MCPLive > 杂志文章 > 从TP-Link漏洞再看网络安全

从TP-Link漏洞再看网络安全

2013-04-27古月明《微型计算机》2013年4月下

互联网在为大家带来方便的同时,也带来了很多意想不到的烦恼。在其飞速发展的这些年中,网络安全时常爆出重大新闻,导致个人用户、公司或者组织遭受重大损失。但除了当事人,网络安全意识往往又很快被人们遗忘。而近TPLink路由器爆出的漏洞事件则再次将网络安全推向潮头浪尖,成为大家关注的焦点,也引发了新一轮热议:网络攻击都是如何进行的,有什么新手法吗?

如何才能简单有效地保证自己的局域网安全?

......

事件回顾

引发新一轮热议的TP-Link路由器漏洞门究竟是什么情况?可能不少读者还不知道详情。这里我们大致回顾下漏洞原理和事件概况,也借此机会重申网络安全的重要性。

曝光:2013年3月13日,国家信息安全漏洞共享平台(简称CNVD)发布了一则“TP-LINK部分路由器存在后门漏洞可被控制”的安全公告。国家机关的权威性加上TP-Link产品的受众群颇为广泛,让该消息迅速获得大量玩家转载,引起广泛关注。

原理分析:专家称,当攻击者利用浏览器来访问一个无需授权认证的特定功能页面后,(如发送HTTP请求到start_art.html)攻击者就可以引导路由器自动从攻击者控制的TFTP服务器下载一个nart.out文件,并以root权限运行。而一旦攻击者以root身份运行成功后,便可以获得该无线路由器的控制权。

危害浅析:“当你的无线路由器被控制后,攻击者就有机会获取你的网络活动信息。包括网上银行、通讯记录、邮箱账号密码以及其他账户信息等个人私密资料。甚至还能将你设置为钓鱼诱饵,导致你的亲朋好友一一中招。”从CNVD的公告和漏洞的危害解析来看,这个漏洞危害甚广。但经MC试验,利用这个BUG的前提是攻击者需要先成为被攻击路由器网络下的客户端。也就是说,攻击者需要先设法连接上这个路由器。这个BUG本身的危害在于非法获得路由器管理员权限,而不是非法连接上路由器,不属于大家比较关心的Wi-Fi蹭网问题。对于部分采用了TP-Link路由器的个人用户而言,这个BUG的主要潜在隐患是容易让他们成为黑客的首选攻击目标。而对于公共场合,中小型办公群组之类,又需要进行集中管理的应用环境,这个BUG就是一个极大的隐患了。

CNVD有关“TP-LINK部分路由器存在后门漏洞可被控制”的公告全文。
CNVD有关“TP-LINK部分路由器存在后门漏洞可被控制”的公告全文。

攻击过程示意图
攻击过程示意图

将WAN口远端管理IP设置为0.0.0.0,或者可信任的已知IP。
将WAN口远端管理IP设置为0.0.0.0,或者可信任的已知IP。

进行MAC地址访问限制设置
进行MAC地址访问限制设置

防治办法:根据这个后门漏洞需要“先登录、后控制”的特点,我们容易想到的防治方式就是要阻止攻击者访问到我们的路由器。在外网防护上,用户可以关闭T PLink路由器的WA N远程管理端口,也可以将WA N口远端管理IP设置为0.0.0.0,或可信任的IP。同时,Wi-Fi密码不要设置得过于简单,例如12345678、00000000等等。尽量选择数字加字母的复杂组合。此外,务必更改路由器默认的管理员帐户。默认的“admin”、“ROOT”等尽量不要使用。虽然默认设置方便好记,但是你方便,攻击起来也方便。需要注意的是,如果攻击者的H TTP请求触发成功,没有证书的页面打开时,会导致局域网掉线、断网故障。这是利用该后门漏洞的明显特点之一。若发生这种异常,用户就要多多留意了。

对于需要集中管理的公共场所,这个问题就棘手一些了,管理员不便在连接上做出太多限制。因此,除了利用M AC地址访问限制功能,只为已知的可信任M AC提供管理员权限外,更换没有BUG的路由器,或者刷新修复了BUG的路由器固件几乎是唯一选择。

TP-Link回应:事件发生后TPLink并未给出官方申明,只有一位TPLink员工通过微博回应了此事件。援引这位员工的微博发言“这个被攻击这利用的非法页面(start_art.html)是多年前供生产过程做Wi-Fi校对所用的,为了方便校对测试一直没有被加上认证。我们必须承认这是一个低级错误。”实际上,这里还有个趣闻。来自波兰的网络安全专家早在今年2月份就发现,并向TP-Link通报了这个BUG。但直到一个多月后CNVD加上若干媒体的曝光,才引起了TP-Link的重视,并承认了这个低级错误。不被更大面积的媒体曝光就不予以重视,TP-Link的消极无疑浪费了提醒者的好意,也耽搁了漏洞修复时间。对此,TP-Link应该有着不小的失职行为,需要认真反省。

无论是否受到此事件的波及,这个事件都应该引起你的足够重视。由此事件我们不难看出,要构建一个安全的网络,对多数个人用户来说,基本的就是需要一个安全的路由环境。这可以分三个方面说:

1.网络系统的安全,这是应用的主体环境,常见的PC、平板和智能手机等都属于这个范畴。

2 .是网络信息的安全,进出路由器的信息是否安全是主要考量。对此大家应该并不陌生,路由器的加密模块就是为此问题而生的。它让路由器在正确转发信息的同时,还对信息进行了加密处理,确保信息在网络传输过程中的私密性,从而保证信息出入的安全。

