با وضعیت امنیتی مودم بیشتر آشنا شوید؛ افراد سودجو در کمین هستند!
وضعیت امنیتی روترها یا مودمها عمدتا چندان عالی نیست و این امر فرصت مناسبی را برای برخی از افراد ایجاد میکند تا به تنظیمات مودم شما دسترسی یافته و روند عملکرد آن را دچار مشکلات خاصی کنند. به طور کلی مودمها میتوانند مورد حمله، تهاجم یا اصطلاحا اتک افراد خاصی قرار گرفته و نهایتا با توجه به شرایط خاصی با بدافزارهای (Malware) منحصر به فرد با اختلالاط عملکردی مواجه شوند.
به صورت کلی سیستم امنیتی که کمپانیهای تولید کننده مودم یا روتر برای آنها در نظر میگیرند، چندان بستری مناسب و قابل اطمینانی محسوب نمیشود. این موضوع منجر شده که آمار تهاجم به قصد سوء استفاده از این موضوع به طرز چشمگیری افزایش یابد. اما چگونه میتوان تشخیص داد که یک مودم یا روتر مورد حمله افراد سودجو قرار گرفته و یا عملکرد آن با بدافزارهای خاصی مختل شده است؟ راههای جلوگیری از بروز این مشکل و افزایش امنیت مودم چیست؟ در این مقاله سعی میکنیم که به صورت ساده و کلی این موضوعات را برای شما عزیزان شرح دهیم.
چگونه یک مودم میتواند دچار اختلالات این چنینی شود؟
به طور کلی افراد سودجو اغلب با هدف تغییر DNS سرور مودمتان وارد عمل میشوند. این واژه در فارسی با اصطلاح "سامانه نام دامنه" شناخته میشود. شایان ذکر است که واژه DNS مخفف عبارت "Domain Name System" است. به طور کلی DNS یک سیستم نامگذاری به شکل سلسله مراتب است که برای کامپیوترها، سرویسها، و یا هر منبع دیگری که به شبکه اینترنت و یا یک شبکه خصوصی (LAN) متصل است، مورد استفاده قرار میگیرد. هنگامی که قصد ورود به یک سایت را دارید باید نشانی وبسایت را وارد کنید، این نشانی یا نام دامنه در واقع یک آیپی آدرس (IP) است که به صورت عددی نوشته میشود. اما چون به خاطر سپردن این اعداد امری دشوار است، از نام دامنه به منظور شناسایی آنها استفاده میشود. به صورت اختصاری DNS سرور وظیفه تبدیل نام دامنه به آیپی و بالعکس را دارد.
همانطور که اشاره کردیم افراد سودجو اغلب با هدف تغییر DNS سرور مودمتان وارد عمل میشوند و سعی میکنند تا یک سرور DNS مخرب را برای مودم شما تعریف کنند. در این شرایط به محض اینکه شما سعی در اتصال به یک سایت نظیر یک سایت بانکی حاوی اطلاعات حساب خود را داشته باشید، سرور DNS مخرب شما را به یک مجموعه فیشینگ منتقل نمیکند. در یک مجموعه فیشینگ بستری جعلی ایجاد میشود که در آن هدف اصلی به دست آوردن اطلاعات حیاتی و شخصی کاربر مانند نام کاربری، گذرواژه، اطلاعات حساب بانکی و... از طریق جعل یک وبسایت، آدرس ایمیل و ... خواهد بود. در این شرایط شما همچنان در آدرس بار مرورگرتان نام دامنه مقصد مد نظر خود را مشاهده خواهید کرد، اما سایتی که وارد آن شدهاید یک آیپی متفاوت داشته و اصطلاحا یک فیشینگ سایت است و اطلاعات آدرس بار آن جعلی یا فیک هستند.
سرور DNS مخرب لزوما در تمامی وضعیتها و شرایط گوناگون از خود واکنش نشان نمیدهد. یک سرور DNS مخرب میتواند به گونهای تنظیم شود که پس از به دست آوردن اطلاعات مورد نیاز مجددا شما را به آیپی اصلی سایت مقصد وصل کند. به طور کلی درخواستها و هشدارهای غیرمعمول مربوط به کند بودن سرور DNS میتواند یکی از علائم موجود مبنی بر حمله شدن به مودم شما باشد.
برخی از افراد که در رابطه با کامپیوترها و محیطهای وب تجربه بیشتری داشته و برای موارد امنیتی اهمیت خاصی قائل هستند ممکن است متوجه این موضوع شوند که یک سایت فیشینگ HTTPS encryption یا رمزگذاری HTTPS را به همراه ندارد. اما در اغلب موارد کاربران به این موضوع توجهای نمیکنند. حملات مخرب SSL-Stripping حتی میتوانند منجر به حذف رمزگذاری در ترانزیت شوند. به طور ساده و بسیار خلاصه حملات SSL-Stripping یا "مختل کردن امنیت لایه انتقال" نوعی از حملات آنلاین است که به سیستم امنیت ارتباطات اینترنتی مربوط میشود.
افراد سودجو یا اتکرهای اینترنتی ممکن است با ارائه فایلهای خاصی در فضای مجازی سعی در نصب یک درایو یا بدافزار بر روی کامپیوتر شما داشته باشند. این فایلها میتوانند از طریق تبلیغات، سایتهای غیرقابل اعتماد و ... به کامپیوتر شما منتقل شوند. اگر در وبسایتی قابل اطمینان آگهیهای تبلیغاتی عجیبی را مشاهده کردید، ممکن است دچار حمله شده باشید. دقت کنید که این حمله میتواند مستقیما بر روی کامپیوتر و یا مودم شما صورت گیرد. در این بین بسیاری از حملات شامل فرآیند جعل درخواست میانوبگاهی یا اصطلاحا CSRF میشوند. واژه CSRF مخفف Cross-Site Request Forgery است که ما آن را "جعل درخواست میانوبگاهی" خطاب کردیم. جعل درخواست میانوبگاهی وعی از حملات اینترنتی از خانوادهٔ تزریق اسکریپت از طریق وبگاه است. در این نوع از حملات کاربری که در یک نرمافزار کاربردی وب ثبت ورود کرده را مجبور به فرستادن یک درخواست به آن نرمافزار تحت وب آسیبپذیر میکنند تا عملی که اتکرها قصد سوء استفاده از آن را دارند انجام شود.
برای نمونه اگر فردی به طور همزمان در ایمیل خود و حساب بانکیاش ثبت ورود کرده باشد، حملهکننده برای کاربر ایمیلی ارسال میکند که از او درخواست به روز رسانی اطلاعات بانکیاش را از طریق یک لینک ارتباطی خواهد داشت. با کلیک کردن روی لینک ارسالی، بدون اینکه کاربر آگاه باشد به صورت خودکار درخواستی برای انتقال وجه از یک حساب به حساب دیگر به نرمافزار بانک فرستاده میشود و در اینجا اگر نرمافزار بانک بدون اعتبارسنجی درخواست را پردازش کند متوجه جعلیبودن درخواست نخواهد شد.
همچنین یک فرد سودجو میتواند یک جاوا اسکریپت مخرب را بر روی یک صفحه وب اجرا نماید و این جاوا اسکریپت تلاش میکند تا صفحه ادمین روتر را بارگذای کرده و تنظیمات آن را تغییر دهد. از آنجایی که این جاوا اسکریپت در درون دستگاهی اجرا میشود که به شبکه محلی متصل شده، بنابراین کد مربوطه میتواند به رابط وب دسترسی داشته باشید. برخی از روترها یا مودمها دارای رابط مدیریت از راه دوری (Remote Administration Interface) هستند که به طور خودکار با استفاده از یوزرنیم و پسوورد پیش فرضی فعال خواهند بود. افراد سودجو میتوانند رباتهایی را ایجاد کنند به طور اتوماتیک این اطلاعات مربوط به مودمها را بررسی کرده و نهایتا به آنها دسترسی یابند. به طور کلی افراد سوجو میتوانند به روشهای مختلفی عملکرد مودم شما را با اختلال مواجه کرده و آن را دچار بدافزار نمایند. یونیورسال پلاگ اند پلی یا UPnP هم از دیگر مواردی است که به وفور با استفاده از آن عملکرد مودمها و روترها مختل میشود. واژه UPnP مخفف عبارت Universal Plug and Play است که یونیورسال پلاگ اند پلی مجموعهای از پروتوکلهای شبکه است که به دستگاههای آن شبکه اجازه اتصال و ارتباط با یکدیگر را بدون دخالت انسان میدهد.
بررسی وضعیت مودم یا روتر
یکی از نشانههای بارز به خطر افتادن روتر یا مودم شما ایجاد تغییر در سرور DNS آن محسوب میشود. شما با ورود به رابط مبتنی بر وب مودم خود ورود به بخش تنظیمات آن میتوانید نسبت به بررسی این موضوع اقدام کنید. ابتدا باید وارد صفحه وب مربوط به مودمتان شوید. حال با استفاده از نام کاربری یا یوزرنیم و پسوورد خود وارد صفحه اصلی تنظیمات مودم شوید. حال به دنبال تنظیمات بخش DNS بگردید. این بخش عموما در قسمت WAN و یا Internet Connection Settings مشاهده میشود.
اگر تنظیمات این بخش بر روی وضعیت Automatic قرار دارد، بدین معناست که اطلاعات مربوط به آن از مرکز خدمت دهی اینترتتان یا ISP دریافت میشود و مشکلی در عملکرد DSN سرور وجود ندارد. اما اگر تنظیمات این بخش بر روی گزینه Manual قرار داشته باشد، موضوع به شیوه دیگری خواهد بود. در این شرایط آدرس یک سرور DNS به صورت دستی برای مودم تعیین شده است که این موضوع میتواند نشانی از وجود یک مشکل اساسی محسوب شود.
هیچ مشکلی وجود ندارد که اگر شما مودمتان را بر روی سرورهای DNS متفاوتی نظیر 8.8.8.8 یا 8.8.4.4 برای Google DNS و یا 208.67.222.222 یا 208.67.220.220 برای OpenDNS گانفیگ کرده باشید. اما اگر با سرور DNS عجیبی برخورد کردید که برای شما نامتعارف و ناآشناست، مطمئنا باشید که مودم یا روترتان توسط یک بدافزار مورد حمله واقع شده و سرور DNS آن تغییر داده شده است. چنانچه در رابطه با این موضوع شک و تردید داشتید، اعداد مربوط به سرور DNS مودم خود را در گوگل جستجو کنید و نتایج حاصل را مشاهده نمایید. شما میتوانید اعداد مربوط به سرور DNS را به شکل 0.0.0.0 تعیین نمایید. در این شرایط سرور DNS به طور اتوماتیک از مرکز خدمت دهی اینترتتان یا ISP دریافت میشود.
اگر با سرور DNS مخرب مواجه شدیم چه کنیم؟
اگر با بررسی سرور DNS مودمتان متوحه شدید که سروری مخرب برای آن تعریف شده به راحتی میتوانید آن سرور مخرب را غیرفعال سازید. در این شرایط تنها کافیست که کد آیپی سرور مخرب را برداشته و از 0.0.0.0 و یا موارد دیگر اشاره شده استفاده نمایید.
دقت داشته باشید که بهتر است پیش از انجام اینکار و به محض مطلع شدن از آلوده بودن مودمتان آن را را فکتوری ریست نمایید و فرآیند فعالسازی مودم و انجام تنظیمات مربوط به آن را مجددا آغاز کنید.
پیشگیری از حملات و اتکهای احتمالی
شما میتوانید با در نظر گرفتن تنظیمات خاصی در مودم خود، امکان مواجه شدن با خطرات این چنینی و اختلال در عملکرد مودم را کاهش دهید. برای بهتر شدن وضعیت امنیتی مودم خود به موارد زیر توجه کنید:
امیدوار هستیم که در این مقاله به شکلی ساده و در عین حال کاربردی توانسته باشیم که اطلاعات مفیدی را در اختیار شما عزیزان قرار داده باشیم. دقت کنید که امنیت مودم و شبکه اینترنتی که از آن استفاده میکنید به شکل فوقالعادهای حائز اهمیت است. با پیشرفت تکنولوژی میزان وابستگی ما به فضای مجازی بیشتر و بیشتر شده و بسیاری از اقدامات ما توسط اینترنت و اتصال به آن برطرف میشود. اگر از افرادی هستید که دائما از اینترنت و امکانات مربوط به آن در راستای رد و بدل کردن وجه نقد و کنترل حسابهای بانکی خود استفاده میکنید، حتما موارد امنیتی این چنینی را در نظر داشته باشید.
منبع: howtogeek
سرور DNS مخرب لزوما در تمامی وضعیتها و شرایط گوناگون از خود واکنش نشان نمیدهد. یک سرور DNS مخرب میتواند به گونهای تنظیم شود که پس از به دست آوردن اطلاعات مورد نیاز مجددا شما را به آیپی اصلی سایت مقصد وصل کند. به طور کلی درخواستها و هشدارهای غیرمعمول مربوط به کند بودن سرور DNS میتواند یکی از علائم موجود مبنی بر حمله شدن به مودم شما باشد.
برخی از افراد که در رابطه با کامپیوترها و محیطهای وب تجربه بیشتری داشته و برای موارد امنیتی اهمیت خاصی قائل هستند ممکن است متوجه این موضوع شوند که یک سایت فیشینگ HTTPS encryption یا رمزگذاری HTTPS را به همراه ندارد. اما در اغلب موارد کاربران به این موضوع توجهای نمیکنند. حملات مخرب SSL-Stripping حتی میتوانند منجر به حذف رمزگذاری در ترانزیت شوند. به طور ساده و بسیار خلاصه حملات SSL-Stripping یا "مختل کردن امنیت لایه انتقال" نوعی از حملات آنلاین است که به سیستم امنیت ارتباطات اینترنتی مربوط میشود.
افراد سودجو یا اتکرهای اینترنتی ممکن است با ارائه فایلهای خاصی در فضای مجازی سعی در نصب یک درایو یا بدافزار بر روی کامپیوتر شما داشته باشند. این فایلها میتوانند از طریق تبلیغات، سایتهای غیرقابل اعتماد و ... به کامپیوتر شما منتقل شوند. اگر در وبسایتی قابل اطمینان آگهیهای تبلیغاتی عجیبی را مشاهده کردید، ممکن است دچار حمله شده باشید. دقت کنید که این حمله میتواند مستقیما بر روی کامپیوتر و یا مودم شما صورت گیرد. در این بین بسیاری از حملات شامل فرآیند جعل درخواست میانوبگاهی یا اصطلاحا CSRF میشوند. واژه CSRF مخفف Cross-Site Request Forgery است که ما آن را "جعل درخواست میانوبگاهی" خطاب کردیم. جعل درخواست میانوبگاهی وعی از حملات اینترنتی از خانوادهٔ تزریق اسکریپت از طریق وبگاه است. در این نوع از حملات کاربری که در یک نرمافزار کاربردی وب ثبت ورود کرده را مجبور به فرستادن یک درخواست به آن نرمافزار تحت وب آسیبپذیر میکنند تا عملی که اتکرها قصد سوء استفاده از آن را دارند انجام شود.
برای نمونه اگر فردی به طور همزمان در ایمیل خود و حساب بانکیاش ثبت ورود کرده باشد، حملهکننده برای کاربر ایمیلی ارسال میکند که از او درخواست به روز رسانی اطلاعات بانکیاش را از طریق یک لینک ارتباطی خواهد داشت. با کلیک کردن روی لینک ارسالی، بدون اینکه کاربر آگاه باشد به صورت خودکار درخواستی برای انتقال وجه از یک حساب به حساب دیگر به نرمافزار بانک فرستاده میشود و در اینجا اگر نرمافزار بانک بدون اعتبارسنجی درخواست را پردازش کند متوجه جعلیبودن درخواست نخواهد شد.
همچنین یک فرد سودجو میتواند یک جاوا اسکریپت مخرب را بر روی یک صفحه وب اجرا نماید و این جاوا اسکریپت تلاش میکند تا صفحه ادمین روتر را بارگذای کرده و تنظیمات آن را تغییر دهد. از آنجایی که این جاوا اسکریپت در درون دستگاهی اجرا میشود که به شبکه محلی متصل شده، بنابراین کد مربوطه میتواند به رابط وب دسترسی داشته باشید. برخی از روترها یا مودمها دارای رابط مدیریت از راه دوری (Remote Administration Interface) هستند که به طور خودکار با استفاده از یوزرنیم و پسوورد پیش فرضی فعال خواهند بود. افراد سودجو میتوانند رباتهایی را ایجاد کنند به طور اتوماتیک این اطلاعات مربوط به مودمها را بررسی کرده و نهایتا به آنها دسترسی یابند. به طور کلی افراد سوجو میتوانند به روشهای مختلفی عملکرد مودم شما را با اختلال مواجه کرده و آن را دچار بدافزار نمایند. یونیورسال پلاگ اند پلی یا UPnP هم از دیگر مواردی است که به وفور با استفاده از آن عملکرد مودمها و روترها مختل میشود. واژه UPnP مخفف عبارت Universal Plug and Play است که یونیورسال پلاگ اند پلی مجموعهای از پروتوکلهای شبکه است که به دستگاههای آن شبکه اجازه اتصال و ارتباط با یکدیگر را بدون دخالت انسان میدهد.
بررسی وضعیت مودم یا روتر
یکی از نشانههای بارز به خطر افتادن روتر یا مودم شما ایجاد تغییر در سرور DNS آن محسوب میشود. شما با ورود به رابط مبتنی بر وب مودم خود ورود به بخش تنظیمات آن میتوانید نسبت به بررسی این موضوع اقدام کنید. ابتدا باید وارد صفحه وب مربوط به مودمتان شوید. حال با استفاده از نام کاربری یا یوزرنیم و پسوورد خود وارد صفحه اصلی تنظیمات مودم شوید. حال به دنبال تنظیمات بخش DNS بگردید. این بخش عموما در قسمت WAN و یا Internet Connection Settings مشاهده میشود.
