Minulý týždeň som vám dal prvú ochutnávku z divokého sveta zabezpečenia domácich routerov.
V tejto správe som sa zaoberal niekoľkými dôvodmi, prečo sa výrobcovia routerov aj po troch desaťročiach podnikania snažia udržať krok s hackermi pri ochrane osobných, profesionálnych a finančných informácií svojich zákazníkov pred poškodením.
Teraz, ako som sľúbil, som sa vrátil tento týždeň s druhým dejstvom. Najskôr sa ponorím do toho, prečo aj po toľkom čase na trhu naše domáce sieťové vybavenie stále žalostne zaostáva za zvonovou krivkou, pokiaľ ide o ochranu údajov, ktoré máte najdrahšie.
Toto je váš základ v otázkach, kde je zabezpečenie smerovača teraz najslabšie a kde to môže znieť, aby sa čo najlepšie zlepšilo na ceste vpred.
Akronymov je neúrekom
Najprv by som rád uviedol niekoľko pojmov, ktoré by priemerný čitateľ mohol rozpoznať bez toho, aby najskôr musel prelomiť slovník.
WEP, WPA, WPA2, WPA-KLMNOP.
Ak si môžete vybrať ten, ktorý som vymyslel, gratulujem, ste už v polovici svojho vzdelávania o mnohých rôznych štýloch obrany, ktoré môžu smerovače nasadiť na zabezpečenie lokálneho bezdrôtového signálu.
Inherentným problémom našej závislosti na týchto šifrovacích štandardoch je, že tak silné, ako môžu byť samy osebe, zatiaľ riešia iba hrozby, ktoré útočia na vašu bezdrôtovú sieť, a nie veľa iného.
Šifrovanie Wi-Fi chráni vaše dáta v éteri, ale nerobí nič pre bezpečnostné chyby vo firmvéri smerovača.
Iste, ak sa niekto z vašich susedov pokúša zachytiť váš signál Wi-Fi od susedov, WPA2 je vynikajúci spôsob, ako udržať vašu sieť pod zámkom. Vďaka 256-bitovému šifrovaniu AES by trvalo roky, kým by sa štandardný počítač dostal do míle od prelomenia hesla pre bezdrôtový prístup.
Ale napriek tomu protokol AES nezohľadňuje hackerov, ktorí by sa mohli pokúsiť preniknúť cez vodiče, zvyčajne otvormi, ktoré zostanú otvorené v univerzálnych službách Plug n Play, autentifikácii WPS (bezdrôtové prihlasovacie tlačidlo jedným stlačením v hornej časti smerovača) ) alebo Protokol správy domácej siete (HNAP). Prvé dva sú tak plné zraniteľností, že by bolo treba venovať každému článku venovanému zoznam všetkých problémov, posledný je však ten, kde sa veci skutočne začnú uberať z koľají.
Protokol HNAP je navrhnutý tak, aby vám alebo vášmu ISP umožnil prístup k webovému konfiguračnému nástroju smerovača, zvyčajne prostredníctvom prehľadávača alebo súborového systému vášho počítača. Pravdepodobne to najlepšie poznáte ako výzvu, ktorá požaduje vaše používateľské meno a heslo vždy, keď do panela s adresou napíšete „192.0.168.1“ (alebo nejaká variácia týchto čísel).
Podľa štúdie zverejnenej v roku 2014 spoločnosťou Tripwire zhruba 80 percent používateľov nezmení tieto poverenia z predvolenej kombinácie, s ktorou boli pôvodne dodaní. Vďaka tomu je pre hackerov mimoriadne jednoduché preniknúť do jadra vnútornej činnosti smerovača pomocou oprávnení vzdialenej správy, zvyčajne bez toho, aby museli robiť čokoľvek viac, ako napísať „admin“ a „heslo“ do čakajúcich prázdnych polí.
Od tejto chvíle je váš smerovač - a všetko, čo má chrániť - otvorenou sezónou pre zločinecké organizácie a ich finančne motivované rozmary. A hoci to nemusí byť chyba samotných tvorcov smerovačov (spoločnosť môže urobiť len toľko, aby chránila zákazníka pred sebou samými), v nasledujúcej časti sa dozviete, kde zhodili loptu rovnako tvrdo ako zvyšok z nás.
„Firma“ je silné slovo
Ako už z názvu vyplýva, firmvér je podobný softvéru, až na to, že sa vzťahuje na nástroje zodpovedné za prevádzku vnútorných funkcií hardvéru, a nie za podporu akýchkoľvek programov alebo aplikácií nainštalovaných na samotnom systéme.
Každý router, ktorý vlastníte, má verziu firmvéru, ktorá beží v zákulisí, a je najľahšie rozpoznateľný vo vizuálnom formáte ako webová aplikácia, ktorá sa otvorí vždy, keď získate prístup k prihlasovacím údajom HNAP.
Image Credit: Amazon Práve tu je možné vyladiť a nakonfigurovať všetko od povolení presmerovania jednotlivých portov po rodičovskú kontrolu a podľa individuálnych preferencií používateľa, vrátane možnosti úplného povolenia (alebo zakázania) vzdialenej správy.