3.路由器自身安全,这是一个新的热点。以前,多数网络安全问题出现在系统端。例如PC操作系统的各种漏洞或者后门让非法者有机可趁。但随着局域网络的发展、普及,特别是无线路由器的普及。让越来越的人注意到家庭局域网技术,也发现了路由器,特别是无线路由器的诸多安全隐患。从路由表到路由协议,从固件BUG到后门漏洞……一系列问题让保护路由器自身的安全成为安全路由环境的一项重要考量。

黑客攻击手法和简单防治方式

在此,除了建议大家在选购路由器时,多注意产品口碑,和路由器的安全功能、加密性能外。我们还为大家整理了黑客常用的攻击手法和简单防治手段,以供大家了解基本的网络安全常识,学会基本的自保方法。其实就攻击原理来说,当前黑客和早前的黑客并没有太大的不同。只是有些方法的着手点发生了改变,例如某些原来针对系统终端的手段,现在被转移到了路由器上等等。

1.利用网络系统漏洞进行攻击

许多的网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如Windows、Linux系统等都有数量不等的漏洞。也有可能是由于网管的疏忽,留下没有防备的后门端口。或者网络产品不合格留下的隐患。黑客利用这些漏洞就能完成密码探测、系统侵等攻击。对于系统本身的漏洞,简单,也切实有效的办法就是安装补丁、升级固件。这里需要提醒广大个人用户注意,不要嫌弃系统的补丁提示烦人,而将其设置为不提示更新。也不要因为发现没有安装补丁貌似也不影响使用就对其置之不理。养成良好的更新习惯,能让你的系统避免绝大多数攻击。

2.后门软件攻击

后门软件是种常见攻击手法,比较著名的一类就是特洛伊木马。它们可以非法地取得用户电脑的超级管理权利,进行桌面抓图、密码备份等操作。这些后门软件分为服务器端和用户端。黑客攻击的主要目的,就是将木马软件的服务器端安装到被攻击者的电脑上。然后再通过用户端程序远程控制已安装好服务器端程序的电脑。这些服务器端程序都比较小,一般会被黑客隐蔽后捆绑到某些常用软件上。当用户下载了一个常用软件进行安装时,后门软件的服务器端也就随之安装完成了。此外,大部分后门软件的重生能力都比较强,即使被用户发现,清除起来也相当麻烦。值得注意的是,近攻击软件服务端出现了许多TXT文件、图片文件等欺骗变种,表面看上去是一个正常文件,但实际上却是一个附带后门程序的可执行程序。对此,安装杀毒软件,并在下载数据后及时对下载文件进行病毒扫描,是较为方便且有效的防治办法。

3.拒绝服务攻击

它的具体手法就是向目的电脑发送大量的数据包,占据该电脑所有的网络宽带,使其无法顺利处理正常的网络请求,甚至导致系统瘫痪。常见的蠕虫病毒或其变种都可以进行此种攻击。它们一般通过Outlook向众多邮箱发出带有病毒的邮件。通产来说它并不会针对个人用户,但却有不少误打误撞的受害者,他们遭到攻击后,通常都无法再进行正常的网络操作。除了安装防火墙软件外,其实你还可以通过隐藏自己的真实I P地址来避免攻击。隐藏自己真实I P地址的方法不少,简单的是借助SocksChain、IP隐藏者等软件进行修改。

4.假Wi-Fi欺骗

近来还出现了一种非常狡猾的Wi-Fi欺骗入侵方式,那就是假Wi-Fi。攻击者创建与真实Wi-Fi相同的假冒SSID,诱导合法用户连接到假冒SSID并记录真实密码。假Wi-Fi无论对企业用户还是个人用户,危害都非常大。重要的是,这种入侵方式暂时没有非常好的决手段。就连国内著名的网络产品提供商华为都深受其害。华为工程师就表示深圳华为总部附近存在着大量华为办公假Wi-Fi,这些Wi-Fi有的是试图钓鱼获取正确密码进而假冒合法用户,有的却是能够提供正常网络连接然后盗取个人信息以及商业情报。

对于这样的钓鱼手段,一种可行的方法是看到有与自己相同或者很相似的SSID时,及时更换SSID;在远离自己的路由器但发现信号不合理地变好时,也要赶快更换自己的SSID和密码。这样能够在一定程度上缓解这类问题。此外,请务必关闭移动设备的“自动连接”功能,这个功能只认SSID,它可不知道哪个是真哪个是假。本来还有一种可行的方法就是使用带有WPS功能的产品,可是去年爆出了WPS暴力破解漏洞,因此是否要使用这种连接方式,就是见仁见智的问题了。

网络安全别再只重PC端

其实除了我们说到的方式,黑客的攻击方式还有很多,例如密码解密攻击、电子邮件攻击等。只是这些方式多和我们介绍的方式1一样,是比较传统的针对PC系统端的攻击手段。这是存在较早、较多,也受用户关注,同时往往先被厂商通过补丁程序来避免的攻击类型。就实际看来,除非新手用户,否者中招几率并不大。倒是互联网的世界里,路由器才是信息在网络中自由、有序、准确、高效流动的核心,正被越来越多的黑客觊觎。夺取了路由器的控制权便可以监测和引导信息的流动。借此窃取信息,植入病毒木马,实施DNS劫持,引导用户访问非法网站等等。需要强调的是,这些行为并不被PC端杀毒软件监控、阻止。实际上,我们收集到的近黑客常用攻击手法或多或少都跟路由器相关,不难看出这个新兴趋势。因此,要保证你局域网内的网络安全和数据安全,路由器的重要性已经不亚于PC端。多了解路由器的安全知识,应该更有助于你防治未来的黑客攻击。

分享到:

用户评论

用户名:

密码: