Tahun lalu, para peneliti menemukan worm, yang mereka sebut TheMoon, yang menginfeksi beberapa router Linksys. Linksys kemudian segera mengatasi masalah ini. Walaupun ini bukan serangan yang pertama, namun hal ini juga pastinya bukan serangan yang terakhir. TheMoon hanya menginfeksi router Linksys, namun serangan serupa juga terjadi terhadap router D-Link atau Netgear. Itulah sifat malware semacam ini - bertergantungan pada produsen-spesifik. Jadi kemungkinan bahwa worm yang mencoba untuk menyerang router Anda tidak akan kompatibel - dan Anda bisa bersyukur karena ketidakcocokkan ini.
Penyerang mengambil keuntungan dari produsen lesu dan menyerang router dalam jumlah yang besar. Market di home router banyak sama seperti pasar smartphone Android. Produsen memproduksi perangkat yang berbeda dalam jumlah besar namun jarang untuk mengupdate atau memperbarui mereka sehingga membiarkan mereka terbuka dan rentan akan serangan-serangan.
Berikut adalah tindakan pencegahan dasar yang dapat dilakukan untuk mencegah serangan-serangan worm tersebut:
- Instal Firmware Update: Pastikan firmware terbaru terinstal pada router anda. Aktifkan update firmware otomatis jika router anda terdapat fitur tersebut - sayangnya, kebanyakan router tidak memiliki fitur ini.
- Masuk ke halaman pengaturan router Anda dan pastikan bahwa remote administration (administrasi remote) dimatikan. (Jika alamat IP adalah 0.0.0.0, itu merupakan off).
- Mengubah nama jaringan nirkabel Anda.
- Mengubah password router ke password yang sangat rumit. Saya tidak berbicara tentang password Wi-Fi, tetapi password router setup.
- DNS server yang telah diubah tanpa sepengetahuan juga bisa menandakan bahwa ruter tersebut telah dihack. Coba periksa settingan DNS nya, biasanya terletak di bagian WAN atau Internet Connection Settings. Jika disetting ke "Otomatis" seharusnya tidak bermasalah tapi jika di set ke "Manual" dan terdapat custom DNS servers yang dimasukkan disini, maka hal ini mencurigakan.
- Nonaktifkan UPnP: UPnP bisa sangat rentan. Bahkan jika UPnP tidak rentan pada router Anda, sepotong malware yang berproses di suatu tempat dalam jaringan lokal dapat menggunakan UPnP untuk mengubah server DNS Anda. Itu salah satu cara UPnP bekerja, yaitu mempercayai semua permintaan yang datang dalam jaringan lokal Anda.
Inilah sebabnya mengapa penting untuk memeriksa di browser Anda apakah situs yang anda kunjungi merupakan situs asli, terutama jika mengunjungi website bank atau lembaga keuangan lainnya. Situs tersebut biasanya memiliki https:// di awal alamat URL mereka dan browser Anda juga harus terdapat simbol gembok.
Alamat IP sering dijadikan rahasia, namun setiap website yang Anda kunjungi bisa mendapatkan nomor tersebut. Dan dari alamat IP, mereka dapat menemukan ISP Anda dan lokasi umum Anda (daerah Anda, tetapi bukan alamat Anda). Tapi bisakah mereka menginfeksi router Anda dengan malware?
DNS server berbahaya tidak selalu menanggapi semua permintaan dan hanya menyatakan time out pada kebanyakan request lalu me-redirect query anda ke server DNS default ISP Anda. DNS request yang tidak biasa lambatnya menandakan bahwa router anda terkena infeksi. Jika anda perhatikan, situs phishing tidak memiliki HTTPS namun hal ini tidak diperhatikan oleh kebanyakan orang. Serangan SSL-stripping pun dapat mengupas enkripsi dalam transit.
Penyerang juga bisa menyuntikkan iklan, mengarahkan hasil pencarian, atau mencoba untuk menginstal drive-by downloads. Mereka dapat menangkap permintaan script untuk Google Analytics atau script lainnya di setiap situs dan mengarahkan mereka ke server yang menyediakan sebuah script yang kemudian akan menyuntikkan iklan sebagai penggantinya. Jika Anda melihat iklan jorok di situs terkenal seperti New York Times dll, sudah hampir dipastikan bahwa router atau komputer anda telah terinfeksi virus, malware atau sejenisnya.
Banyak serangan menggunakan cross-site request forgery (CSRF). Si hacker tersebut menyisipkan JavaScript nakal ke sebuah halaman web, dan JavaScript tersebut akan otomatis mencoba masuk ke router di halaman administrasi berbasis web kemudian mengubah pengaturan atau settingan di router tersebut.
Ketika JavaScript sedang berproses di perangkat yang berada dalam jaringan lokal, kode tersebut dapat mengakses web interface yang hanya terdapat dalam jaringan Anda. Remote administration di beberapa router mungkin dapat diaktifkan melalui username dan password default mereka sehingga para hacker bisa menggunakan bot untuk mencari router-router seperti ini dalam jaringan Internet.
No comments:
Post a Comment