全球 60% 的路由器成為目標?從 TP-Link 遭駭事件看 DNS 安全的真實面貌
近期,IT 資安界掀起軒然大波。有消息指出,俄羅斯軍事情報單位(GRU)針對全球範圍內的 TP-Link 路由器發動了大規模駭客攻擊。根據美國情報機構和 FBI 的官方聲明,駭客利用路由器漏洞建立龐大的殭屍網路,並將其用於情報活動。
事實上,TP-Link 是全球路由器市場佔有率超過 60% 的巨頭企業。因此,過去一直有陰謀論如影隨形,例如「這家公司有中資背景,可能植入了後門程式」、「只要他們想,就能監控全世界」。
當然,我並不完全相信這些如同電影情節般的陰謀論。即使撇開陰謀論不談,原因也很明確。就像駭客不會費力氣去製作針對市場佔有率較低的 Linux 發行版病毒,而是選擇攻擊 Windows 一樣,對於路由器駭客而言,專攻 TP-Link 這種銷量最高的品牌,只要找到一個漏洞,投入產出比就極為可觀。簡而言之,它只是個「體型龐大」、容易成為目標的品牌罷了。
本次攻擊的核心:DNS 劫持 (Hijacking)
在這次事件中,駭客們採用了一種非常經典卻極具威脅性的手法——「DNS 劫持」。他們透過 TP-Link 的漏洞,取得數千甚至數萬個路由器的管理員權限,然後將預設的 DNS 位址改為駭客預先準備好的虛假 DNS 伺服器。
用戶照常存取 Google 或 YouTube,但實際上卻會經過駭客的伺服器。在這個過程中,用戶輸入的帳號、密碼,甚至是會話令牌(Session Token),都會被完整竊取。這就像是你家的門鎖鑰匙落入了駭客手中。
💡 什麼是 DNS (Domain Name System)?
簡單來說,它是網際網路的「電話簿」。當我們在網路瀏覽器中輸入google.com這類文字時,電腦本身無法理解。因此,它會向 DNS 伺服器詢問「Google 的位址是什麼?」,然後接收到142.250.xxx.xxx這樣的數字 IP 位址。但如果這個電話簿被駭客竄改了呢?當你請它尋找「我家」時,即使駭客告訴你「小偷的家」的位址,你也會毫不懷疑地走進去。
FBI 的應對:以駭制駭?
有趣的是美國 FBI 的做法。他們宣布,已獲得法院許可,動用了所謂的「尖端技術」和「特殊指令」,將受害者的路由器設定恢復原狀。
話說得漂亮是「恢復」,但冷靜地說,這意味著 FBI 也利用了 TP-Link 的漏洞,未經授權地入侵(駭入)用戶的路由器並更改了設定。這相當於在國家機關的名義下執行了一次合法的「反向駭客」行為,這場景確實令人玩味。
您的路由器安全嗎?
問題在於韓國或日本這類國家。這些對個人資料和權限問題敏感的國家政府機構,不可能像 FBI 那樣「親切地(?)」進入我的路由器更改設定。從一開始,他們是否有這種能力或系統都令人懷疑。
最終,我們能相信的只有自己。除非您居住在美國,否則閱讀本文的您必須親自登入路由器的管理介面,檢查其狀態。即使不是 TP-Link 路由器也無妨。現在就動手確認吧。
立刻採取的三項措施
-
檢查 DNS 伺服器設定: 在路由器管理頁面中檢查 DNS 位址。如果發現不是您自己設定的陌生 IP,請立即修改。如果不確定,直接使用下面的公共 DNS 伺服器會最省心。
- Cloudflare:
1.1.1.1 - Google:
8.8.8.8
- Cloudflare:
-
韌體更新(必做): 既然已經進入管理模式,就順手點擊韌體更新按鈕吧。製造商發布的最新修補程式是堵塞路由器漏洞的唯一方法。平時可能不曾留意,但希望藉此機會,更多人能為自己的路由器進行韌體更新。
-
更改密碼(基本中的基本): 我敢打包票,肯定還有人將管理員密碼設為
admin,甚至根本沒有設定密碼。這無異於敞開大門卻期望小偷不會上門。拜託,請務必先設定密碼。
結語
駭客攻擊並非電影情節。只要我們的裝置連接上網際網路,我們就無時無刻不處於被鎖定的狀態。特別是路由器,它是我們家中所有網路流量的「門戶」。
若連基本的安全規範都不遵守,卻在個人資料被竊取後歸咎於企業或國家,這無疑是最愚蠢的行為。我認為,至少我們應該自己保管好家門的鑰匙。希望更多人能關注駭客攻擊與資安問題。如此一來,為了營利的公司也會因為懼怕消費者而投入更多資安成本,最終我們所有人都能享受到更安全的服務,不是嗎?