Pytanie:
Zakup „używanego” routera
GWR
2019-02-19 23:23:47 UTC
view on stackexchange narkive permalink

Kupuję „nowy” router z wyprzedaży w firmie zajmującej się likwidacją zwrotów z handlu elektronicznego. Zaplanuj użycie go w sieci domowej w domku.

Trochę się denerwuję, że mógł go zmodyfikować ten, kto miał go ostatnio.

  1. Jakie są główne ryzyko w tym scenariuszu?
  2. Jakie konkretne kroki należy podjąć przed i podczas konfiguracji nowego routera, do którego ktoś inny mógł mieć dostęp w przeszłości?

Zaktualizować : Model urządzenia to router TP-Link AC4500 (archer).

@R .. Kupowanie towarów używanych to nie tylko oszczędność pieniędzy
Odpowiedzi dotyczą głównie oprogramowania układowego.Może istnieć niestandardowe oprogramowanie układowe, które może być szkodliwe, ale można je naprawić, przywracając ustawienia fabryczne lub instalując najnowsze oprogramowanie od producenta.Ale jak można być pewnym, że nie ma zmian sprzętowych?Nie sądzę, że odczytanie lub modyfikacja ruchu zajmuje niewiele czasu.Ponadto, jeśli zamierzasz pobrać i zainstalować nowe oprogramowanie sprzętowe, musisz je najpierw podłączyć, czy nie jesteś już zagrożony?Nigdy nie kupiłbym niczego poza nietkniętymi routerami.
@Kapten-N oczywiście nikt nie zmusza cię do pobierania takiego oprogramowania za pomocą tego konkretnego przełącznika.Można to zrobić w pracy (jeśli pozwala na to polityka firmy), kafejce internetowej, darmowym Wi-Fi, telefonie komórkowym i tak dalej.Reszta komentarza wygląda jak osobne pytanie.
@Mołot Musisz być nadal z nim połączony i zasilać go podczas instalacji.Kto wie, że to urządzenie wie?Uszkodzone urządzenie może zainfekować inne urządzenia, z którymi jest połączone.
Po prostu sprawdź wyrównanie i kup do niego wszystkie nowe bity.
Czasami nie można nawet ufać nowym routerom: [Zdjęcia fabryki „modernizacji” NSA pokazują, że router Cisco otrzymuje implant] (https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant /).
@user2390246 W przypadku routera, jaki inny * możliwy * powód mógłbyś mieć?Chodzi mi o to, że może gdybyś chciał jednego konkretnego modelu, który nie jest już produkowany, ale wydaje się to bardzo ekstremalnym i nietypowym przypadkiem użycia, i prawdopodobnie nadal możesz znaleźć go gdzieś nowy.
@only_pro Zmniejszanie ilości odpadów
@user2390246 Lol.Skoro tak mówisz...
Jeśli się martwisz, nie rób tego.Możesz ryzykować, że ktoś będzie miał dostęp do sieci IT Twojej chaty.
Jeśli sprzedam używany router z dodatkowym zerowym RPI w środku, czy przywrócenie ustawień fabrycznych nadal działa?;-P
Dziewięć odpowiedzi:
ThoriumBR
2019-02-19 23:57:47 UTC
view on stackexchange narkive permalink

Krótka odpowiedź: przywróć ustawienia fabryczne, zaktualizuj oprogramowanie sprzętowe i gotowe.

Ryzyko jest bardzo niskie, na granicy zera. Poprzedni właściciel mógł zainstalować własne oprogramowanie lub zmienić jego konfigurację, ale aktualizacja oprogramowania i przywrócenie ustawień fabrycznych wystarczą, aby zająć się prawie każdą zmianą.

Ryzyko, że poprzedni właściciel majstrował przy routerze i jego zmiany mogą przetrwać nawet aktualizację oprogramowania układowego, a przywrócenie ustawień fabrycznych jest znikome.

Więc nie martw się, chyba że jesteś osobą o szczególnych zainteresowaniach : pracujesz nad ściśle tajnymi rzeczami lub mają uprzywilejowane informacje finansowe dotyczące dużego przedsiębiorstwa. Ale ponieważ kupujesz używany router, założę się, że jesteś zwykłym facetem i nie byłbyś celem tych ataków.

