Минулого тижня я запропонував вам перший смак дикого світу безпеки домашнього маршрутизатора.
У звіті я розібрався з кількома причинами, чому навіть після трьох десятиліть бізнесу виробники маршрутизаторів продовжують боротися, щоб не відставати від хакерів, захищаючи особисту, професійну та фінансову інформацію своїх клієнтів від заподіяння шкоди.
Як і обіцяли, я повернувся цього тижня з другою дією. Я з головою занурююся в те, чому навіть після стільки часу на ринку наше обладнання для домашньої мережі все ще жахливо відстає від дзвіночної кривої, коли йдеться про захист даних, які вам найбільше подобаються.
Це ваш підручник щодо того, де безпека маршрутизатора зараз найслабша, і де вона може покращитись на шляху вперед.
Скорочується безліч скорочень
По-перше, я почну з того, що виклав кілька термінів, які пересічний читач міг би розпізнати без необхідності спочатку розбирати словник.
WEP, WPA, WPA2, WPA-KLMNOP.
Якщо ви можете вибрати той, який я придумав, вітаю, ви вже пройшли повз свою освіту з безлічі різних стилів захисту, які маршрутизатори можуть розгорнути для забезпечення локального бездротового сигналу.
Невід’ємною проблемою нашої залежності від цих стандартів шифрування є те, що настільки сильними, наскільки вони можуть бути самі по собі, наразі вони вирішують лише загрози, які атакують вашу бездротову мережу, а не багато іншого.
Шифрування Wi-Fi захищає ваші дані в ефірі, але нічого не робить для недоліків безпеки в прошивці маршрутизатора.
Звичайно, якщо хтось із ваших сусідів намагається забрати ваш сигнал Wi-Fi із сусіднього будинку, WPA2 - це чудовий спосіб утримати вашу мережу під замком. Завдяки 256-розрядному шифруванню AES знадобиться багато років, перш ніж стандартний комп'ютер зможе потрапити в кілометрі злому пароля бездротового доступу.
Але навіть незважаючи на те, що протокол AES не враховує хакерів, які можуть спробувати приховати дроти, як правило, через отвори, залишені відкритими в універсальних послугах Plug n Play, автентифікація WPS (кнопка бездротового входу у верхній частині маршрутизатора ), або протокол адміністрування домашньої мережі (HNAP). Перші два настільки пронизані вразливими місцями, що кожна стаття, присвячена кожному, перерахує проблеми повністю, але остання - це те, що справді починає виходити з рейок.
Протокол HNAP розроблений, щоб надати вам або вашому провайдеру доступ до веб-інструменту конфігурації маршрутизатора, як правило, безпосередньо через браузер або файлову систему вашого комп’ютера. Ви, напевно, найкраще розпізнаєте це як запит, який запитує ваше ім’я користувача та пароль, щоразу, коли ви вводите в адресному рядку “192.0.168.1” (або деякі зміни цих номерів).
Згідно з дослідженням, опублікованим у 2014 році компанією Tripwire, приблизно 80 відсотків користувачів не змінюють ці облікові дані за типовою комбінацією, з якою вони спочатку постачалися. Це робить хакерам надзвичайно простим проникнути в ядро внутрішньої роботи маршрутизатора, використовуючи привілеї віддаленого адміністрування, як правило, без необхідності робити щось більше, ніж вводити “admin” та “пароль” у очікуваних порожніх полях.
Відтепер ваш маршрутизатор - і все, що він повинен захищати - відкритий сезон для злочинних організацій та їх фінансово мотивованих примх. І хоча це може бути не вина самих виробників маршрутизаторів (компанія може зробити стільки, щоб захистити клієнта від себе), у наступному розділі ви дізнаєтесь, куди вони кинули м’яч так само сильно, як решта нас.
"Фірма" - це сильне слово
Як випливає з назви, прошивка схожа на програмне забезпечення, за винятком того, що вона застосовується до інструментів, відповідальних за внутрішню роботу апаратного забезпечення, а не до підтримки програм чи додатків, встановлених поверх самої системи.
Кожен маршрутизатор, яким ви володієте, має версію вбудованого програмного забезпечення, що запускає шоу за кулісами, і його найлегше розпізнати у візуальному форматі як веб-додаток, який відкривається щоразу, коли ви отримуєте доступ до логіну HNAP.
