Minulý týden jsem vám dal první ochutnávku divokého světa zabezpečení domácího routeru.
Ve zprávě jsem se zabýval několika důvody, proč se výrobci routerů i po třech desetiletích podnikání snaží udržet krok s hackery při ochraně osobních, profesionálních a finančních informací o zákaznících před poškozením.
Nyní, jak jsem slíbil, jsem tento týden zpět s druhým jednáním. Nejprve se ponořím do hlavy, proč i po tolika letech na trhu naše domácí síťové vybavení stále žalostně zaostává za zvonovou křivkou, pokud jde o ochranu dat, která máte nejdražší.
Toto je váš základ pro to, kde je zabezpečení routeru nyní nejslabší, a kde to může stát, aby se co nejvíce zlepšilo na cestě vpřed.
Zkratky jsou hojné
Nejprve začnu tím, že uvedu několik pojmů, které by průměrný čtenář mohl rozpoznat, aniž by nejprve musel rozbít slovník.
WEP, WPA, WPA2, WPA-KLMNOP.
Pokud si můžete vybrat ten, který jsem vytvořil, gratuluji, jste již v polovině svého vzdělávání o mnoha různých stylech obrany, které směrovače mohou nasadit k zabezpečení místně vysílaného bezdrátového signálu.
Neodmyslitelným problémem naší závislosti na těchto šifrovacích standardech je to, že jakkoli mohou být samy o sobě, prozatím řeší pouze hrozby, které útočí na vaši bezdrátovou síť, a nic jiného.
Šifrování Wi-Fi chrání vaše data v éteru, ale nedělá nic pro bezpečnostní chyby ve firmwaru routeru.
Jistě, pokud se některý z vašich sousedů pokouší zachytit váš signál Wi-Fi od sousedních dveří, WPA2 je skvělý způsob, jak udržet vaši síť pod zámkem. Díky 256bitovému šifrování AES by trvalo několik let, než by se standardnímu počítači podařilo dosáhnout kilometru prolomení hesla pro bezdrátový přístup.
Ale přesto protokol AES nepočítá s hackery, kteří by se mohli pokusit přichytit se přes dráty, obvykle otvory, které zůstaly otevřené v univerzálních službách Plug n Play, ověřování WPS (jedno stisknutí bezdrátového přihlašovacího tlačítka v horní části routeru ) nebo Protokol pro správu domácí sítě (HNAP). První dva jsou natolik prošpikované zranitelnostmi, že by bylo třeba věnovat článek věnovaný každému z nich, aby byly problémy uvedeny v plném rozsahu, ale poslední je místo, kde se věci opravdu začnou odehrávat.
Protokol HNAP je navržen tak, aby vám nebo vašemu ISP umožnil přístup k webovému konfiguračnímu nástroji routeru, obvykle přímo prostřednictvím prohlížeče nebo souborového systému vašeho počítače. Pravděpodobně to nejlépe poznáte jako výzvu, která vás požádá o zadání uživatelského jména a hesla, kdykoli do adresního řádku napíšete „192.0.168.1“ (nebo nějaká variace těchto čísel).
Podle studie vydané v roce 2014 společností Tripwire zhruba 80 procent uživatelů nezmění tato pověření z výchozí kombinace, s níž byli původně dodáni. Díky tomu je hackerům mimořádně snadné proniknout do jádra vnitřního fungování routeru pomocí oprávnění vzdálené správy, obvykle bez nutnosti dělat cokoli jiného, než psát „admin“ a „heslo“ do čekajících prázdných polí.
Od této chvíle je váš směrovač - a vše, co má chránit - otevřenou sezónou pro zločinecké organizace a jejich finančně motivované rozmary. A i když to nemusí být chyba samotných tvůrců routerů (existuje jen tolik, co může společnost udělat, aby ochránila zákazníka před sebou samými), v další části se dozvíte, kde shodili míč stejně tvrdě jako zbytek z nás.
„Firma“ je silné slovo
Jak název napovídá, firmware je podobný softwaru, kromě toho, že se vztahuje na nástroje odpovědné za provozování vnitřních funkcí hardwaru, místo aby podporoval jakékoli programy nebo aplikace nainstalované na samotném systému.
Každý router, který vlastníte, má verzi firmwaru, která běží v zákulisí, a je nejsnadněji rozpoznatelný ve vizuálním formátu jako webová aplikace, která se otevře kdykoli při přístupu k přihlašovacím údajům HNAP.
