmana oli se, että mainokset ladattiin hyökkääjän palvelimelta.

Palvelimelta ladattiin skripti, joka näytti varsinaisen mainoksen ja sen lisäksi ohjasi käyttäjän selaimen taustalla toiselle sivulle, joka edelleen ohjaa selaimen varsinaiselle hyökkäysohjelmiston sisältävälle www-palvelimelle. Monessa tapauksessa hyödynnettiin lisäksi lyhennettyjä URL-osoitteita, joka vaikeuttaa epäilyttävän toiminnan huomaamista entisestään.

Tyypillisin seuraus on kiristyshaittaohjelma

Haittaohjelmatartunta Windows-ympäristössä voi tapahtua ilman, että käyttäjä klikkaa mitään epäilyttävää. Haitallisille mainoksille altistunut käyttäjä ohjataan sivulle ujutetun haittakoodin avulla varsinaisen hyökkäysohjelmiston sisältävälle www-palvelimelle, josta koneelle latautuu haitallinen Flash-tiedosto. Jos selain ja sen liitännäiset ovat ajantasaiset, haittaohjelman tie tyssää tähän. Sen sijaan esimerkiksi vanhentunutta Flash-liitännäistä käyttäville latautuu tyypillisesti tiedostoja salaava kiristyshaittaohjelma, kuten AlphaCrypt, TeslaCrypt tai jokin Cryptowall-variantti. Tartunta voi tapahtua myös Internet Explorerin tai Adobe Readerin haavoittuvuuksia hyödyntämällä.

Näin suojaudut

1. Asenna Windows-käyttöjärjestelmän ja sen ohjelmistojen päivitykset. Käytä automaattipäivitystä, mikäli mahdollista. Jos tietokone pyydetään käynnistämään uudestaan päivityksen yhteydessä, tee se myös.
2. Tarkista, että selain ja sen liitännäiset päivittyvät. Päivitys on yleensä automaattinen, kunhan kone on yhteydessä verkkoon.
   • Erityisen tarkkana tulee olla Flash- ja SilverLight-liitännäisten kanssa
   • Käyttämäsi Flash Player -version voit tarkistaa Adoben tarkastussivulta.
   • Muista tarkistaa kaikki käyttämäsi selaimet (Internet Explorer, Firefox, Chrome, Opera, Safari, jne.).
   • Käyttämäsi selaimen ja sen liitännäisten version ja ajantasaisuuden voit tarkistaa myös verkkosivun https://www.whatismybrowser.com/ avulla. Osa tunnistuksista vaatii JavaScriptin sallimisen toimiakseen.
3. Käytä selainliitännäisiä, jotka estävät skriptejä (esimerkiksi ScriptDefender ja NoSript). Voit sallia skriptit esimerkiksi verkkopankkiin ja muille sivustoille, joita käytät usein.
4. Käytä selaimen Click to Play -ominaisuutta, jolloin liitännäiset eivät käynnisty automaattisesti.
   • Uusimmissa Chrome-selaimessa tämä on oletusarvoista. Asetus on suositeltavaa ottaa käyttöön myös muissa selaimissa.
5. Käytä virustorjuntaohjelmistoa ja pidä myös se ajan tasalla.
6. Ota varmuuskopiot säännöllisesti sekä omalta tietokoneeltasi että verkkolevyiltä. Säilytä varmuuskopiot eri paikassa.

Angler Exploit Kit -hyökkäysohjelmiston käyttöä koskevan artikkelin seuraavassa osassa keskitytään päivittämättömien tai huonosti suojattujen julkaisujärjestelmien avulla murrettuihin www-sivuihin. Myös tällä tavoin altistetaan lukuisia käyttäjiä haittaohjelmatartunnoille.

Lisätietoa

• Tietoturva nyt! Tuore haavoittuvuus ja exploit kit -hyökkäysohjelmistot ovat vaarallinen yhdistelmä, 9.7.2015

• Angler Exploit Kit Strikes on MSN.com via Malvertising Campaign, Malwarebytes 27.8.2015
• Large Malvertising Campaign Goes (Almost) Undetected, Malwarebytes 14.9.2015