De FBI zegt ja, maar moet u dit advies opvolgen? En als u het opvolgt, weet u dan hoe u dat veilig kunt doen?
Reboot uw router! Dat is het advies dat op 25 mei 2018 naar buiten is gebracht door een van ’s werelds bekendste wetshandhavingsinstanties: het Amerikaanse Federal Bureau of Investigation (FBI). Maar moet je dit advies opvolgen? En als u het opvolgt, weet u dan hoe u dat veilig kunt doen? Dit artikel geeft enkele antwoorden, zowel lange als korte.
Hier zijn acht korte antwoorden, voor degenen die al weten wat een router is, wat een router reboot betekent, en ervaring hebben met het uitvoeren van een router reset. Als je je kennis over wat routers doen en hoe ze in je netwerk passen moet opfrissen, scroll dan naar beneden: Wat is een router?
- Wat is er aan de hand? Maar liefst 500.000 routers in meer dan 50 landen bleken gecompromitteerd te zijn door malware met de naam VPNFilter.
- Wat moet ik doen? Het herstarten van uw router – uitschakelen, 30 seconden wachten, weer inschakelen – helpt om deze malware te verslaan.
- Wie wordt getroffen? Deze bedreiging treft vooral routers voor kleine kantoren en thuiskantoren (SOHO). Een lijst met modellen waarvan bekend is dat ze worden getroffen, vindt u aan het einde van het artikel.
- Wat als mijn router niet op de lijst staat? Het kan nog steeds het risico lopen van VPNFilter, dus het huidige advies is om alle SOHO-routers opnieuw op te starten.
- Is een reboot hetzelfde als een reset? NEE! Een reset wist configuratiegegevens en zet de router terug naar de fabrieksinstellingen. Reset uw router niet tenzij u weet hoe u de router moet configureren en de configuratie-informatie hebt opgeslagen, bijv. admin-wachtwoord, SSID, enzovoort (zie de rest van het artikel voor meer details).
- Wat als mijn router wordt geleverd door mijn ISP? U moet contact met hen opnemen voor instructies als ze u nog niet hebben gewaarschuwd en instructies hebben gegeven.
- Welke andere defensieve maatregelen kan ik nemen? Overweeg uw router te upgraden naar de nieuwste firmware, het standaardwachtwoord te wijzigen en extern beheer uit te schakelen. Aan het eind van het artikel staat een tabel met links naar instructies om dit te doen op routers waarvan bekend is dat ze een risico vormen, samen met links over hoe ze kunnen worden teruggezet naar de fabrieksinstellingen.
- Heeft ESET deze malware gedetecteerd? Ja, het wordt gedetecteerd als Linux/VPNFilter. ESET raadt u echter aan uw router opnieuw op te starten – lees verder voor meer details.
Wat is een router?
Terwijl techno-snobs misschien hijgen bij het idee dat er nog mensen op deze planeet zijn die niet weten wat een router is, ga ik toch een korte beschrijving geven. Ik ken genoeg slimme en goed opgeleide mensen die al jaren thuis of in hun kleine bedrijf het internet gebruiken via een router zonder ooit te hoeven weten wat een router is of hoe hij werkt. Sommige van deze mensen zijn nu geschokt als ze erachter komen dat hun router niet alleen een computer is, maar ook een computer die criminelen op allerlei manieren kunnen proberen uit te buiten.
De term router komt van het feit dat deze apparaten verkeer tussen netwerken leiden: ze routeren letterlijk gegevens van het ene digitale apparaat naar het andere. Wanneer u bijvoorbeeld uw laptop thuis gebruikt om uw e-mail te lezen, komen de berichten meestal op uw laptop terecht via apparatuur die bij uw internetservice is geleverd of die u hebt aangeschaft toen u de internetservice instelde.
Hoewel er vele configuraties van apparatuur mogelijk zijn, omvatten de meeste de volgende functies: modem, router, Wi-Fi (draadloos) toegangspunt. Zoals in dit schema is aangegeven, kunnen deze functies door afzonderlijke apparaten worden uitgevoerd, maar ze kunnen ook in één kastje worden gecombineerd:
Het modem neemt het signaal van uw ISP (internet service provider) en zet dit om in standaard netwerkverkeer (Ethernet). Wanneer uw inkomende e-mail de router bereikt, beslist deze waar de e-mail naartoe moet worden geleid. Vroeger, vóór Wi-Fi, liep er een Ethernet-kabel van uw router (of modem/router) naar uw laptop. Tegenwoordig maken veel huishoudens en kleine kantoren gebruik van draadloze verbindingen. In dat geval wordt het verkeer, zoals die e-mail die naar uw laptop, of uw tablet, of uw smartphone komt, door het draadloze toegangspunt geleid.
(De meeste van de huidige internetverbindingsapparaten voor thuis en kleine kantoren ondersteunen zowel draadloze als bekabelde verbindingen, dus er kan een draad lopen van uw router naar uw printer of een Network Attached Storage (NAS); veel slimme tv’s gebruiken een bekabelde routed verbinding om video van het internet te streamen.)
Het is duidelijk dat uw router veel werk doet – het verwerken van verkeer dat varieert van e-mail tot surfen op het web, printen, streamen van muziek en video, en het mogelijk maken van online gaming. Een router is ook de manier waarop de meeste IoT-apparaten (Internet of Things) verbinding maken met het internet, zoals slimme thermostaten, alarmsystemen en beveiligingscamera’s.
Om al dat werk te kunnen doen, is rekenkracht nodig. Daarom hebben routers zich ontwikkeld tot gespecialiseerde computersystemen op zich; wat ons brengt bij het advies van de FBI over het herstarten van routers.
Wat heeft de FBI gezegd over routers?
Op 25 mei gaf de FBI een verklaring uit met deze kop: “Buitenlandse cyberactoren richten zich wereldwijd op routers voor thuis en op kantoor en netwerkapparaten”. Dit was een reactie op de ontdekking dat “cyberactoren” kwaadaardige code (malware) hadden gebruikt om een heleboel routers en andere apparatuur, zoals NAS-apparaten, te compromitteren.
In deze context betekent de term “compromitteren” dat deze “cyberactoren” hun code zonder hun toestemming op de apparaten van mensen hebben uitgevoerd. Deze malware, die de mogelijkheid heeft om informatie te verzamelen die door het apparaat stroomt, maar ook het apparaat onbruikbaar kan maken, is VPNFilter gedoopt door de onderzoekers van de Talos threat intelligence groep van Cisco (hun eerste rapport over VPNFilter bevat veel van de technische details).
Gelukkig genoeg kan het deel van VPNFilter dat kan worden gebruikt om je routerverkeer te bespioneren, en/of het apparaat onbruikbaar te maken, worden verwijderd met die klassieke IT-zet: uit- en weer inschakelen. Daarom heeft de FBI de volgende aanbeveling gedaan:
“De FBI raadt alle eigenaren van routers voor kleine kantoren en thuiskantoren aan de apparaten te herstarten (power cycle, reboot).”
Zoals u wellicht weet, is het opstarten de technische term voor het aanzetten van een computerapparaat, waarbij basiscode wordt geactiveerd die is opgeslagen op chips in het apparaat. De allereerste code die wordt uitgevoerd is de code die is opgeslagen in wat wij “firmware” noemen, wat betekent dat deze wordt beschouwd als onderdeel van de hardware. Beschouw de code in de firmware als moeilijk te veranderen (in sommige gevallen is het praktisch onmogelijk).
De volgende code die tijdens het opstartproces wordt uitgevoerd is code die is opgeslagen in een zogenaamd niet-vluchtig geheugen, een type geheugen dat gegevens vasthoudt, zelfs als het apparaat is uitgeschakeld. Dat is anders dan vluchtig geheugen, het normale soort geheugen dat wordt gewist wanneer je je computer uitschakelt (of wanneer de stroom uitvalt).
Bedenk dat je router een computer is, met firmware en geheugen, zowel vluchtig als niet-vluchtig. Wanneer een router wordt aangetast door VPNFilter-malware, worden stukjes kwaadaardige code in het vluchtige geheugen geladen. Opnieuw opstarten of de stroom uitschakelen van je router zal dat wissen, en dat is wat de FBI wil dat je doet.
Voor sommige mensen is de makkelijkste manier om de router opnieuw op te starten de stekker uit het stopcontact te halen, 30 seconden te wachten, en dan de stekker er weer in te steken. Er kan ook een aan/uit-schakelaar op de achterkant van de router zitten. In dat geval kun je de router uitzetten, 30 seconden wachten en hem dan weer aanzetten. Dat moet je echter niet doen, tenzij je zeker weet dat de schakelaar die je gebruikt de aan/uit-schakelaar is.
