W środowy wieczór w całej Polsce doszło do częstszych niż zwykle prób przejęcia kontroli nad routerami WiFi. Problem dotyczyć może większości operatorów udostępniających internet w standardzie ADSL.
Pierwsi prawdziwe problemy odczuli użytkownicy sieci Orange, którzy masowo zgłaszali na infolinii brak internetu. Okazuje się jednak, że stało się tak na skutek działań operatora, który podjął decyzję o odcięciu części swoich klientów po to, by uchronić ich przed działaniem cyberprzestępców. Zablokowanie serwerów DNS sprawia, że użytkownik nie zaloguje się np. na stronę banku (musiałby wywołać adres IP, np. mBank znajduje się pod adresem 193.41.230.73).
Powód? Masowe włamania na routery. Technicznie rzecz biorąc Orange zablokował dostęp do "złych" serwerów DNS. Wszystkie osoby, u których cyberprzestępcy przestawili adresy DNS w routerze zostali więc faktycznie odcięci od sieci.
Serwis Niebezpiecznik.pl , który opublikował tę informację w środowy wieczór, ostrzega:
Uwaga! Poniższy problem dotyczy wszystkich polskich dostawców internetu, a nie tylko Orange i posiadaczy modemów ADSL! TL;DR: trwają masowe ataki na posiadaczy routerów wifi, jak na razie tylko Orange zareagowało.
Co robić?
Po pierwsze, upewnijcie się, że wasze routery nie wykorzystują któregoś z poniższych serwerów DNS:
5.45.75.36
5.45.75.11
95.211.241.94
95.211.205.5
95.211.156.101
37.252.127.83
69.85.88.100
62.113.218.106
Można to zrobić na dwa sposoby: wywołać komendę "CMD" i wyświetlić konfigurację karty sieciowej (Start -> Uruchom -> cmd.exe -> ipconfig /all). Bezpieczniej jest jednak spojrzeć na ustawienia w routerze- trzeba się do niego zalogować. Najczęściej to adres 192.168.1.1 lub podobny, nazwa użytkownika i domyślne hasło znajdują się w instrukcji obsługi. W zakładce WAN należy sprawdzić zawartość pola DNS.
Niebezpiecznik.pl wyjaśnia dlaczego to takie ważne:
Atakujący mogą bowiem podstawić fałszywe DNS-y na routerze zarówno w konfiguracji DHCP dla użytkowników sieci lokalnej (i wtedy je wykryjecie powyższą metodą) jak i zdefiniować je w konfiguracji połączenia WAN routera (wtedy mimo, że to adres IP routera pojawi się jako DNS na komputerze, to i tak będziecie podatni na atak, bo router będzie forwardował zapytania do serwerów przestępców)
Dla bezpieczeństwa można wpisać ręcznie adresy serwerów Google: 8.8.8.8 i 8.8.4.4. Można też zapoznać się z tym opracowaniem .
O tym, jak niebezpieczne może być podmienienie przez cyberprzestępców adresu DNS pisaliśmy dwa dni temu.
źródło: Okazje.info