Czy większość ludzi na stackoverflow / serverfault nie byłaby osobami, które ich interesują?Tworzą oprogramowanie, które jest wdrażane w wielu miejscach lub zarządzają systemami dla korporacji.Mimo wszystko zgadzam się z twoją odpowiedzią, że „ryzyko jest bardzo niskie, na granicy zera”, ale kategoria „osoby szczególnego zainteresowania” jest szersza, niż się ludziom wydaje.Wiadomo, że agencje wywiadowcze atakują w szczególności administratorów systemów.Jako konsultant ds. Bezpieczeństwa, który zna luki w zabezpieczeniach, zanim zostaną one naprawione, mogę sobie wyobrazić, jakie zainteresowanie mógłbym przyciągnąć, i chłopcze, czy czuję się zwyczajnie w porównaniu z interesującymi ludźmi na tej stronie.
Zła organizacja musiałaby przewidzieć, kiedy kupię router, przewidzieć, jaką markę / model kupię, gdzie kupię, pójdę tam wcześniej, kupić wszystkie routery na miejscu, umieścić backdoora na każdym z nich, zwrócićkażdy i poczekaj, aż kupię uszkodzony router.Myślę, że nie jest to prawdopodobne ...
Możliwe, ale tak nieprawdopodobne, że można to odrzucić.O rząd wielkości łatwiej jest po prostu wykorzystać dzień zerowy na routerze, który obecnie mam ...
@ [.] (//) ThoriumBR Masz rację.Nie zastanawiałem się, ile to będzie pracy: nawet jeśli jesteśmy ogólnie interesującymi celami, to się nie skaluje.
Zaufaj mi, nie jesteś taki interesujący.
Weź również pod uwagę hałas.Jeśli Zły Org nie może kontrolować, kto dostanie te zhakowane routery, skończy z ogromnym hałasem.Najlepiej po prostu porwać cię i uderzyć kluczem za 5 $, aż rozlejesz fasolę, jeśli w ogóle ich to obchodzi.
@Nelson masz na myśli https://xkcd.com/538/?
Nie jesteś taki interesujący.Zła Organizacja również się tym nie przejmuje, po prostu chce mieć dostęp do masowego hakowania przypadkowych ludzi, kupując nowe routery i odsprzedając je podając się do firmy, która likwiduje zwroty z handlu elektronicznego, wtedy jest to prawdopodobne
@Mehdi nie muszą kupować routerów i odsprzedawać później.W niektórych krajach The Evil Organization może zmusić producenta do umieszczenia backdoorów w swoich produktach i nikomu o tym nie mówić.
* „Zła organizacja musiałaby przewidzieć, kiedy kupię router, jaką markę / model kupię, gdzie kupię…” * Czy wielu ludzi nie kupuje teraz rzeczy online?Przechwycenie paczki powinno być dziecinnie proste dla złej organizacji, więc nie ma znaczenia, co kupujesz i skąd.I prawdopodobnie mogliby zrobić coś nikczemnego, aby twój istniejący router po prostu * wyglądał * był uszkodzony
Tak długo, jak zainicjujesz zakup (to znaczy nie zostaniesz namówiony; sprzedawca nie stosuje * selektywności * w tym, że jesteś klientem), prawdopodobnie nie jest to bardziej ryzykowne niż kupowanie z półki.To nie jest tak, że towarowy rynek IT jest wzorcem bezpieczeństwa.
@Xen2050, jeśli mogą sprawić, że mój router wygląda na zepsuty, oznacza to, że już go złamali ... To tak, jakby potrzebować hasła roota do zainstalowania keyloggera, który zostanie użyty do kradzieży hasła roota ...
@Xen2050 Bez wątpienia nie będziesz zaskoczony, gdy dowiesz się, że to już się dzieje: https://www.theguardian.com/books/2014/may/12/glenn-greenwald-nsa-tampers-us-internet-routers-snowden
Myślałem bardziej w kategoriach sabotowania lub blokowania dostępu do Internetu przed tobą lub subtelnego ataku, więc rozsądnym krokiem rozwiązywania problemów byłoby wypróbowanie innego routera, ale tak naprawdę nie naraził on twojego starego routera.
@James_pic Interesujące, tak też było w raporcie z 2010 roku.Prawie dokładnie to dotyczy OP, z wyjątkiem tego, że zamiast „używanego routera” jest to prawie „każdy router z innego kraju”
@hft Sam może nie jestem aż tak interesujący, ale pracuję dla ludzi, którzy _ są_ tak interesujący.
Wiele osób mówi o „złej organizacji”.Ale chodzi o to, co jeśli ktoś chce po prostu użyć routera jako bota (DDOS) lub użyć Twojej tożsamości.
@DT w tym przypadku istnieje niezliczona ilość łatwiejszych i tańszych sposobów wykorzystania systemu jako zombie lub kradzieży tożsamości.Najłatwiejszym sposobem jest phishing - przy niewielkim wysiłku można zaatakować niezliczone ofiary.Demontaż routera, modyfikacja jego sprzętu, powrót jako openbox?Jak by się skalował?
schroeder
2019-02-19 23:30:09 UTC
view on stackexchange narkive permalink

