Zyski z tanich domowych routerów są zbyt małe, by zapewnić im odpowiednie bezpieczeństwo

Producenci tanich routerów, wykorzystywanych chętnie w domach imałych firmach mało się przejmują kwestiami ich bezpieczeństwa –tak przynajmniej wynika z badań przeprowadzonych przez niezależnąfirmę badawczą, która przyjrzała się kilkunastu modelom,dostępnym obecnie na sklepowych półkach.Ataki na routery zajmują już poczesne miejsce wśród zagrożeńdla infrastruktury IT. Regularnie pojawiają się informacje oodkrywanych w ich oprogramowaniu podatnościach, a czasami napastnicyodnoszą spektakularne sukcesy, jak np. w 2011 roku, kiedy toofiaramiataku, wykorzystującego luki w firmware urządzeń sześciuproducentów padły miliony brazylijskich użytkowników. A jednakraport pt. Exploiting SOHO Routers, przygotowanyprzez firmę Independent Security Evaluators pokazuje, że niewielesię dzieje w dziedzinie ochrony tych, którzy nie mają do wydaniawiększych pieniędzy na punkty dostępowe WiFi.Badaniami objęto 13 popularnychrouterów takich marek jak Linksys, Netgear, TP-Link czy Belkin,ale jak twierdzi Craig Heffner, analityk z firmy Tactical NetworkSolutions, nie można zagwarantować, że problem ogranicza siętylko do nich – w zasadzie każde sprzedawane dzisiaj urządzeniemoże być skutecznie zaatakowane. Spośród przebadanego sprzętu,żaden nie był w stanie oprzeć się atakom wyprowadzonym z siecilokalnej, podczas gdy 11 z nich było podatnych na atak przez siećWAN, możliwy do przeprowadzenia przez umiarkowaniezdolnych napastników.[img=router]Szef marketingu ISE, Ted Harrington,twierdzi, że te odkrycia uzupełniają niedawno wydane badania firmyRapid7, dotyczące przede wszystkim możliwości ataków na webowepanele administracyjne routerów. W podsumowaniu swoich odkryćludzie z Rapid7 napisali, że nie ma co liczyć na lepszezabezpieczenia od producentów, ponieważ nie zarabiają oni dośćna tych urządzeniach, by zapewnić stałe aktualizacjeoprogramowania. Efekt takiego podejścia, jest zdaniemHarringtona katastrofalny dla bezpieczeństwa sieci: jeśliprzejmiesz router, jesteś już za zaporą sieciową, możeszwyciągnąć z e-maili numery kart kredytowych, poufne dokumenty,fotografie, wszystko co zechcesz.ISE przeprowadzone przez siebie atakina routery (z których wszystkim wyłączono mechanizm zdalnegozarządzania) podzieliło na trzy kategorie: trywialne, wyprowadzanebezpośrednio przeciwko urządzeniom, bez interakcji z użytkownikiemczy konieczności posiadania danych logowania, nieuwierzytelnione,które zwykle wymagają nakłonienia użytkownika do kliknięciaspreparowanego linku oraz uwierzytelnione, w których napastnik musidysponować danymi logowania, albo też ofiara jest zalogowana dourządzenia z aktywną sesją w przeglądarce. Standardowa procedura badawczawyglądała następująco: atakXSRF, który w razie powodzenia pozwalał na zresetowanie hasłaadministratora lub dodanie nowego administratora – i włączeniezdalnego zarządzania. Jeśli to się nie powiodło, próbowanoinnych metod – wstrzykiwania komend powłoki, ataków typudirectorytraversal, wgrywania skryptów przez FTP czy wreszcie włączaniadodatkowych, podatnych na atak usług. Na szczęście żaden z ataków„trywialnych” nie zadziałał w wypadku działających z zewnątrznapastników, ale już dla ataków z sieci lokalnej powiodły sięone w jednej trzeciej wypadków. Nieuwierzytelnione ataki rzadkokiedy były możliwe z zewnątrz, ale lokalnie możliwe były równieżw jednej trzeciej wypadków. Najgorzej z atakami przeciwkouwierzytelnionym sesjom – wówczas routery niemal zawsze padałyofiarami napastników, zarówno z sieci zewnętrznych jak i siecilokalnej.Niestety reakcje wszystkich producentówna takie odkrycia niezależnych badaczy wcale nie są takie, jakichnależałoby oczekiwać. Gdy ISE przedstawiło im odkryte woprogramowaniu ich routerów luki, niektórzy przedstawili gotowepoprawki w ciągu 72 godzin, jednak byli też i tacy, którzy jedynienabrali wody w usta. Co mogą zrobić użytkownicy?Niestety, zdaniem badaczy – niewiele, poza oczywiście zachowaniamizdroworozsądkowymi: ustawieniem mocnych haseł, szyfrowania sieciprzez WPA2, ustawianiem adresu IP routera na niestandardowy iaktualizowaniu firmware'u urządzenia po jego zakupie. Bardziejdoświadczeni powinni jednak w ogóle zrezygnować z firmowegooprogramowania: Darren Kitchen z firmy Hak5, produkującej sprzęt dotestów penetracyjnych, radzi by (jeśli to możliwe) instalować naswoich niezależne oprogramowanie, takie jak OpenWRT czy Tomato.Z raportem Independed SecurityEvaluators możecie zapoznać się tutaj.