اگر تنظیمات این بخش بر روی وضعیت Automatic قرار دارد، بدین معناست که اطلاعات مربوط به آن از مرکز خدمت دهی اینترتتان یا ISP دریافت میشود و مشکلی در عملکرد DSN سرور وجود ندارد. اما اگر تنظیمات این بخش بر روی گزینه Manual قرار داشته باشد، موضوع به شیوه دیگری خواهد بود. در این شرایط آدرس یک سرور DNS به صورت دستی برای مودم تعیین شده است که این موضوع میتواند نشانی از وجود یک مشکل اساسی محسوب شود.
هیچ مشکلی وجود ندارد که اگر شما مودمتان را بر روی سرورهای DNS متفاوتی نظیر 8.8.8.8 یا 8.8.4.4 برای Google DNS و یا 208.67.222.222 یا 208.67.220.220 برای OpenDNS گانفیگ کرده باشید. اما اگر با سرور DNS عجیبی برخورد کردید که برای شما نامتعارف و ناآشناست، مطمئنا باشید که مودم یا روترتان توسط یک بدافزار مورد حمله واقع شده و سرور DNS آن تغییر داده شده است. چنانچه در رابطه با این موضوع شک و تردید داشتید، اعداد مربوط به سرور DNS مودم خود را در گوگل جستجو کنید و نتایج حاصل را مشاهده نمایید. شما میتوانید اعداد مربوط به سرور DNS را به شکل 0.0.0.0 تعیین نمایید. در این شرایط سرور DNS به طور اتوماتیک از مرکز خدمت دهی اینترتتان یا ISP دریافت میشود.
اگر با سرور DNS مخرب مواجه شدیم چه کنیم؟
اگر با بررسی سرور DNS مودمتان متوحه شدید که سروری مخرب برای آن تعریف شده به راحتی میتوانید آن سرور مخرب را غیرفعال سازید. در این شرایط تنها کافیست که کد آیپی سرور مخرب را برداشته و از 0.0.0.0 و یا موارد دیگر اشاره شده استفاده نمایید.
دقت داشته باشید که بهتر است پیش از انجام اینکار و به محض مطلع شدن از آلوده بودن مودمتان آن را را فکتوری ریست نمایید و فرآیند فعالسازی مودم و انجام تنظیمات مربوط به آن را مجددا آغاز کنید.
پیشگیری از حملات و اتکهای احتمالی
شما میتوانید با در نظر گرفتن تنظیمات خاصی در مودم خود، امکان مواجه شدن با خطرات این چنینی و اختلال در عملکرد مودم را کاهش دهید. برای بهتر شدن وضعیت امنیتی مودم خود به موارد زیر توجه کنید:
- به روز رسانیهای سفت افزاری را نصب کنید: همواره سعی کنید که سف افزار یا فریمویر (Firmware) مودم خود را به روز رسانی نمایید. بدین منظور قابلیت آپدیت اتوماتیک روتر را فعال نمایید. البته در برخی از مودمها این قابلیت ارائه نمیشود.
- قابلیت Remote Access را غیرفعال کنید: قابلیت Remote Access یا کنترل از راه دور مودمتان را غیرفعال کنید. این موضوع امنیت آن را افزایش میدهد.
- رمز عبور مودم را تغییر دهید: دقت داشته باشید که هیچگاه از رمز عبور یا اصطلاحا پسوورد پیش فرض مودم استفاده نکنید و سعی کنید که آن را تغییر دهید.
- قابلیت UPnP را غیرفعال کنید: سعی کنید که همواره قابلیت UPnP را تنظیمات مودم یا روترتان غیرفعال نمایید.
امیدوار هستیم که در این مقاله به شکلی ساده و در عین حال کاربردی توانسته باشیم که اطلاعات مفیدی را در اختیار شما عزیزان قرار داده باشیم. دقت کنید که امنیت مودم و شبکه اینترنتی که از آن استفاده میکنید به شکل فوقالعادهای حائز اهمیت است. با پیشرفت تکنولوژی میزان وابستگی ما به فضای مجازی بیشتر و بیشتر شده و بسیاری از اقدامات ما توسط اینترنت و اتصال به آن برطرف میشود. اگر از افرادی هستید که دائما از اینترنت و امکانات مربوط به آن در راستای رد و بدل کردن وجه نقد و کنترل حسابهای بانکی خود استفاده میکنید، حتما موارد امنیتی این چنینی را در نظر داشته باشید.
منبع: howtogeek
سلام بسیار مفید بود ممنون