Quase todo mundo tem um roteador Wi-Fi em casa e no local de trabalho. O Wi-Fi está em todo lugar e é como a maioria dos dispositivos pessoais se conecta à Internet: um roteador Wi-Fi é conectado a um gateway de Internet e suas consultas e mensagens são enviadas rapidamente. Como detalhado em um relatório recente, no entanto, há uma boa chance de alguém sequestrar esse roteador Wi-Fi, graças a um novo exploit que o torna bonito simples de configurar um servidor proxy dentro de uma rede Wi-Fi protegida e fazer com que ele passe o tráfego da Internet de quase qualquer fonte. Em outras palavras, temos um tipo totalmente novo de botnet com que nos preocupar.
Como funciona
UPnP (Universal Plug and Play) é um protocolo que facilita a conexão e a comunicação de um dispositivo com outro. É antigo e provou-se que não é seguro muitas vezes, mas como foi projetado para ser usado dentro de uma rede protegida, ninguém deu muita atenção a ele. O novo exploit pode expor um soquete UPnP em uma conexão de internet para o mundo exterior, então uma pessoa habilidosa com o direito script pode se conectar e, em seguida, injetar uma tabela de conversão de endereço de rede (NAT) e criar um servidor proxy que qualquer outro dispositivo pode usar.
O UPnP não é seguro e está desatualizado, mas não deve ser usado na Internet, portanto ninguém se importa.
Isso funciona como qualquer outro servidor proxy, o que significa que é quase como uma VPN. O tráfego enviado ao proxy pode ser encaminhado e, ao chegar ao destino, a origem fica oculta. O NAT que é injetado pode ser modificado para enviar qualquer tráfego a qualquer lugar e, a menos que você tenha as ferramentas certas e esteja procurando ativamente por ele, você nunca saberia se ele estava sendo executado em seu rede.
A pior parte de tudo é a lista de roteadores consumidores afetados. Está enorme, com quase todas as empresas e seus produtos mais populares. É tão longo que não vamos copiá-lo aqui e, em vez disso, direcioná-lo para A apresentação .pdf maravilhosamente montada de Akami.
Quão ruim é isso?
O céu não está caindo. É ruim, mas como precisa consultar informações em um soquete de Internet aberto várias vezes de maneiras diferentes e, em seguida, colocar as informações certas na carga útil, não vai se espalhar sem verificação. Claro, isso mudaria se alguém fosse capaz de automatizar o processo e deveria se tornar auto-replicando e um bot pode atacar uma rede para instalar outro bot, as coisas ficariam muito feias muito rápido.
Bots são ruins. Um exército deles pode destruir quase tudo.
Um botnet é um grupo de pequenos servidores instalados em redes separadas. Esses pequenos servidores são chamados de bots e podem ser programados para aceitar quase qualquer comando e tentar executá-lo localmente ou tentar executá-lo em um servidor remoto diferente. Os botnets são ruins não pelo que fazem, mas pelo que podem permitir que outras máquinas façam. O pequeno tráfego de um bot conectado à sua casa é imperceptível e não afeta sua rede de forma real, mas com os comandos certos você pode ter um exército de bots fazendo as coisas como senhas de contas de phishing ou números de cartão de crédito, ataque a outros servidores por meio de inundação de DDoS, distribuição de malware ou até mesmo ataque de força bruta a uma rede para obter acesso e administrador ao controle. Um bot também pode ser comandado para tentar qualquer uma ou todas essas coisas no seu rede em vez de uma rede remota. Botnets são ruins. Muito mal.
O que eu posso fazer?
Se você é um engenheiro de rede ou do tipo hacker, pode auditar as tabelas NAT em sua rede local e ver se algo foi alterado. Se não estiver, você está meio preso e só pode esperar que não tenha um bot desagradável mudando a forma como o tráfego é roteado pela rede para a Internet. Esse tipo de conselho não é muito útil, mas não há realmente nada mais que um consumidor possa fazer aqui.
Você precisa de um roteador de uma empresa que corrigirá isso de forma rápida e automática.
Seu ISP, por outro lado, pode eliminar essa exploração específica pela raiz, recusando o tipo de tráfego destinado às comunicações de rede interna. Se isso se tornar um problema sério, espero que isso aconteça. Isso é bom - seu ISP deve estar filtrando esse tráfego de qualquer maneira.
O cenário mais provável é que a empresa que fez seu roteador prepare uma atualização que o elimine de alguma forma. Se você tem um roteador que atualiza automaticamente, você estará pronto para continuar, mas muitos roteadores exigem você para iniciar manualmente quaisquer atualizações e há muitas pessoas que não têm ideia de como fazer esta.
Mais: Eu realmente preciso de uma rede mesh?
Isso é por que Google Wifi é um ótimo produto. Ele não está listado como afetado por este exploit (embora isso possa mudar) e se fosse, um patch logo estaria a caminho e se instalaria automaticamente sem você ter que se preocupar com isso. Ou mesmo saber sobre isso. Existem pessoas que não fazem nada além de procurar façanhas como essa. Alguns são pesquisadores pagos que fazem isso para nos deixar mais seguros, mas outros fazem isso para que possam usá-los. Produtos de rede que vêm de uma empresa que é proativa quando pode e reage rapidamente quando não pode, são uma obrigação hoje em dia. O Google está de volta aqui.
Veja na Best Buy