Reboot vs. reset
Hoe zou je in de war kunnen raken over de aan/uit-schakelaar? Sommige routers hebben meerdere schakelaars; de router op mijn bureau heeft bijvoorbeeld een “Wi-Fi” aan/uit-knop, een aan/uit-knop en een zogenaamde WPS-knop. Uw router kan ook een reset-schakelaar of een knop “Fabrieksinstellingen herstellen” hebben. Het resetten van uw router en daarmee het herstellen naar de fabrieksconfiguratie is iets heel anders dan het opnieuw opstarten.
Het uitvoeren van een reset zal zowel vluchtig geheugen als niet-vluchtig geheugen wissen. Dit laatste is waar uw router alle wijzigingen opslaat die u in de configuratie hebt aangebracht. De meeste routers worden bijvoorbeeld geleverd met een standaard beheerdersnaam en wachtwoord die je moet wijzigen om te voorkomen dat aanvallers hem overnemen. Hoe kunnen ze dat doen? Omdat de standaardgebruikersnamen en -wachtwoorden algemeen bekend zijn. Ze staan vaak op de achterkant van de router gedrukt en kunnen worden achterhaald via een Google-zoekopdracht op basis van uw modelnummer. Op mijn bureau staat bijvoorbeeld een Netgear WNDR3400:
Dit model heeft, net als veel andere, een browsergebaseerd controlepaneel dat u vanaf uw computer kunt gebruiken (meestal via een URL als http://192.168.1.1). Via de interface kunt u instellingen wijzigen die vervolgens worden opgeslagen in het niet-vluchtige geheugen van de router. Het configuratiescherm van mijn router ziet er als volgt uit:
Merk op dat ik de instellingen voor gebruikersnaam en wachtwoord en SSID (de naam van het draadloze toegangspunt) heb uitgewist. Ik heb deze ook op een stuk papier opgeschreven zodat ik, wanneer ik de router reset, de instellingen opnieuw kan invoeren en de configuratie kan herstellen.
Waarom zou ik een router reset willen uitvoeren? Wanneer uw router wordt gecompromitteerd door VPNFilter-malware, wordt een deel van de code in het niet-vluchtige geheugen geschreven, zodat het niet verdwijnt wanneer u gewoon opnieuw opstart. Die resterende code stelt het apparaat in staat om na een herstart een webdomein te bereiken en verse malware in het geheugen te downloaden … behalve dat de FBI dat domein nu controleert. Dus zelfs als u de VPNFilter-code niet uit het niet-vluchtige geheugen hebt verwijderd, wordt deze momenteel verhinderd om verse malware te downloaden.
Hoe voert u een routerreset uit?
Het overnemen van de controle over een malware domein wordt “sinkholing” genoemd en dit was slim werk van de FBI. U kunt echter besluiten dat u uw router toch wilt resetten. Dit zou de laatste VPNFilter code van het apparaat moeten verwijderen.
Hoe je de reset uitvoert verschilt per merk en model. Ik raad je sterk aan om naar de website van de routerfabrikant te gaan en daar de instructies te halen, specifiek voor jouw model. Wees voorzichtig als u besluit om de instructies voor uw apparaat te googelen, omdat er pogingen kunnen zijn om de zoekresultaten met betrekking tot dit probleem te vergiftigen. U kunt de resultaten beperken tot pagina’s op de website van de fabrikant door de parameter “site” als volgt te gebruiken: Netgear WNDR3400 factory reset site:netgear.com.
Wat volgt is een algemene handleiding die u op eigen risico gebruikt.
Voor veel routers is de reset-operatie meer dan het omzetten van een schakelaar, het gaat om de klassieke “paperclippook” en een klein gaatje in het apparaat. Dit kan in de documentatie van de fabrikant worden aangeduid als “Restore Factory Settings” of iets dergelijks. Het staat vaak op de achterkant van het apparaat, samen met de standaardwaarden, zoals dit:
Om verder te gaan met de reset, moet u er eerst voor zorgen:
- U kent de standaardgebruikersnaam en het standaardwachtwoord voor het apparaat, omdat u deze nodig hebt om toegang te krijgen tot het apparaat na de reset.
- U hebt alle aanpassingen die u hebt gemaakt aan de fabrieksinstellingen vastgelegd, zoals het wijzigen van het wachtwoord van de router, evenals de draadloze SSID-naam en het wachtwoord.
- De router is ingeschakeld.
- U hebt iedereen die gebruikmaakt van het netwerk gewaarschuwd om hun werk op te slaan.
- De router is losgekoppeld van het internet (als de reset het wachtwoord van de router terugzet naar een bekende standaardwaarde en de router op het internet staat, wordt het meteen een soft target).
