I fredags udstedte FBI en rapport, der anbefalede, at alle reboot deres routere. Grunden? "Udenlandske cyberspillere har kompromitteret hundredtusindvis af hjemme- og kontorrutere og andre netværksenheder verden over."
Det er en ret alarmerende PSA, men også en lidt vag. Hvordan ved du, om din router er inficeret? Hvad kan du gøre for at holde malware væk fra det? Og måske vigtigst af alt, kan en simpel genstart virkelig eliminere truslen?
Hvad er truslen?
FBI's anbefaling kommer på hælen af en nyopdaget malware-trussel kaldet VPNFilter, som har inficeret over en halv million routere og netværksenheder, ifølge forskere fra Ciscos Talos Intelligence Group.
VPNFilter er "i stand til at gøre små kontor- og hjemmekontorruter ubrugelige", udtalte FBI. "Malware kan potentielt også indsamle oplysninger, der går gennem routeren."
Hvem distribuerede VPNFilter, og i hvilken ende? Justitsministeriet mener, at russiske hackere, der arbejder under navnet Sofacy Group, brugte malware til at kontrollere inficerede enheder.
Hvordan ved du, om du er smittet?
Desværre er der ingen nem måde at fortælle om din router er blevet kompromitteret af VPNFilter. FBI bemærker kun, at "malware target routers produceret af flere producenter og netværkstilsluttede lagerenheder af mindst en producent."
Disse producenter er som følger: Linksys, Mikrotik, Netgear, QNAP og TP-Link. Men i Cisco's rapport hedder det, at kun et lille antal modeller - lidt over et dusin i alt - fra disse producenter er kendt for at være blevet ramt af malware, og de er for det meste ældre:
Linksys: E1200, E2500, WRVS4400N
Mikrotik: 1016, 1036, 1072
Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
QNAP: TS251, S439 Pro, andre QNAP NAS-enheder, der kører QTS-software
TP-Link: R600VPN
Derfor er der en ret lille chance for, at du driver en inficeret router. Selvfølgelig kan du aldrig være for forsigtig, så lad os tale om måder at løse problemet på og forhåbentlig undgå det fremad.
Vil en genstart virkelig arbejde?
Det kan bestemt ikke gøre ondt. Genstart - eller strømcyklus - din router er en harmløs procedure, og er faktisk ofte blandt de første fejlfindingstrin, når du har problemer med netværk eller tilslutning. Hvis du nogensinde har været på et teknisk supportopkald på grund af et internetproblem, har du sandsynligvis fået tilrådeligt at gøre netop det.
Men ifølge denne Krebs on Security post, som citerer den ovennævnte Cisco rapport, vil genstart alene ikke gøre tricket: "En del af koden, der bruges af VPNFilter, kan stadig fortsætte, indtil den berørte enhed er nulstillet til fabriksindstillingerne."
Så er det muligt, at FBI fejlfortolkede "nulstil" anbefalingen som "genstart"? Måske, men bunden er, at en fabriksreset er den eneste sure-fire måde at rense VPNFilter fra en router.
Den gode nyhed: Det er en temmelig nem proces, som normalt kræver lidt mere end at holde en nulstillingsknap på routeren selv tilbage. De dårlige nyheder: Det er en smerte i rumpen, fordi når du er færdig, skal du omkonfigurere alle dine netværksindstillinger. Tjek din modelens brugsanvisning for at få hjælp til begge trin.
Hvilke andre skridt skal du tage?
Vi nåede ud til et par af de førnævnte producenter for at søge deres råd til bekæmpelse af VPNFilter. Linksys reagerede først og noterede sig, at VPNFilter "sprede sig selv ved at bruge kendte svagheder i ældre versioner af router-firmware (som kunderne ikke har opdateret) samt at udnytte almindelige standardoplysninger."
Deres råd: Anvend den nyeste firmware (noget der sker automatisk i Linksys 'nyere routere) og derefter udføre en fabriks nulstilling. Linksys anbefaler også at ændre standardadgangskoden.
Det er også vores råd. Ved at holde din router patchet med den nyeste firmware og bruge et unikt kodeord (i stedet for det, der er angivet ud af boksen), bør du være i stand til at fortsætte med VPNFilter og andre former for malware, der retter sig mod router.
Første udgivet, 29. maj kl. 11:33 PT.
Opdatering, 30. maj kl. 8:27 PT: Ifølge FBI's PSA vedrørende VPNFilter er genstart anbefalingen ikke beregnet til at fjerne malware, men snarere at "midlertidigt forstyrre [det] og hjælpe den potentielle identifikation af inficerede enheder." Med andre ord, FBI anvender dig i en søg-og-ødelægge operation. Det er overflødigt at sige, at vi anbefaler den ovennævnte firmwareopdatering og fabriksindstilling, hvis du ejer en af de berørte router-modeller.
Efterlad Din Kommentar