Teoreticky je zahrnutie firmvéru v poriadku, je nevyhnutné, dokonca. Problém však nastáva, keď sa výrobcovia týchto zariadení rozhodnú rozšíriť riziko infekcie vzájomným vtesnaním zlúčení desiatok rôznych modulov do jedného kusu frankensteinovského firmvéru, namiesto toho, aby navrhovali jednotlivé záťaže prispôsobené každej novej značke a modelu samostatne. .
Chyby tohto prístupu sa nakoniec objavili na konci roku 2014, keď sa svetu predstavil súbor nešťastných cookies. Chyba, ktorú viac ako 200 samostatných modelov smerovačov ohrozuje rovnakým zneužitím, spočíva v praxi krížového opelenia firmvéru medzi mnohými najobľúbenejšími modelmi v odbore. Všetci povedali, že 12 miliónov domácností bolo vystavených rozmarom bulletinu CVE-2014-9222, ktorý bol doteraz opravený iba v odhadovaných 300 000 aktívne nasadených smerovačoch.
A najhoršia časť? Vedci, programátori a výrobcovia vedeli o probléme už od r 2002. Aj vtedy trvalo tri roky, kým bolo možné funkčnú opravu uplatniť v globálnom meradle.
Niečo, o čo sa dalo postarať pomocou niekoľkých riadkov kódu, bolo namiesto toho ponechané na nás ostatných, aby sme na to prišli sami, a Misfortune Cookie predstavuje iba jednu zo stoviek nových chýb zabezpečenia, ktoré sa každý rok zverejňujú na doskách s hrozbami po celom svete. rok.
Horšie však je, že to sa stane, keď jedna chyba ovplyvní stovky rôznych modelov smerovačov naraz. Čo urobíme, keď sa leví podiel používateľov zapojí do úplne rovnakého kombinovaného smerovača / modemu, jednoducho preto, lebo im ich ISP povedal, že potenciálne úspory sú príliš dobré na to, aby sa minuli?
Jeden z davu
Problémy ako to, čo sa stalo so serverom Misfortune Cookie, ešte zhoršuje skutočnosť, že v dnešnej dobe sa viac ako kedykoľvek predtým zákazníci rozhodujú, že si nebudú kupovať svoje vlastné smerovače, a namiesto toho sa rozhodnú použiť akýkoľvek rámček so všeobecnou značkou, ktorý im poskytuje ich poskytovateľ internetových služieb, na leasing. -mesačný základ.
So zvýšenou homogenitou na trhu prichádza aj zvýšené riziko, pretože namiesto toho, aby hackeri museli neustále aktualizovať a prepracovávať praskliny firmvéru pre najnovšie modely, ktoré sa vydávajú každý mesiac, môžu namiesto toho jednoducho použiť rozsiahle útoky, ktoré automaticky ovplyvnia milióny hubov naraz .
Kredit na obrázku: Amazon Kredit na obrázku: Amazon Kombináciou smerovača a modemu do jedného (čo sa označuje ako „internetová brána“) robia poskytovatelia internetových služieb zraniteľnejších svojich zákazníkov. Tieto brány vyrábajú menšie zmluvné spoločnosti, ktoré iba nedávno začali s vytváraním sieťových zariadení v priemyselnom meradle, avšak spotrebitelia ich zariadenia pripájajú iba niekoľkými hrsťami, bez toho, aby na prvý pohľad pozreli na značku v spodnej časti škatule.
Jednoduchosť na druhú
A tu sa ukazuje zrejmý jadro problému: povedomie spotrebiteľov. Dôvod, prečo sa značkám ako Apple darí tak dobre, je ten, že aj ten najmenej technologicky vzdelaný človek na svete dokáže prísť na to, ako používať iPad, s pár minútami voľného času ... ale smerovače nie sú iPadmi.
Routery sú zložité a do hĺbky zložité hardvérové prvky už podľa svojej povahy. Zariadenia, ktoré vyžadujú prinajmenšom základné pochopenie práce v sieti, aby sa dostali na prvé miesto, natož aby zmenili ktorékoľvek z nastavení, ktoré nechávajú používateľov otvoreným pre najväčšie hrozby, ktorými internet trpí.
Výrobcovia smerovačov musia konfiguráciu svojho hardvéru uľahčiť rovnako ako zverejňovanie na Instagrame.
Pokiaľ výrobcovia nebudú môcť postúpiť na vyššiu úroveň a zistiť, ako uľahčiť proces správnej konfigurácie smerovača pre optimálnu bezpečnosť tak, ako zverejnenie fotografie na Instagrame, tieto problémy zostanú v modernom bojisku zabezpečenia siete stále.
Vo finále budúci týždeň sa budem venovať potenciálnym riešeniam problémov predstavených v prvých dvoch dejstvách, ktoré by tu mohli byť, a dokonca pôjdem až tak ďaleko, aby som urobil niekoľko predpovedí, ak budeme tieto plastové útvary stále potrebovať náš domov v budúcnosti, pretože štandard pre bezpečnosť sa neustále mení a vyvíja na ceste vpred.
