Prejšnji teden sem vam dal prvi okus divjega sveta varnosti domačih usmerjevalnikov.
V poročilu sem se poglobil v nekaj razlogov, zakaj se proizvajalci usmerjevalnikov tudi po treh desetletjih poslovanja še naprej trudijo, da bi sledili hekerjem, da bi zaščitili osebne, poklicne in finančne podatke svojih strank pred škodo.
Kot sem obljubil, sem se ta teden vrnil z drugim dejanjem. Poglobil se bom na glavo, zakaj tudi po toliko časa na trgu naša oprema za domače omrežje še vedno močno zaostaja za zvončno krivuljo, ko gre za zaščito podatkov, ki so vam najbolj pri srcu.
To je vaš temeljni opis o tem, kje je varnost usmerjevalnika zdaj najšibkejša in kje lahko stoji, da se najbolj izboljša na poti naprej.
Kratic je na pretek
Najprej bom začel z nekaj izrazi, ki bi jih povprečni bralec morda lahko prepoznal, ne da bi mu bilo treba najprej razbiti slovar.
WEP, WPA, WPA2, WPA-KLMNOP.
Če lahko izberete tistega, ki sem si ga izmislil, čestitam, ste že na polovici izobraževanja o številnih različnih stilih obrambe, ki jih lahko usmerjevalniki uporabijo za zaščito lokalno oddajenega brezžičnega signala.
Neločljiva težava naše odvisnosti od teh standardov šifriranja je v tem, da so močni, kolikor so lahko sami, za zdaj obravnavajo le grožnje, ki napadajo vaše brezžično omrežje, in ne veliko drugega.
Šifriranje Wi-Fi ščiti vaše podatke v radijskih valovih, vendar ne naredi ničesar za varnostne napake v vdelani programski opremi usmerjevalnika.
Seveda, če nekdo od vaših sosedov poskuša loviti vaš signal Wi-Fi od sosede, je WPA2 odličen način, da vaše omrežje zaklenete in zaklenete. Zahvaljujoč 256-bitnemu šifriranju AES bi trajala leta, preden bi običajni računalnik prišel do milje od razpoke gesla za brezžični dostop.
A kljub temu protokol AES ne upošteva hekerjev, ki bi se lahko poskusili pretikati po žicah, običajno skozi luknje, ki so ostale odprte v univerzalnih storitvah Plug n Play, overjanje WPS (gumb za brezžično prijavo z enim pritiskom na vrhu usmerjevalnika ) ali protokol za upravljanje domačega omrežja (HNAP). Prva dva sta tako obremenjena z ranljivostmi, da bi bil potreben članek, namenjen vsakemu, da bi v celoti našteval težave, zadnji pa je, če se stvari resnično začnejo spuščati iz tirov.
Protokol HNAP je zasnovan tako, da vam ali vašemu ponudniku internetnih storitev omogoča dostop do spletnega orodja za konfiguracijo usmerjevalnika, običajno prek brskalnika ali datotečnega sistema vašega računalnika. Verjetno bi ga najbolje prepoznali kot poziv, ki zahteva vaše uporabniško ime in geslo vsakič, ko v naslovno vrstico vnesete »192.0.168.1« (ali kakšno različico teh številk).
Glede na študijo, ki jo je leta 2014 objavil Tripwire, približno 80 odstotkov uporabnikov teh poverilnic ne spremeni iz privzete kombinacije, s katero so prvotno poslali. Zaradi tega je hekerjem izjemno enostavno vdreti se v jedro notranjega dela usmerjevalnika z uporabo pravic oddaljene administracije, ponavadi ne da bi morali v čakajoča prazna polja vnesti kaj drugega kot "admin" in "geslo".
Od tu je vaš usmerjevalnik - in vse, kar naj bi zaščitil - sezona odprtih vrat za kriminalne organizacije in njihove finančno motivirane muhe. In čeprav za to morda niso krivi sami izdelovalci usmerjevalnikov (podjetje lahko naredi toliko, da zaščiti kupca pred samimi seboj), boste v naslednjem poglavju izvedeli, kam so žogo spustili prav tako močno kot ostali.
"Trdno" je močna beseda
Kot že ime pove, je vdelana programska oprema podobna programski opremi, le da se nanaša na orodja, odgovorna za upravljanje notranjega delovanja dela strojne opreme, namesto da bi podpirala programe ali programe, nameščene na samem sistemu.
Vsak usmerjevalnik, ki ste ga imeli, ima različico vdelane programske opreme, ki oddajo izvaja v zakulisju, in jo je v vizualni obliki najlažje prepoznati kot spletno aplikacijo, ki se odpre kadar koli dostopate do prijave HNAP.
Zasluga za sliko: Amazon Tu je mogoče vse, od dovoljenj za posredovanje vrat do starševskega nadzora, prilagoditi in konfigurirati glede na uporabnikove individualne želje, vključno z možnostjo omogočanja (ali onemogočanja) oddaljenega upravljanja.