Główne ryzyko polega na tym, że oprogramowanie układowe zostało zastąpione złośliwą wersją, która może umożliwić przechwycenie całego ruchu w sieci. Hasła, wprowadzanie złośliwego oprogramowania, przekierowywanie do złośliwych witryn itp. To najgorszy scenariusz, ale łatwy do wykonania przez kogoś.

Chcesz przywrócić ustawienia fabryczne urządzenia, aby spróbować usunąć wszystko, co poprzedni właściciel mogło zostać skonfigurowane w oprogramowaniu fabrycznym.

Ale co ważniejsze, chcesz sprawdzić, czy oprogramowanie sprzętowe zostało zmienione, sprawdzając, czy obudowa została otwarta lub zmieniona i czy system operacyjny routera uległo zmianie. Ale to może nie wystarczyć. Symulacja systemu operacyjnego i strony internetowej na routerze jest łatwa.

Coś, co możesz zrobić, to wymienić oprogramowanie układowe na własne. Powinno to usunąć wszelkie złośliwe oprogramowanie układowe z urządzenia. Istnieje oprogramowanie sprzętowe typu open source, które można wykorzystać na rynku wtórnym.

co z pobieraniem nowego oprogramowania sprzętowego ze strony wsparcia routera (zamiast openWRT)?
Jeśli jest dostępny u producenta routera, powinien być preferowany!
Jasne, jeśli to możliwe.
Biorąc pod uwagę, jak powszechne ataki na routery są typowe dla uwierzytelnionego wstrzykiwania poleceń / wykonywania kodu (np. Poprzez aktualizację oprogramowania układowego lub po prostu złe kodowanie), nie jestem pewien, czy sprawdzenie sprzętu pod kątem manipulacji jest wystarczające.A jeśli napastnik majstrował przy oprogramowaniu sprzętowym, powinien być w stanie sfałszować każdą aktualizację oprogramowania układowego lub umieścić backdoora w każdym nowo zainstalowanym oprogramowaniu.W przypadku aktualizacji przez interfejs sieciowy routera powinno to być trywialne, w przypadku aktualizacji przez interfejs szeregowy lub reset oprogramowania układowego prawdopodobnie nieco trudniejsze (chociaż nie jestem pewien, o ile więcej; gdybyś mógł dodać więcej informacji na ten temat, tobyłoby wspaniale).
„... chcesz sprawdzić, czy oprogramowanie sprzętowe zostało zmienione, sprawdzając, czy obudowa została otwarta lub nie została naruszona ...” Jestem ciekawy, jakie fizyczne oznaki zobaczyłbym w etui, aby to wiedziećoprogramowanie sprzętowe (oprogramowanie) zostało w jakikolwiek sposób zmienione.Zaktualizowałem oprogramowanie na kilku routerach, a nawet zainstalowałem DD-WRT - nigdy nie otworzyłem obudowy routera i, zgodnie z moją najlepszą wiedzą, nie pozostawiło to żadnych fizycznych dowodów.Co mnie ominęło?
@FreeMan, jeśli używasz funkcji aktualizacji oprogramowania, która w przypadku naruszenia bezpieczeństwa nie jest najbezpieczniejszą drogą.Jeśli dostęp do sprzętu był bezpośredni, powinny być znaki.
W jaki sposób można ujawnić hasła, jeśli są one szyfrowane SSL na kliencie?
@Jean, jeśli router działa jako mitm, może zepsuć SSL.
@Jean proszę sprawdzić przechwycenie mtim ssl.Można to zrobić na wiele różnych sposobów i wiele zabezpieczeń przed nim.Nie zamierzam tutaj wszystkiego opisywać.
bta
2019-02-20 01:55:45 UTC
view on stackexchange narkive permalink

Zdecydowanie głównym ryzykiem przy zakupie routera z otwartą obudową jest to, że router ma pewne drobne uszkodzenia, których producent nie wykrył, ale które ostatecznie skracają żywotność urządzenia. To jeden z powodów, dla których często mają ograniczone gwarancje.

