Malware slog ut 600 000 routrar – gick inte att återställa

Läskigt att plötsligt få sin router brickad!

"Privatanvändare uppmanas också att regelbundet starta om sina routrar" Okej..? Hur/vad är det ett skydd mot?

Det står någonstans att trojanen bara ligger i arbetsminnet och försvinner vid en omstart.

Hur visste de som gjorde analysen att det var två specifika modeller från Sagecom som var drabbade? Dom kollade scanning-databaser från ett visst ASN (tillhörande den relevanta ISP:n) före och efter attacken med avseende på "banner hashes".

Banner hashes är tydligen en hash av den information som visas när man ansluter till en router med telnet, ssh, HTTP osv.

Med andra ord hade dessa routrar portar öppet mot internet.

Att routrar som delas ut av ISP har öppna portar på WAN-sidan är inget konstigt. De kan administreras av ISP:n, med avseende på felsökning, automatiska uppdateringar och precis vilka sattyg som helst. Men det betyder ju inte att ISP:n ska låta hela internet komma åt dessa gränssnitt. Och routertillverkare behöver verkligen inte ge bort information om vad man har anslutit till innan man har loggat in.

Kan inte Sweclockers göra lite undersökande journalistik och samla ihop lite olika kombinationer av KO+ISP+routrar och göra motsvarande experiment, se vilka portar dessa maskiner har öppna i en svensk kontext?

När jag läste artikeln kunde jag inte undvika att tänka att det är lättare att skylla på en organiserad riktad attack istället för att erkänna att deras egen säkerhet inte är bra nog och utrustning blivit infekterad så som mycket annat som ansluts mot internet.
Nu har jag inte läst in mig om denna attacken men jag tänker att det är ungefär som Telia med deras Sagem routrar med egen firmware och inbyggd bakdörr.
Internetleverantörer som förser kunder med denna typen av utrustning tror jag går att attackera om någon vill vilket jag gissar skett här.

Intressant att alla generellt bråkar om att Android mm inte får säkerhetsuppdateringar tillräckligt länge men de flesta sitter med gamla routrar som inte fått säkerhetsuppdateringar på flera år och de hanterar hela ens nätverk. I dagens klimat behövs verkligen en standard, likt Android som kan möjliggöra fler år av uppdateringar från tillverkaren.

Själv kör jag med OPNsense och kommer nog aldrig gå tillbaka till en vanlig konsumentrouter igen. Har aldrig haft en router som jag inte behövt starta om ofta. Min OPNsense startas bara om vid uppdateringar som kräver det och krånglar fan aldrig.

Låter mer och mer som en god gärning. Någon plockade bort de osäkra routrarna från nätet. 😛

Skulle aldrig få för mig att köra operatörernas gratis-routrar som enda brandvägg mot nätet. Man ser ju hur illa de hålls uppdaterade. Katastrofdåligt.