CC

Департамент кіберполіції Національної поліції України – рекомендує, як убезпечити свій домашній роутер від несанкціонованого втручання?

На сьогоднішній день переважна більшість користувачів домашніх мереж використовує Wi-Fi роутери для доступу до Інтернет, проте не менш часто Wi-Fi роутери використовуються зловмисниками для здійснення шахрайських дій. Так яким же чином убезпечити свій домашній роутер від несанкціонованого втручання?

Що зловмисник може здійснити перебуваючи у вашій Wi-Fi мережі?

1) Змінити настройки DNS-сервера. Будь-яке доменне ім’я, наприклад google.com.ua, відповідає індивідуальним IP-адресою. Сайт google.com.ua відповідає IP-адресою 74.125.232.255, і якщо ввести в браузері замість імені сайту google.com.ua IP-адреса 74.125.232.255, то завдяки DNS-сервера буде здійснено перехід на сайт google.com.ua.

Зловмисник може змінити DNS-сервер на свій власний і налаштувати, наприклад, щоб браузер при введенні сайту google.com.ua переходив на його особистий IP-адрес, в результаті чого буде здійснено перехоплення веб-трафіку або зараження вашого особистого ПК, або будь-якого пристрою , яке отримує доступ до глобальної мережі Інтернет з вашого роутера або точки доступу.

2) Наступне, що може здійснити зловмисник – це перехоплення вашої особистої інформації шляхом атаки «атака посередника» або «людина посередині» (man-in-the-middle, MitM). За допомогою такої атаки весь веб-трафік, яким за замовчуванням відправляється до Wi-Fi роутера, буде відправлений спочатку хакеру, а потім від хакера до роутера, таким чином, що Wi-Fi роутер не помітить змін. Така атака дозволяє хакеру вкрасти ваші особисті дані (логіни, паролі), переглянути ваш веб-трафік (сайти на які ви заходили) і т.д.

3) Слід зазначити, що перебуваючи у вашому особистому Wi-Fi мережі хакер може здійснювати хакерські атаки (зломи сайтів, DDOS-атаки, додавати ваші пристрої до бот-мереж, завантажувати дитячу порнографію і т.д.) та інші незаконні дії від вашого імені, оскільки Wi-Fi роутер має IP-адресу, який вам надав ваш провайдер при сплаті Інтернет послуг. Також на вашу IP-адресою будуть ідентифікуватися всі пристрої (смартфони, планшети, ноутбуки і т.д.), підключені до вашого роутеру або точки доступу в мережі Інтернет.

Департамент кіберполіції радить:

1) Приховувати назву Wi-Fi мережі.

Назва мережі або SSID (Service Set Identifier) – це ім’я, яке бачать всі навколишні при пошуку мережі. Знаючи цю назву можна підключитися до тієї чи іншої Wi-Fi мережі. За замовчуванням роутери і точки доступу показують назву мережі всім бажаючим. Назву можна відключити в розділі «настройки бездротових мереж» (Wireless Settings) вашого роутера або точки доступу. В даному розділі є опція «включити SSID» (Enable SSID) або «відключити SSID» (Disable SSID).

2) Включати шифрування.

Ця установка також знаходиться в розділі «настройки бездротових мереж» (Wireless Settings) і називається «тип шифрування» (Encryption settings). Залежно від типу роутера або точки доступу зазвичай там присутня приблизно 5 варіантів на вибір.

WEP (WIRED EQUIVALENT PRIVACY) – слабкий тип шифрування. До роутера або точки доступу з таким типом шифрування зловмисник може отримати доступ за 15 хвилин – 24 годин, в залежності від активності мережі. Не рекомендується до використання взагалі. WPS / QSS WPS, він же QSS, дозволяє клієнту підключитися до точки доступу за допомогою 8-символьного коду, що складається з цифр. У грудні 2011 Стефан Фібёк (англ. Stefan Viehböck) і Крейг Хеффнер (англ. Craig Heffner) розповіли про серйозні діри в протоколі WPS. Виявилося, що якщо в точці доступу активований WPS c PIN (який за замовчуванням включений в більшості роутерів), то підібрати PIN-код для підключення можна за лічені години. Департамент кіберполіції рекомендує відключити цю опцію.

WPA і WPA2 (WI-FI PROTECTED ACCESS) підтримують два різних режими початкової аутентифікації (перевірка пароля доступу клієнта до мережі) – PSK і Enterprise. WPA-PSK і WPA2-PSK- це найпоширеніші на сьогоднішній день варіанти шифрування для домашніх Wi-Fi мереж. Підключення до мережі здійснюється за єдиним паролю, який вводиться на пристрої при підключенні, різниця в типі шифрування, WPA-PSK – тип шифрування TKIP, WPA2-PSK – AES (посилений тип шифрування). WPA Enterprise відрізняється від WPA-PSK тим, що для використання необхідно налаштувати сервер – RADIUS (Remote Authentication Dial In User Service). По суті сервер RADIUS – це служба віддаленої аутентифікації користувачів, яка перевіряє облікові дані користувача для доступу до мережі.

3) Фільтрувати MAC-адреси.

Ще один спосіб захистити власну домашню Wi-Fi мережу – це фільтрація пристроїв по MAC-адресу. MAC-адреса – це унікальний номер (типу серійного номера) мережевий Ethernet або Wi-Fi карти. У настройки роутера або точки доступу необхідно додати MAC-адреси тих пристроїв, які будуть підключатися до вашого роутеру або точки доступу. Користувачі з MAC-адресами відмінними від тих, які вказані в налаштуваннях, які не будуть з’єднані з роутером або точкою доступу, навіть при правильному введенні пароля доступу.

У поширених моделях роутерів дана функція називається «фільтрація MAC-адрес» (MAC Filtering). В операційних системах Windows MAC-адресу можна подивитися за допомогою комбінації клавіш Windows + R і введення команди cmd, в результаті чого відкриється командний рядок Windows, в подальшому необхідно ввести ipconfig / all, далі шукаємо рядок бездротове з’єднання з мережею (wireless network connection) і копіюємо значення фізичну адресу (physical address) – це і є MAC-адресу. У системах типу Unix необхідно ввести команду ifconfig.

4) Відключати доступ до адміністрування роутера або точки доступу з глобальної мережі Інтернет.

Найчастіше Wi-Fi роутери підтримують функцію віддаленого адміністрування через інтернет. Однак для більшості користувачів немає необхідності в віддаленій налаштування Wi-Fi. Залишивши цю функцію ви створюєте додаткову точку входу, якою може скористатися зловмисник, щоб отримати доступ до вашої Wi-Fi мережі.

Департамент кіберполіції України радить при налаштуванні вашої особистої Wi-Fi мережі не використовувати стандартні параметри і користуватися цією інструкцією.

Шановні краяни! Якщо Вас ошукали, або ваші права в Інтернеті порушуються, не вагайтесь- звертайтесь до фахівців кіберполіції.

Повідомити про злочин можна тут: https://www.cybercrime.gov.ua