Jeśli chodzi o bezpieczeństwo, ryzyko jest znikome, jeśli przywrócisz ustawienia fabryczne i ponownie zainstalujesz oprogramowanie układowe. Powinno to ponownie zapisać wszystko w pamięci programowalnej i usunąć wszystko, co złośliwe, które mógł załadować poprzedni użytkownik. W rzeczywistości jest to najlepsza praktyka nawet dla nowych routerów. Kupowałem nowe routery wiele razy tylko po to, aby dowiedzieć się, że nadal były zaprogramowane dla tego, co wyraźnie było siecią testową w fabryce.

Utrzymujące się złośliwe oprogramowanie to coś rzeczywistego, ale nie ma się czym zbytnio martwić . W końcu „zupełnie nowy” router mógł mieć fabrycznie załadowane trwałe złośliwe oprogramowanie, więc nie jest to ryzyko, które można całkowicie ograniczyć.

Nobody
2019-02-20 16:56:44 UTC
view on stackexchange narkive permalink

Krótko mówiąc: jeśli naprawdę zależy Ci na takich rzeczach, idź do sklepu detalicznego i kup nowy router, który jest w magazynie. Ryzyko jest niewielkie, ale nie da się go łatwo złagodzić.

Mógłbym wyobrazić sobie jakiegoś dziwaka kupującego wiele routerów, zwracającego je, a następnie szpiegującego ludzi, którzy kupili je dla samego kopa. Albo oczywiście jakąś złą organizację. Z pewnością ryzyko to jest niewielkie.

Ale chciałbym wątpić w twierdzenia innych odpowiedzi o „tylko” resetowaniu routera. Jasne, ponowne flashowanie oprogramowania układowego powinno usunąć prawie wszystko, co może się na nim znajdować. Ale jak byś to zrobił? Nie możesz używać interfejsu sieciowego (to byłaby pierwsza rzecz, którą ktoś by wyłączył / sfałszował), a fizyczny przycisk prawdopodobnie również wysyła sygnał do obecnego oprogramowania układowego, że powinien się zresetować. Przesyłanie szeregowe jest również obsługiwane przez obecne oprogramowanie układowe, którego bym się spodziewał.

O ile nie zamierzasz ponownie zaktualizować oprogramowania układowego za pomocą interfejsu JTAG, który może tam być lub nie (lub coś równoważnego), jestem prawie pewien resetowanie nie jest dużo lepsze niż zaufanie, że urządzenie jest w zasadzie w porządku (oczywiście i tak powinieneś je zresetować, aby pozbyć się ustawień poprzednich właścicieli).

I nie wiem wystarczająco dużo o JTAG aby ocenić jego bezpieczeństwo, jedyne, czego jestem pewien, to to, że fałszowanie jest mniej trywialne niż interfejs / przycisk sieciowy.

"a fizyczny przycisk prawdopodobnie również wysyła sygnał do aktualnego oprogramowania" - zwykle jest przycisk resetowania, aby wejść w tryb bootloadera i załadować nowy fw.Jeśli po takiej preinstalacji GUI wyświetla nowy system, można przypuszczać, że jest on zaktualizowany.Następnie możesz dokonać drugiej ponownej instalacji.Przygotowanie specjalnego oprogramowania układowego, które może załatać dowolne możliwe alternatywne oprogramowanie w czasie flashowania i sprawić, że będzie działało i gotowe do naprawy / złamania następnej aktualizacji, będzie zbyt trudne.
Sjoerd
2019-02-20 15:49:27 UTC
view on stackexchange narkive permalink

Jakie są główne zagrożenia w tym scenariuszu?

Wiem, że nie jest to celem twojego pytania, ale moim zdaniem główne ryzyko nie jest dla ciebie, ale do poprzedniego właściciela. Są szanse, że poświadczenia poprzedniego właściciela są nadal obecne na urządzeniu. W ten sposób możesz uzyskać dostęp do konta poprzedniego właściciela. Odsprzedane urządzenia często nie są w ogóle czyszczone, pozostawiając na nich poufne informacje.

