Cara Memeriksa Perute Anda untuk Malware
Keamanan router konsumen sangat buruk. Penyerang mengambil keuntungan dari produsen lesu dan menyerang sejumlah besar router. Berikut cara memeriksa apakah perute Anda dikompromikan.
Pasar router rumah sangat mirip dengan pasar smartphone Android. Pabrikan memproduksi sejumlah besar perangkat yang berbeda dan tidak perlu memperbarui, membiarkannya terbuka untuk diserang.
Bagaimana Router Anda Dapat Bergabung dengan Sisi Gelap
Penyerang sering berusaha mengubah pengaturan server DNS pada router Anda, mengarahkannya ke server DNS berbahaya. Saat Anda mencoba terhubung ke situs web - misalnya, situs web bank Anda - server DNS jahat memberitahu Anda untuk pergi ke situs phishing. Itu mungkin masih mengatakan bankofamerica.com di bilah alamat Anda, tetapi Anda akan berada di situs phishing. Server DNS jahat tidak selalu menanggapi semua permintaan. Ini mungkin hanya batas waktu pada sebagian besar permintaan dan kemudian mengarahkan pertanyaan ke server DNS default ISP Anda. Permintaan DNS yang sangat lambat adalah tanda Anda mungkin memiliki infeksi.
Orang-orang yang bermata tajam mungkin memperhatikan bahwa situs phishing semacam itu tidak akan memiliki enkripsi HTTPS, tetapi banyak orang tidak akan melihatnya. Serangan stripping SSL bahkan dapat menghapus enkripsi dalam perjalanan.
Penyerang juga dapat menyuntikkan iklan, mengarahkan kembali hasil pencarian, atau mencoba untuk menginstal unduhan drive-by. Mereka dapat menangkap permintaan untuk Google Analytics atau skrip lain hampir setiap penggunaan situs web dan mengarahkan mereka ke server yang menyediakan skrip yang malah menyuntikkan iklan. Jika Anda melihat iklan porno di situs web yang sah seperti How-To Geek atau New York Times, Anda hampir pasti terinfeksi sesuatu - baik di perute atau komputer Anda sendiri.
Banyak serangan yang memanfaatkan serangan pemalsuan permintaan lintas situs (CSRF). Seorang penyerang menanamkan JavaScript jahat ke halaman web, dan bahwa JavaScript berupaya memuat halaman administrasi berbasis web router dan mengubah pengaturan. Saat JavaScript berjalan di perangkat di dalam jaringan lokal Anda, kode ini dapat mengakses antarmuka web yang hanya tersedia di dalam jaringan Anda.
Beberapa router mungkin memiliki antarmuka administrasi jarak jauh yang diaktifkan bersama dengan nama pengguna dan kata sandi default - bot dapat memindai router tersebut di Internet dan mendapatkan akses. Eksploitasi lain dapat memanfaatkan masalah router lainnya. UPnP tampaknya rentan pada banyak router, misalnya.
Cara Memeriksa
Satu tanda bahwa router telah dikompromikan adalah bahwa server DNS-nya telah diubah. Anda akan ingin mengunjungi antarmuka berbasis web router Anda dan memeriksa pengaturan server DNS-nya.
Pertama, Anda harus mengakses halaman pengaturan berbasis web router Anda. Periksa alamat gateway koneksi jaringan Anda atau lihat dokumentasi router Anda untuk mengetahui caranya.
Masuk dengan nama pengguna dan kata sandi router Anda, jika perlu. Cari pengaturan "DNS" di suatu tempat, sering kali di layar WAN atau pengaturan koneksi Internet. Jika diatur ke "Otomatis," tidak apa-apa - itu mendapatkannya dari ISP Anda. Jika diatur ke "Manual" dan ada server DNS khusus yang dimasukkan di sana, itu bisa menjadi masalah.
Tidak masalah jika Anda telah mengkonfigurasi router Anda untuk menggunakan server DNS alternatif yang baik - misalnya, 8.8.8.8 dan 8.8.4.4 untuk Google DNS atau 208.67.222.222 dan 208.67.220.220 untuk OpenDNS. Tetapi, jika ada server DNS di sana yang tidak Anda kenali, itu pertanda malware telah mengubah router Anda untuk menggunakan server DNS. Jika ragu, lakukan pencarian web untuk alamat server DNS dan lihat apakah alamat tersebut sah atau tidak. Sesuatu seperti "0.0.0.0" baik-baik saja dan seringkali hanya berarti bidang itu kosong dan router secara otomatis mendapatkan server DNS.
Para ahli menyarankan untuk memeriksa pengaturan ini sesekali untuk melihat apakah router Anda telah dikompromikan atau tidak.
Bantuan, Ada Server DNS Berbahaya!
Jika ada server DNS jahat yang dikonfigurasi di sini, Anda dapat menonaktifkannya dan memberi tahu router Anda untuk menggunakan server DNS otomatis dari ISP Anda atau memasukkan alamat server DNS yang sah seperti Google DNS atau OpenDNS di sini.
Jika ada server DNS berbahaya yang dimasukkan di sini, Anda mungkin ingin menghapus semua pengaturan router Anda dan mengatur ulang pabrik sebelum mengaturnya kembali - hanya untuk aman. Kemudian, gunakan trik di bawah ini untuk membantu mengamankan router terhadap serangan lebih lanjut.
Hardening Router Anda Terhadap Serangan
Anda tentu dapat mengeraskan router Anda terhadap serangan ini - agak. Jika router memiliki lubang keamanan yang belum ditambal oleh pabrikan, Anda tidak dapat sepenuhnya mengamankannya.
- Instal Pembaruan Firmware: Pastikan firmware terbaru untuk router Anda diinstal. Aktifkan pembaruan firmware otomatis jika router menawarkannya - sayangnya, sebagian besar router tidak. Setidaknya ini memastikan Anda terlindungi dari segala kekurangan yang telah ditambal.
- Nonaktifkan Akses Jarak Jauh: Nonaktifkan akses jarak jauh ke halaman administrasi berbasis web router.
- Ubah Kata Sandi: Ubah kata sandi ke antarmuka administrasi berbasis web router sehingga penyerang tidak bisa hanya masuk dengan yang default.
- Matikan UPnP: UPnP sangat rentan. Bahkan jika UPnP tidak rentan pada router Anda, sepotong malware yang berjalan di suatu tempat di dalam jaringan lokal Anda dapat menggunakan UPnP untuk mengubah server DNS Anda. Itulah cara kerja UPnP - mempercayai semua permintaan yang datang dari dalam jaringan lokal Anda.
DNSSEC seharusnya memberikan keamanan tambahan, tetapi tidak ada obat mujarab di sini. Di dunia nyata, setiap sistem operasi klien hanya mempercayai server DNS yang dikonfigurasi. Server DNS jahat dapat mengklaim bahwa catatan DNS tidak memiliki informasi DNSSEC, atau bahwa ia memang memiliki informasi DNSSEC dan alamat IP yang diteruskan adalah yang asli.
Kredit Gambar: nrkbeta di Flickr