Znajomy właśnie podrzucił mi link artykułu w serwisie Komputer Świat, w którym Dawid Długosz pisze o tym, że TP-Link naraża swoich użytkowników na niebezpieczeństwo, bo nie m.in. opłacili domeny służącej jako adres do logowania do panelu zarządzania routerem…

Router TP-Link i (bez)użyteczne domeny

W artykule jest mowa o domenie tplinklogin.net, która jakoby jest używana przez użytkowników routerów TP-Link do logowania się do panelu zarządzania swoim routerem:

TP-Link naraża użytkowników własnych ruterów na niebezpieczeństwo. Ktoś w firmie zapomniał opłacić domeny tplinklogin.net, która używana jest do logowania się do urządzeń.

(…) TP-Link ma własną – tplinklogin.net. (…) ktoś po prostu nie opłacił wymienionej domeny i ta może z czasem przekierowywać użytkowników na zupełnie inną stronę niż logowania do rutera.

Obecnie wpisanie w przeglądarkę tplinklogin.net przekierowuje na stronę, gdzie znajdziemy informację, że domena może być dostępna na sprzedaż. (…)

Faktycznie mogłoby to brzmieć groźnie, bo sam na naklejce swojego routera TP-Link mam właśnie podany taki adres jako adres do logowania, z tym, że akurat nigdy z niego nie korzystałem, bo do panelu zarządzania routerem łącze się korzystając z jego adresu IP. Ale może jestem wyjątkiem…

Trudno powiedzieć, jak skończy się ta sytuacja. Na forach internetowych wrze od wątków użytkowników, którzy po wpisaniu tplinklogin.net nie mogą zalogować się do rutera i proszą o pomoc. Domena może równie dobrze zostać przejęta przez cyberprzestępców i następnie wykorzystana do przekierowywania użytkowników ruterów TP-Link na stronę, gdzie mogą zostać wykradzione dane.

To już wydaje mi się być totalną… fantazją – oczywiście nie wiem jak wygląda sytuacja w przypadku wszystkich routerów tego producenta, ale patrząc na mechanizm działania w przypadku routerów tego producenta, z którymi ja miałem do czynienia to raczej w przypadku każdego TP-Linka wygląda to tak samo:

Po wpisaniu w przeglądarce adresu tplinklogin.net (w oprogramowaniu dostępnym już chyba od kilku lat następuje w tym momencie przekierowanie na domenę tplinkwifi.net, na naklejkach nowszych urządzeń również już chyba znajduje się taki adres) uruchamia nam się strona logowania do panelu naszego routera – ale tak naprawdę nie wchodzimy na żadną stronę „gdzieś w internecie”, tylko oprogramowanie routera przechwytuje ten adres (i klika innych) i po prostu podstawia pod niego lokalny (w ramach sieci LAN) adres IP naszego routera, na którym działa znajdujący się w routerze webserwer z panelem zarządzania.

Dlatego w tym kontekście (logowanie do panelu zarządzania routerem) nie ma znaczenia kto jest właścicielem domeny, ani czy jest jakakolwiek strona pod tym adresem czy nie – router i tak tego zapytania nie puszcza w świat:

Patryk@Webinsider: traceroute tplinklogin.net
traceroute to tplinklogin.net (10.0.0.1), 30 hops max, 60 byte packets
1 10.0.0.1 (10.0.0.1) 0.367 ms 0.293 ms 0.329 ms

Czy z Windowsa:

C:\ > tracert tplinklogin.net
Śledzenie trasy do tplinklogin.net [10.0.0.1]
z maksymalną liczbą 30 przeskoków:
1 <1 ms <1 ms <1 ms 10.0.0.1
Śledzenie zakończone.

I jeszcze zapytanie o 2 domeny za pomocą programu/komendy dig (z pakietu dnsutils), dzięki czemu podejrzymy rekordy A dla tych domen:

tplinklogin.net. 172800 IN A 10.0.0.1
tplinkwifi.net. 172800 IN A 10.0.0.1

Oba zapytania wykonane w celowo do tego celu przygotowanej testowej sieci LAN, w której żadne z urządzeń nie miało dostępu do internetu (ani DNSów), a jak widać strona działa – bo w tym przypadku domena, jak i to kto jest jej posiadaczem, i na jaki serwer kieruje nie ma znaczenia.

Dlatego tym bardziej dziwi fragment „na forach internetowych wrze od wątków użytkowników, którzy po wpisaniu tplinklogin.net nie mogą zalogować się do rutera”, bo jak ma nie działać, jak domena jest przetwarzana lokalnie, po stronie routera, w ramach sieci LAN?! No chyba, że jacyś „internetowi wyjadacze” próbują wejść na ten adres z innej sieci, gdzie nie ma routera TP-Link… ;-)

Gdy nie wiesz o czym piszesz

Gdyby taki artykuł pojawił się na parówkach, czy innym równie „technologicznym portalu” to może bym nic nie pisał. Ale artykuł pojawił się jednak na portalu związanym bezpośrednio z branżą informatyczną, a więc można by chyba wymagać trochę większej – lub przynajmniej lepszego przyjrzenia się tematowi – wiedzy od autorów tam piszących.

Ale by oddać sprawiedliwość p. Dawidowi napiszę, że nie tylko on w ostatnich dniach na ten temat pisał, i być może niepotrzebnie „zainspirował” się jednym z wpisów w zagranicznych serwisach…

Domena od dawna (nie)zarejestrowana

Ale nawet bez dostępu do routera TP-Link, nawet bez możliwości sprawdzenia doświadczalnie jak przebiega cały proces można skorzystać z dowolnego narzędzia WhoIS, by sprawdzić, że wspomniana domena faktycznie przypisana jest do Above, ale już od kilku lat:

Domain Name: TPLINKLOGIN.NET
Registrar: ABOVE.COM PTY LTD.
Sponsoring Registrar IANA ID: 940
Whois Server: whois.above.com
Name Server: NS3.ABOVE.COM
Name Server: NS4.ABOVE.COM
Updated Date: 02-may-2016
Creation Date: 31-may-2011
Expiration Date: 31-may-2017

A artykuł – by nie było wątpliwości – świeżynka, bo z 5 lipca 2016…

Potencjalna możliwość wyłudzenia danych logowania

Jedyne zagrożenie jakie zdaje się wiązać z tym tematem to sytuacja w której ktoś – bez sensu, ale widziałem głupsze rzeczy – korzystając z sieci w innym miejscu postanowi skonfigurować swój domowy router korzystając właśnie z tego adresu.

Ale nawet w tej sytuacji występuje kilka mechanizmów obronnych, które zadziałają tym lepiej, nim mniejszą wiedzę prezentuje użytkownik (a chyba tylko taki ma szansę się na to złapać):

  • Login i hasło do routera nic nie da – potrzebny jest jeszcze jego publiczny adres IP, którego pewnie nie zna (a być może i nie ma)
  • Login i hasło nawet w połączeniu z publicznym adresem IP niewiele pomoże, jak na routerze nie ma ustawionego zarządzania z zewnętrza
  • Pan Krystyna z działu księgowości nie ma potrzeby zarządzania routerem… ;-)
(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk