Descobrir o que os sequestradores estão fazendo / fizeram enquanto estavam no controle do meu roteador

2

Recentemente, câmeras de segurança com livestreaming foram instaladas ao redor da casa. As câmeras são conectadas ao roteador e enviadas para os servidores da empresa, e eu posso assistir os transmissões ao vivo no meu telefone.

A pessoa que veio instalar as câmeras mudou muitas das configurações do roteador (acho que ele fez algum tipo de redefinição, porque as portas redirecionadas foram embora e o modelo salvo também), e também mudou para que o nome de usuário e a senha não era mais necessária - qualquer pessoa conectada via WiFi poderia acessar a página de administração simplesmente visitando 192.168.1.1 (parece uma enorme vulnerabilidade e, portanto, incrivelmente suspeita).

Agora, no meio da minha sessão de jogos, notei que as configurações do roteador mudaram de repente, porque eu tinha ativado o UPnP depois que eles removeram minhas portas encaminhadas, mas agora ele está desativado novamente enquanto eu estou tentando jogar. Fui à página do roteador para ver o que eles tinham feito, e vejo que o nome de usuário e a senha são necessários novamente, mas eles mudaram, portanto, nem consigo acessar a página agora. Eles basicamente sequestraram o roteador.

Eu quero descobrir o que eles estão fazendo. Meu computador está conectado ao roteador e tenho acesso físico a ele. No entanto, não quero apenas redefinir fisicamente o roteador e cortar seu acesso, a menos que isso me permita ver o que eles fizeram. Em outras palavras: eu quero pegá-los em flagrante.

Além disso, quando eles têm acesso total ao roteador, podem espionar o HTTP? HTTPS? Há algum outro problema de segurança que eu não tenha pensado?

O roteador é um Thomson Technicolor TG799vn v2.

Eu instalei um programa chamado Capsa e talvez seja a ferramenta perfeita para esse trabalho. No entanto, minha falta de conhecimento é grande demais para fazer uma análise adequada.

    
por Gendarme 23.09.2016 / 03:44

2 respostas

3

O roteador é um computador Linux, portanto, qualquer programador Linux com acesso pode programá-lo para fazer qualquer coisa que esteja dentro de seus recursos de hardware. Se eles também tiverem acesso à rede, poderão fazer upload de programas, baixar vídeos, espelhar qualquer vídeo de câmera em seu servidor de Internet, basicamente qualquer coisa que o roteador tenha acesso. Eles podem fazer o upload desses vídeos em qualquer lugar na Internet.

Eles também podem interceptar suas sessões da Internet, registrar senhas, copiar recebidas e enviou e-mails. Tudo o que passa pelo roteador é um jogo justo.

Eles não podem ver no seu computador. Então, se você está logando em uma VPN via na área de trabalho, eles não podem interceptar seu logon, a menos que o programa da área de trabalho VPN estupidamente envia seu id & senha no claro. Infelizmente, os exploits man-in-the-middle do HTTPS existem, e seu roteador é bem no meio.

Para descobrir como exatamente eles traficaram seu roteador, você terá uma análise forense especialista para despejar disco do sistema do seu roteador e comparar o seu conteúdo para o imagem original.

Você pode colocar um dispositivo de rastreamento especializado entre o roteador e seu Fornecedor de Internet (ISP), para rastrear se o roteador está rotineiramente fazendo conecta-se a endereços da Internet que você não solicitou. Isso os pegaria em flagrante e serviria como prova legal. Infelizmente, não posso recomendar nenhum dispositivo desse tipo, mas pesquisar na Amazon certamente irá aparecer com um.

Entretanto, nesse meio tempo, você corre um risco sempre que se conecta a qualquer site que exija a digitação de um nome de usuário e senha, de comunicação essa informação para um bandido que vai usá-lo contra você. Se você usou a mesma senha em outros sites ou serviços, você corre o risco deles ganharem acesso a eles também.

Eu realmente não acho que as pessoas que instalaram o seu roteador são culpados, ou talvez apenas por deixar inadvertidamente alguma porta de trás aberta. Eu prefiro pensar que um anel do crime organizado usou algum dia-zero explorar para o seu modelo de roteador para invadir. Então, o máximo que você vai encontrar é que o não solicitado comunicação vai estar indo para algum lugar na Rússia ou em outro lugar onde eles estão imunes à sua agência local de aplicação da lei.

Minha recomendação é baixar e instalar o firmware mais recente do roteador da Thomson (ou o seu ISP), que pode fechar a porta dos fundos do roteador, proteja o roteador desativando todas as opções de controle da Internet e alterando todas as senhas padrão e, finalmente, altere todas as suas senhas em qualquer lugar.

Em qualquer lugar significa senhas no roteador e em qualquer site ou serviço que você possa ter logado através do roteador, ou qualquer senha que você também usa em outro lugar. As chances de você pegar alguém em flagrante e ser capaz de fazer algo sobre isso, são muito menores do que suas chances de fazer mal a você.

Como o usuário cybernard observou abaixo, o seu computador também corre o risco de ser agora parte de um botnet, se eles conseguiram instalar qualquer malware nele. Execute testes de malware no seu computador usando vários produtos antivírus, e continuar fazendo isso no futuro, pois os bandidos estão sempre à frente dos mocinhos. A operação realmente segura é reformatar e instalar o computador e o roteador ao mesmo tempo, mas isso pode estar indo longe demais.

    
por 25.09.2016 / 17:48
1

Existem apenas duas possibilidades:

  • O invasor teve acesso à interface da Web do roteador. Ele poderia ter usado para:
    • Criar encaminhamentos de porta para expor recursos / dispositivos internos
    • (talvez) roubar suas credenciais de acesso à internet
    • Altere o servidor DNS (o favorito de todos) para redirecioná-lo para cópias fraudulentas de websites
    • (improvável) Use algum exploit para acessar funções não tão oficiais
    • Troque o firmware, levando a
  • O invasor mudou o firmware do roteador, permitindo que eles:
    • Acesso irrestrito à sua rede interna
    • Para interceptar toda e qualquer comunicação de rede e Internet
    • Para permanentemente (mesmo após redefinições de fábrica), transforme seu roteador em uma caixa de espionagem.

Se este for o último, o roteador não estará mais apto para uso. Não jogue fora embora, é uma prova.

Dito isto, a segunda possibilidade é altamente improvável porque requer muito esforço. É mais um tipo de "inteligência estrangeira".

Como os roteadores geralmente não oferecem recursos para interceptar tráfego, a única maneira de interceptar seus dados (sem substituir o firmware) é alterando o servidor DNS. Isso, claro, afeta apenas dispositivos que adquirem suas configurações de DNS via DHCP.

Como isso aconteceu em primeiro lugar? Como o roteador não precisa mais de autenticação, é muito provável que ocorra um ataque de falsificação de solicitação entre sites. Isso significa que você visitou um site fraudulento / comprometido que atacou automaticamente seu roteador.

tl; dr : você não vai pegar um invasor porque não há um. Tudo é automatizado.

    
por 25.09.2016 / 19:16