Sikkerhedskrav: De fleste hjemmevirksomheder, der er sårbare over for Hack

En ingeniør fra sikkerhedsfirmaet Seismic hævder, at han snart vil frigive instruktioner om, hvordan man kan hack millioner af trådløse routere, der almindeligvis anvendes i private internetforbindelser. How-to-hack-instruktionerne er en del af det, der er blevet en årlig brystkasse af højttalere på Black Hat-sikkerhedskonferencen, der fremmer deres keynoter med end-of-PC-sikkerhed-som-vi-know-it-løfterne.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

Black Hat USA 2010 starter den 28. juli i Las Vegas, Nevada.

Ars Technica rapporterer, at præsentationen "How to Hack Millions of Routers" mincing nogen ord der, er de?), vil blive givet på Black Hat af Senior Security Engineer for Seismic Craig Heffner. Heffner's præsentation vil indeholde en live demonstration om, hvordan man "pop en fjernbetjening på Verizon FIOS routere" såvel som en værktøjsudgivelse, der automatiserer det beskrevne angreb.

Seismic har testet omkring 30 routere hidtil og har fundet ud af at cirka halvdelen af ​​dem er sårbare over for dette angreb. Listen over sårbare routere indeholder routere fra Linksys, Belkin, ActionTec, ASUS, Thompson og Dell.

Angrebet bruger en gammel teknik - "DNS-rebinding" - i ny emballage. DNS rebinding "undergraver beskyttelse indbygget i webbrowsere, der er beregnet til at begrænse hvad scripts og HTML kan gøre" og tillader angriberne at udnytte angrebernes browsere og stille anmodninger fra dem. Hacket udføres, når brugeren får adgang til en webside, der kontrolleres af hackeren. Websiden bruger kode (Java) til at narre browseren til at tro, at siden har samme oprindelse som brugerens computer. Hackeren kan derefter styre routeren og få adgang til maskinerne på brugerens netværk.

Ifølge Black Hat-webstedet kan dette særlige DNS-rebinding-angreb omgå eksisterende DNS-genbeskyttelsesbeskyttelse, fordi det ikke kræver, at angriberen kender routerens konfigurationsindstillinger (fabrikat, model, intern IP-adresse, værtsnavn) og det er ikke afhængig af anti-DNS-pinningsteknikker.

I øjeblikket er det ifølge Heffner den bedste måde at bekæmpe dette potentielle angreb på at overraske, overraskelse - skift din router standard password. Men indtil router-producenterne træder op og opdaterer firmwaren, handler det om alt hvad du kan gøre (eller få en ny router). Heffner mener, at virksomhederne har haft masser af tid til at reparere dette hul (og de har ikke), og derfor er den eneste måde at knuse dem i gang med at præsentere hvordan man kan hack en million routere.