Rostoucí problém, o kterém nemusíte vědět
Za poslední rok se dramaticky rozrostly takzvané rezidenční proxy sítě. Ty dokážou běžná domácí internetová připojení proměnit ve výstupní body pro cizí provoz. Někteří lidé si takový software instalují vědomě výměnou za pár dolarů měsíčně. Mnohem častěji se ale na zařízení dostane malware prostřednictvím pochybných aplikací nebo rozšíření do prohlížeče.
Problém je v tom, že o celé situaci často ani nevíte. Internet funguje normálně, Netflix běží bez problémů, ale váš router mezitím někde v pozadí skenuje zranitelnosti nebo se podílí na útocích na servery po celém světě. Nejste cílem – jste zbraní.
Zkrátka někdo se připojí k internetu skrze vaše domácí připojení. Pro cílový web to vypadá, jako by požadavek přicházel od vás – z vaší IP adresy, z vašeho města, od vašeho poskytovatele internetu. Oni surfují po internetu, ale vypadá to, jako byste to dělali vy. A to nechcete.
Zdroj: screenshot webu GreyNoise
Jak nástroj funguje?
Nástroj GreyNoise IP Check je extrémně jednoduchý. Navštívíte web check.labs.greynoise.io a během pár vteřin se dozvíte, jestli vaše IP adresa byla zachycena při skenování internetu. Služba GreyNoise IP Check nevyžaduje registraci ani zadání emailu.
Výsledek testu může být trojí:
- Clean (čistý): Žádná škodlivá aktivita nebyla detekována.
- Malicious/Suspicious (škodlivý/podezřelý): IP adresa vykazovala podezřelé chování. Je potřeba prověřit všechna zařízení v síti.
- Common Business Service: (běžná firemní služba): IP patří VPN, firemní síti nebo cloudovému poskytovateli, což je v tomto prostředí normální.
Pokud nástroj nějakou aktivitu najde, zobrazí také časovou osu za posledních 90 dní. To může pomoct určit, kdy k případné infekci došlo. Například pokud škodlivé skenování začalo krátce po instalaci nějaké pochybné aplikace, máte solidní vodítko.
Zdroj: GreyNoise
Technické možnosti
Pro pokročilejší uživatele je k dispozici i JSON API bez nutnosti registrace a bez omezení rychlosti dotazů. Stačí zavolat: curl -s https://check.labs.greynoise.io/
Toto API lze integrovat do skriptů, systémů správy zařízení nebo třeba do připojovacích VPN procesů. Představte si notebook, který automaticky zkontroluje reputaci sítě při připojení k nové Wi-Fi a v případě podezřelé aktivity automaticky VPN aktivuje.
Mohlo by vás zajímat
Čínští hackeři ovládají tisíce starších routerů Asus: Jak zjistit, jestli mezi nimi není ten váš?
Bezpečnost
Co dělat, když test odhalí problém
Pokud vám test ukáže výsledek "Škodlivý/Podezřelý", je na čase začít s prověrkou. Spusťte antivirové kontroly na všech zařízeních v síti, zvláštní pozornost věnujte routerům a chytrým televizím. Aktualizujte firmware na všech zařízeních, změňte administrátorská hesla a vypněte vzdálený přístup, pokud ho nevyužíváte.
Pokud jste v rodině ten, kdo řeší počítače, hodí se tento nástroj perfektně během vánočních nebo novoročních návštěv. Za třicet vteřin zjistíte, jestli síť příbuzných nemá problém. Je to mnohem méně invazivní než procházet jejich zařízení.
Mohlo by vás zajímat
Proč je to důležité právě teď
Rozsah zneužívání domácích IP adres se dramaticky změnil. Z původně především kompromitovaných domácích routerů se stal celý ekosystém rezidenčních proxy služeb, IoT botnetů a problémů v dodavatelském řetězci spotřební síťové techniky. Senzory GreyNoise zaznamenávají miliony rezidenčních IP adres zapojených do skenování každý měsíc.
Problém s kompromitovanými domácími IP adresami je v tom, že jsou pro postižené uživatele neviditelné. Na rozdíl od ransomwarového útoku se kompromitovaný router neprozradí. Vaše IP adresa si ale buduje reputaci a může skončit na blacklistech nebo spouštět bezpečnostní alarmy, když se pokusíte přistoupit k některým službám.
Zdroj: GreyNoise, test, Luděk Mandok
5 foto
video