Image Credit: Amazon Tady je možné vyladit a nakonfigurovat vše od oprávnění přesměrování jednotlivých portů až po rodičovskou kontrolu a individuální předvolby uživatele, včetně možnosti úplně povolit (nebo zakázat) vzdálenou správu.
Teoreticky je zahrnutí firmwaru samo o sobě v pořádku, dokonce nutné. Vyvstává však problém, když se výrobci těchto zařízení rozhodnou rozdělit riziko infekce tím, že se spojí sloučení desítek různých modulů do jednoho kusu frankenštejnského firmwaru, místo aby navrhovali jednotlivé zátěže přizpůsobené každé nové značce a modelu samostatně. .
Nedostatky tohoto přístupu se konečně objevily na konci roku 2014, kdy byl svět představen Misfortune Cookie. Chyba, kterou více než 200 samostatných modelů routerů ohrožuje stejným zneužitím, kvůli praxi křížového opylování firmwaru mezi mnoha nejoblíbenějšími modely v oboru. Celkově vzato bylo 12 milionů domácností vystaveno rozmarům bulletinu CVE-2014-9222, který byl doposud opraven pouze u odhadovaných 300 000 aktivně nasazených směrovačů.
A nejhorší část? Vědci, programátoři a výrobci věděli o problému již od počátku 2002. I tehdy trvalo tři roky, než bylo možné funkční opravu použít v globálním měřítku.
Místo toho nám ostatním bylo ponecháno něco, o co by bylo možné se postarat pomocí několika řádků kódu, abychom to mohli zjistit sami, a Misfortune Cookie představuje pouze jednu ze stovek nových zranitelností, které jsou každý zveřejněny na vývěskách s hrozbami po celém světě rok.
Ještě horší je, že právě to se stane, když jedna chyba ovlivní stovky různých modelů routerů najednou. Co uděláme, když bude lví podíl uživatelů zapojen do úplně stejné kombinace routeru / modemu, jednoduše proto, že jim jejich ISP řekl, že potenciální úspory jsou příliš dobré na to, aby se míjely?
Jeden z davu
Problémy jako to, co se stalo s Misfortune Cookie, se dále prohlubují skutečností, že v dnešní době se více než kdy dříve spotřebitelé odhlásí od nákupu svých vlastních směrovačů a místo toho se rozhodnou použít jakoukoli genericky značkovou krabici, kterou jim jejich ISP poskytuje na leasing -měsíční základ.
Se zvýšenou homogenitou na trhu přichází i zvýšené riziko, protože místo toho, aby hackeři museli neustále aktualizovat a přepracovávat své firmwarové praskliny pro nejnovější modely, které se vydávají každý měsíc, mohou místo toho jednoduše použít široké útoky, které automaticky ovlivní miliony hubů najednou .
Image Credit: Amazon Image Credit: Amazon Spojením routeru a modemu do jednoho (tzv. „Internetová brána“) činí poskytovatelé internetových služeb zranitelnější své zákazníky. Tyto brány jsou vyráběny menšími smluvními společnostmi, které teprve nedávno začaly vytvářet síťová zařízení v průmyslovém měřítku, a přesto spotřebitelé připojují svá zařízení jen hrstkou, aniž by na druhý pohled na název značky ve spodní části krabice.
Jednoduchost na druhou
A právě zde se ukazuje jádro daného problému: povědomí spotřebitelů. Důvod, proč se značkám jako Apple daří tak dobře, je ten, že i ten nejméně technologicky vzdělaný člověk na světě může přijít na to, jak používat iPad s několika minutami volného času ... ale routery nejsou iPady.
Směrovače jsou složitou a hluboce složitou součástí hardwaru již ze své podstaty. Zařízení, která vyžadují alespoň základní znalost síťování, aby se do nich vůbec dostali, natož aby změnili jakékoli nastavení, které uživatelům ponechá otevřené největší hrozby, kterými internet trpí.
Výrobci směrovačů musí konfigurovat svůj hardware stejně snadno jako zveřejňování na Instagramu.
Pokud výrobci nebudou moci pokročit a zjistit, jak usnadnit proces správné konfigurace routeru pro optimální bezpečnost stejně jako zveřejnění fotografie na Instagramu, tyto problémy zůstanou v moderním bojišti zabezpečení sítě konstantní.
Ve finále příštího týdne se budu zabývat možnými řešeními, která by mohla existovat pro problémy představené v prvních dvou aktech, a dokonce jdu až tak daleko, abych učinila několik předpovědí, pokud budeme tyto plastové kousky stále náš domov v budoucnosti jako standard zabezpečení se neustále mění a vyvíjí na cestě vpřed.
