Aspect deseori neglijat de utilizatorii mai puţin experimentaţi, setarea unei parole pentru routerul de reţea sau înlocuirea parolei standard lăsată de producător poate avea consecinţe nedorite mai târziu, echipamentul lăsat neprotejat devenind ţintă singură pentru hackeri oportunişti, care vor putea accesa fără probleme dispozitivele conectate în reţeaua locală, modifica setări după bunul plac şi chiar altera firmware-ul dispozitivului inserând componente malware.
Potrivit unui raport publicat de experţii companiei de securitate Incapsula, mai multe zeci de mii de routere broadband au fost incluse într-o vastă reţea de tip Botnet, capabilă să iniţieze atacuri DDoS. Depistat în luna decembrie, un atac de tip HTTP Flood a folosit simultan 40269 adrese IP de la 1600 furnizori ISP din lumea întreagă, generând un volum uriaş de trafic îndreptat asupra serverelor alese drept ţintă. Investigând originea atacului, specialiştii companiei au identificat nu mai puţin de 60 centre de comandă – servere controlate de hackeri şi folosite pentru coordonarea reţelei botnet, formată aproape exclusiv de routere broadband pentru acasă şi la birou.
Iniţial, experţii companiei au crezut că au de-a face cu o nouă vulnerabilitate descoperită în firmware-ul dispozitivelor, care permite ocolirea sistemelor de securitate implementate de producătorii echipamentelor. O analiză mai atentă a arătat însă că majoritatea dispozitivelor pot fi accesate din internet folosind portul de conectare implicit şi conexiuni HTTP sau SSH, procesul de autentificare fiind completat furnizând parola standard pre-configurată de producător. Odată accesate, firmware-ul dispozitivelor a fost injectat cu diferite variante ale malware-ului Mr.Black, a cărui semnătură a fost identificată în atacurile DDoS.
Potrivit raportului publicat, mai mult de 85% dintre routerele de reţea compromise se află în Thailanda şi Brazilia. Majoritatea centrelor de comandă sunt însă găzduite în Statele Unite (21%) şi China (73%).
Pe lângă măsurile ce pot fi luate de furnizorii ISP pentru a limita propagarea acestor atacuri, utilizatorii sunt îndrumaţi să debifeze din setările routerului orice opţiuni pentru accesarea de la distanţă a interfeţei de configurare (remote access), respectiv să configureze o parolă de admin personalizată. În ultimă instanţă, dacă bănuim că routerul de reţea a fost deja compromis putem face upgrade la o nouă versiune de firmware pusă la dispoziţie de producătorul echipamentului.