Masz na myśli loginy i hasła do witryn internetowych?Zapisane pliki cookie?Jak i gdzie routery je zapisują?
Mam na myśli konta dyndns, SMTP i ISP, które zostały wcześniej skonfigurowane w interfejsie sieciowym routera.
Sekrety IPSEC VPN lub wiedza projektowa o miejscu, w którym urządzenie zostało wcześniej wdrożone, np. Zakresach adresów IP i bramach oraz adresach serwerów czasu lub drukarek, lub o tym, jakie sieci VLAN można skonfigurować na miejscu.
jeronino
2019-02-20 19:53:40 UTC
view on stackexchange narkive permalink

Jeśli osoba atakująca zmodyfikowała oprogramowanie sprzętowe w umiarkowanie wyrafinowany sposób, jedynym sposobem, aby mieć całkowitą pewność wyczyszczenia tego oprogramowania, jest aktualizacja za pomocą jtag lub bezpośredniego zapisu w pamięci flash. Jeśli polegasz na aktualizacji oprogramowania układowego opartego na oprogramowaniu, jest to kontrolowane przez zainfekowane oprogramowanie układowe. W Internecie dostępne są samouczki, które pokazują, jak to zrobić, jeśli podlega modelowi zagrożeń. Zamiast aktualizować, możesz po prostu wyodrębnić oprogramowanie układowe za pomocą jtag / spi lub czegokolwiek i porównać je z wersją oprogramowania układowego, która jest wyświetlana jako instalowana.

Oczywiście przy modyfikacji sprzętu może być jeszcze bardziej podstępne zmiany w miejscu, które by to przetrwały, ale do tego czasu wchodzisz w królestwo TLA.

Criggie
2019-02-22 09:39:39 UTC
view on stackexchange narkive permalink

Pamiętaj, że niektóre urządzenia firmowe są skonfigurowane tak, aby wyłączyć odzyskiwanie hasła. Nie jest to rzadkie w przypadku CPE dostarczanego przez Telco, na przykład routerów Cisco. Możesz kupować przycisk do papieru lub dawcę części.

Wypatruj naklejek sugerujących, że było to urządzenie umieszczone w siedzibie Klienta, dostarczone przez duże lokalne firmy telekomunikacyjne i być może unikaj takich wpisów.

Yury Schkatula
2019-02-24 02:50:43 UTC
view on stackexchange narkive permalink

Jak rozumiem, omawiany przez nas model jest raczej niedrogi. Następnie lepiej martwić się o istniejące luki w domyślnym oprogramowaniu sprzętowym (zakodowane na stałe hasła, otwarty telnet na niestandardowym porcie itp.). Tak więc, jeśli to możliwe, po prostu zaktualizuj oprogramowanie do czegoś takiego jak DD-WRT lub inne rozwiązanie open source.

Zgoda.Ponieważ większość routerów nie otrzymuje aktualizacji, gdy wykryte zostaną ich backdoory CVE lub fabryczne, każdy starszy router jest prawdopodobnie niebezpieczny, nawet jeśli był przechowywany w szczelnym pudełku.
David Refoua
2019-02-24 11:08:32 UTC
view on stackexchange narkive permalink

Nie, żeby to było powszechne, ale dodam jeszcze jedną odpowiedź, że jestem zaskoczony, widząc, że nikt inny nie został prawidłowo wymieniony.

Musisz otworzyć router przed jego użyciem.

Jeśli widzisz coś takiego ...

... wtedy jest szansa, że ​​ktoś mógłby łatwo podsłuchać twoje pakiety Ethernet za pomocą jednego z poniższych:

Które nie jest dobrą rzeczą. Oznacza to, że cały niezabezpieczony ruch będzie widoczny dla strony trzeciej. Mogli równie łatwo podsłuchiwać pakiety WiFi.

Jeśli zauważysz jakieś dziwne okablowanie ukryte w pakiecie routera, sugeruję unikanie go. Lepiej będzie, jeśli od razu to wyrzucisz.

Nie mówię, że jest to częsta rzecz, ale dzięki tak łatwemu sprawdzeniu możesz uniknąć szpiegowania. Nigdy nie wiadomo, skąd pochodzi router.

Naruszenie routera bez implantu sprzętowego byłoby całkiem łatwe.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...