Кредит зображення: Amazon Тут можна налаштувати та налаштувати все, починаючи від окремих дозволів переадресації портів і закінчуючи батьківським контролем, відповідно до індивідуальних уподобань користувача, включаючи можливість увімкнення (або відключення) віддаленого адміністрування.
Теоретично включення вбудованого програмного забезпечення цілком самостійно, навіть необхідне. Однак виникає проблема, коли виробники цих пристроїв вирішують розподілити ризик зараження шляхом об'єднання об'єднань десятків різних модулів в одну частину прошивки Франкенштейна, замість того, щоб самостійно розробляти індивідуальні завантаження під кожну нову марку та модель. .
Недоліки цього підходу нарешті з’явилися наприкінці 2014 року, коли світ був представлений «Печивом нещастя». Помилка, через яку понад 200 окремих моделей маршрутизаторів ризикують через одне і те ж використання, через практику перехресного запилення мікропрограми між багатьма найпопулярнішими моделями бізнесу. Загалом, 12 мільйонів домогосподарств були піддані примхам бюлетеня CVE-2014-9222, який на сьогоднішній день був виправлений лише у 300 000 активно розгорнутих маршрутизаторів.
А найгірше? Дослідники, програмісти та виробники знали про проблему ще з самого початку 2002. Навіть тоді минуло три роки, перш ніж діюче виправлення можна було застосувати в глобальному масштабі.
Щось, про що можна було б подбати за допомогою декількох рядків коду, натомість ми залишили для того, щоб ми могли з’ясувати це самостійно, а Файли cookie представляють лише одну із сотень нових уразливостей, які щороку публікуються на бортах загроз у всьому світі. рік.
Гірше того, це саме те, що відбувається, коли одна помилка впливає на сотні різних моделей маршрутизаторів одночасно. Що ми будемо робити, коли левова частка користувачів буде підключена до того самого комбінованого маршрутизатора / модему, просто тому, що їхній провайдер сказав їм, що потенційні заощадження занадто гарні, щоб їх втратити?
Один із натовпу
Такі проблеми, як те, що сталося з файлом cookie нещастя, ще більше посилюються тим фактом, що в наші дні, як ніколи раніше, споживачі відмовляються купувати власні маршрутизатори та замість цього використовують будь-яку коробку із загальним брендом, яку надає їм провайдер, в оренду -місячна база.
Зі збільшенням однорідності на ринку збільшується ризик, оскільки тепер замість того, щоб хакерам доводилося постійно оновлювати та переробляти свої прошивки для нових моделей, що випускаються щомісяця, вони можуть просто використовувати широкі атаки, які автоматично впливають на мільйони хабів одночасно .
Кредит зображення: Amazon Кредит зображення: Amazon Поєднуючи маршрутизатор і модем в одне ціле (так званий „Інтернет-шлюз”), провайдери роблять своїх клієнтів більш вразливими. Ці шлюзи створені меншими компаніями, за якими працює контракт, які лише нещодавно розпочали створювати мережеве обладнання в промислових масштабах, проте споживачі підключають свої пристрої до цілої купки, не перевищуючи жодного погляду на торгову марку внизу коробки.
Простота в квадраті
І ось тут стає очевидною суть сучасної проблеми: обізнаність споживачів. Причина, по якій такі бренди, як Apple, роблять так добре, полягає в тому, що навіть найменш технологічно освічена людина у світі може зрозуміти, як користуватися iPad з кількома хвилинами вільного часу ... але маршрутизатори не є iPad.
Маршрутизатори - це складні, глибоко хитромудрі апаратні засоби за самою природою своєї конструкції. Пристрої, які вимагають принаймні елементарного розуміння мереж, щоб лише перейти до них, не кажучи вже про те, щоб змінити будь-які налаштування, які залишають користувачів відкритими для найбільших загроз, які зазнає Інтернет.
Виробники маршрутизаторів повинні спростити налаштування свого обладнання так само просто, як розміщення в Instagram.
Якщо виробники не зможуть підійти до таблиці та не з’ясувати, як зробити процес правильної конфігурації маршрутизатора для оптимальної безпеки таким же простим, як розміщення фотографії в Instagram, ці проблеми залишаться незмінними на сучасному полі битви мережевої безпеки.
У фіналі наступного тижня я розгляну потенційні шляхи вирішення проблем, представлених у перших двох актах, і навіть зайду так далеко, щоб зробити кілька прогнозів, чи нам все одно знадобляться ці пластики пластику в наш дім у майбутньому, оскільки стандарт безпеки продовжує змінюватися та розвиватися в майбутньому.