Nu pak je je prik-voorwerp – een rechtgetrokken paperclip, of iets dergelijks, zoals het pinnetje dat je bij je smartphone of tablet hebt gekregen om de microSD-kaart of SIM-tray open te wrikken – en volg je deze drie stappen om de reset uit te voeren:
- Steek voorzichtig een pennetje in het reset-gaatje waar je voelt dat het een knopje indrukt.
- Houd de knop 10 seconden ingedrukt
- Laat los.
Dit zal ervoor zorgen dat de lampjes op de router veel knipperen, maar na een minuut of zo zullen ze tot rust komen. Voordat u de router weer op internet aansluit, moet u zich echter aanmelden bij de router om het beheerderswachtwoord van de router te wijzigen van het standaardwachtwoord en andere wijzigingen door te voeren, zoals het instellen van de draadloze SSID-naam en het wachtwoord.
Samenvatting
Samenvattend: de VPNFilter-malware vormt een ernstige bedreiging voor de veiligheid en beschikbaarheid van netwerken van kleine kantoren en thuiskantoren. Zelfs als u niet een van de routers in de onderstaande lijst gebruikt, moet u actie ondernemen. De volgende maatregelen moeten minimaal worden genomen:
- Als uw router door uw internetprovider wordt geleverd, zet hem dan uit en weer aan en vraag uw internetprovider om verder advies.
- Als u zelf een router hebt of onderhoudt, start hem dan opnieuw op, wijzig het standaardwachtwoord en controleer of er firmware-updates beschikbaar zijn bij de routerfabrikant; installeer deze als dat het geval is.
Als u de weg weet met netwerkhardware, kunt u ook het volgende doen:
- Maak uw router los van het internet en voer een routerreset uit.
- Installeer de meest recente firmware opnieuw.
Voor voortdurende bescherming – en hopelijk is dat tegenwoordig vanzelfsprekend – moet u gerenommeerde beveiligingssoftware draaien op al uw netwerkapparaten, zoals laptops, pc’s, Macs, Android-tablets, smartphones en ja, zelfs uw smart-tv.
Daarnaast moet iedereen op de hoogte blijven van verder nieuws over VPNFilter en andere kwaadaardige code die zich richt op netwerkverbonden apparaten. Ik hoop dat u WeLiveSecurity al volgt. Ik kan ook aanraden: Krebs On Security, Security Week, Bleeping Computer, en Morning Cybersecurity.
Ten slotte, als u wilt dat uw regering meer doet om aanvallen als deze in de toekomst te voorkomen – en ik ben ervan overtuigd dat er veel meer is dat regeringen zouden kunnen doen – overweeg dan een bericht te sturen naar uw gekozen vertegenwoordigers waarin u om actie vraagt.
Bronnen
Links naar instructies en updates van getroffen routerleveranciers.
Herstel naar fabrieksinstellingen | Upgrade naar nieuwste firmware | Wijzig standaardwachtwoord | Sluit beheer op afstand | Advisory | |
---|---|---|---|---|---|
Linksys | Reset | Upgrade | Wijzig | Disable | VPNFilter Malware Update |
MikroTik | Reset | Upgrade | Change | Disable | VPNFilter officiële verklaring |
NetGear | Reset | Upgrade | Change | Disable | Security Advisory for VPNFilter Malware on Some Routers | QNAP | Reset | Upgrade | Change | Disable | Security Advisory for VPNFilter Malware | TP-Link | Reset | Upgrade | Change | Disable | VPNFilter Malware Security |
Lijst van routermodellen waarvan bekend is dat ze risico lopen (maar er kunnen er meer zijn)
Linksys: E1200, E2500, WRVS4400N
Mikrotik Routerversies voor Cloud Core Routers: 1016, 1036, 1072
Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
QNAP: TS251, TS439 Pro, andere QNAP NAS-apparaten met QTS-software
TP-LINK: R600VPN
Meer artikelen over routers op WeLiveSecurity:
Vijf manieren om te controleren of uw router veilig is geconfigureerd
Hoe beveiligt u uw router om IoT-bedreigingen te voorkomen?
Veilig uw router: Hoe helpt u de volgende internet-takedown te voorkomen
Het wachtwoord stelende beveiligingslek ontdekt in veel Netgear-routers
FTC IoT privacy en security push wijst op D-Link router- en webcamfouten
CERT waarschuwt dat Netgear-routers gemakkelijk kunnen worden uitgebuit
900.000 Duitsers offline gehaald, nu kritieke routerfout wordt uitgebuit