Teoretično je vključitev vdelane programske opreme sama po sebi v redu, celo potrebna. Težava pa nastane, ko se proizvajalci teh naprav odločijo, da bodo tveganje za okužbo razširili tako, da bodo združili več deset različnih modulov v en kos frankenštajnske programske opreme, namesto da bi sami oblikovali posamezne obremenitve, prilagojene vsaki novi znamki in modelu. .
Napake tega pristopa so se končno pojavile konec leta 2014, ko je bil svet predstavljen z Nesrečnim piškotkom. Napaka, ki jo zaradi istega izkoriščanja ogrozi več kot 200 ločenih modelov usmerjevalnikov zaradi prakse navzkrižnega opraševanja vdelane programske opreme med številnimi najbolj priljubljenimi modeli v podjetju. Kot rečeno, je bilo 12 milijonov gospodinjstev izpostavljenih muham biltena CVE-2014-9222, ki je bilo do danes popravljeno le v približno 300.000 aktivno nameščenih usmerjevalnikih.
In najslabši del? Raziskovalci, programerji in proizvajalci so za problem vedeli že v začetku 2002. Že takrat so minila tri leta, preden se je delovni popravek lahko uporabil v svetovnem merilu.
Nekaj, za kar bi lahko poskrbeli z nekaj vrsticami kode, smo ostali namesto tega prepuščeni sami, in Nesrečni piškotek predstavlja le eno od stotine novih ranljivosti, ki so vsako leto objavljene na odborih za grožnje po vsem svetu. leto.
Še huje, ravno to se zgodi, ko ena napaka prizadene na stotine različnih modelov usmerjevalnikov hkrati. Kaj bomo storili, ko bo levji delež uporabnikov priključen na popolnoma isto kombinacijo usmerjevalnika / modema, preprosto zato, ker jim je njihov ponudnik internetnih storitev rekel, da so morebitni prihranki predobri, da bi jih lahko izgubili?
Eden iz množice
Težave, kot je tisto, kar se je zgodilo z Nesrečnim piškotkom, še poslabša dejstvo, da se potrošniki danes bolj kot kadar koli prej odločajo za nakup lastnih usmerjevalnikov in namesto tega izberejo katero koli škatlo z generično blagovno znamko, ki jim jo ponudnik internetnih storitev priskrbi v zakup. -mesečna osnova.
Z večjo homogenostjo na trgu prihaja do večjega tveganja, saj zdaj namesto, da bi hekerji morali nenehno posodabljati in preoblikovati svoje razpoke vdelane programske opreme za najnovejše modele, ki izhajajo vsak mesec, lahko preprosto uporabijo široke napade, ki samodejno vplivajo na milijone vozlišč hkrati. .
Zasluge za slike: Amazon Zasluge za slike: Amazon Z združitvijo usmerjevalnika in modema v enega (tako imenovanega »internetni prehod«) ponudniki internetnih storitev naredijo svoje stranke bolj ranljive. Te prehode izdelujejo manjša pogodbena podjetja, ki so šele pred kratkim začela ustvarjati mrežno opremo v industrijskem merilu, vendar potrošniki svoje naprave priklopijo za peščico, ne da bi si morali ogledati blagovno znamko na dnu škatle.
Preprostost na kvadrat
In tu je očitno bistvo obravnavanega problema: ozaveščenost potrošnikov. Razlog, da se blagovne znamke, kot je Apple, tako dobro znajdejo, je, da lahko tudi najmanj tehnološko izobražena oseba na svetu ugotovi, kako uporabljati iPad z nekaj minutami prostega časa ... vendar usmerjevalniki niso iPadi.
Usmerjevalniki so že po naravi zasnove zapleteni, globoko zapleteni deli strojne opreme. Naprave, ki zahtevajo vsaj osnovno razumevanje mreženja, da bi se sploh lotili njih, kaj šele, da bi spremenili katero koli nastavitev, zaradi katere so uporabniki odprti za največje grožnje, ki jih internet trpi.
Proizvajalci usmerjevalnikov morajo konfiguracijo svoje strojne opreme narediti tako enostavno kot objavo v Instagramu.
Če proizvajalci ne bodo stopili na ploščo in ugotovili, kako olajšati postopek pravilne konfiguracije usmerjevalnika za optimalno varnost tako enostavno kot objavljanje fotografije na Instagramu, bodo te težave ostale nespremenjene na sodobnem bojnem polju omrežne varnosti.
V finalu prihodnjega tedna bom obravnaval potencialne rešitve za težave, predstavljene v prvih dveh dejanjih, in celo naredil nekaj napovedi, ali bomo še vedno potrebovali te plastične dele naš dom v prihodnosti, saj se varnostni standard še naprej spreminja in razvija na poti naprej.
