Dość spora część internautów przyzwyczaiła się już do tego, że należy dbać o bieżące instalowanie aktualizacji systemowych oraz innych aplikacji. Szczególnie tych, za pomocą których korzystamy z Internetu. Jednak nie zawsze pamiętamy o aktualizowaniu swojego routera. Ostatnie materiały opublikowane przez WikiLeaks dowodzą, że CIA potrafi infiltrować domowe routery. Wszystkie działania były prowadzone za pomocą narzędzia Cherry Blossom, który było rozwijane od 10 lat.

Dokument opisujący opracowane przez CIA narzędzie ma aż 175 stron. Cherry Blossom pozwala na monitorowanie aktywności użytkowników korzystających z zaatakowanego routera oraz infekowanie ich komputerów za pomocą innych exploitów. Współczesne routery często same dbają o to, żeby automatycznie instalować aktualizacje. Czasami robi to za nas dostawca Internetu, ale odbywa się to również kosztem ograniczenia ingerencji klienta w ustawienia urządzenia. Jednak 10 lat temu mało kto zmieniał domyślne hasło ustawione przez producenta. Natomiast aktualizacje oprogramowania (czyli tzw. firmware) robiło się przy zauważeniu problemów ze stabilnością pracy routera. Mówiło się: jak coś działa, to tego nie ruszaj.

Cherry Blossom włamuje się do ruterów za pomocą luk w implementacji protokołu UPnP (Universal Plug-and-Play).

Wielu specjalistów od zabezpieczeń zalecało już wcześniej wyłączenie na routerach obsługi UPnP. Opcja ta jest domyślnie włączona, ponieważ protokół ten ułatwia użytkownikom życie. Dzięki niemu dowolna aplikacja uruchomiona na naszym komputerze może poprosić router o automatyczne przekierowanie portów, dzięki czemu uzyska ona bezpośredni dostęp do Internetu z pominięciem NATa (Network Address Translation). Korzystają z tego głównie programy p2p (np. uTorrent, DC++ etc.), aby pracować w tzw. trybie aktywnym. Jednak to samo może zrobić również szkodliwe oprogramowanie, które wystawi nasz komputer bezpośrednio na świat. Dlatego też lepiej jest wyłączyć UPnP i przekierować wybrane przez siebie porty ręcznie. Albo wcale, tak naprawdę większość internautów może spokojnie pracować za tzw. NATem, co przy okazji zwiększa ich bezpieczeństwo.

Zagrożone są routery takich producentów jak D-Link oraz Linksys.

Lista wszystkich urządzeń, które są podatne na atak za pomocą Cherry Blossom dostępna jest w dokumencie udostępnionym przez WikiLeaks. Znajdują się tam routery wyprodukowane przez:

  • 3Com,
  • Accton,
  • Aironet/Cisco,
  • Allied Telesyn,
  • Ambit,
  • AMIT, Inc,
  • Apple,
  • Asustek Co,
  • Belkin,
  • Breezecom,
  • Cameo,
  • D-Link,
  • Gemtek,
  • Global Sun,
  • Linksys,
  • Motorola,
  • Orinoco,
  • Planet Tec,
  • Senao,
  • US Robotics,
  • Z-Com.

Jeżeli jesteście ciekawi, czy Wasz router został zaatakowany przez CIA, to możecie to sprawdzić w bardzo łatwy sposób. Wystarczy wejść na adres:

http://IP_routera/CherryWeb

Według dokumentów udostępnionych przez WikiLeaks, strona ta powinna działać na każdym zainfekowanym urządzeniu.

Źródło: WikiLeaks

Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.