Την περασμένη εβδομάδα, σας έδωσα την πρώτη σας γεύση για τον άγριο κόσμο της ασφάλειας του οικιακού δρομολογητή.
Στην αναφορά, διερεύνησα μερικούς από τους λόγους για τους οποίους, ακόμη και μετά από τρεις δεκαετίες στην επιχείρηση, οι κατασκευαστές δρομολογητών συνεχίζουν να αγωνίζονται να διατηρήσουν τον ρυθμό τους με τους χάκερ διατηρώντας τις προσωπικές, επαγγελματικές και οικονομικές πληροφορίες των πελατών τους ασφαλείς από βλάβες.
Τώρα, όπως υποσχέθηκε, επέστρεψα αυτήν την εβδομάδα με τη δεύτερη πράξη. Θα εξερευνήσω πρώτα γιατί ακόμα και μετά από τόσο καιρό στην αγορά, ο οικιακός μας εξοπλισμός δικτύωσης εξακολουθεί να υστερεί δυστυχώς πίσω από την καμπύλη καμπάνας όταν πρόκειται για την προστασία των δεδομένων που κρατάτε πιο αγαπητά.
Αυτό είναι το αρχικό σας σημείο όπου η ασφάλεια του δρομολογητή είναι πιο αδύναμη τώρα και πού μπορεί να αντέξει για να βελτιώσει τα περισσότερα στην πορεία προς τα εμπρός.
Τα ακρωνύμια αφθονούν
Κατ 'αρχάς, θα ξεκινήσω διαγράφοντας μερικούς όρους που μπορεί να είναι σε θέση να αναγνωρίσει ο μέσος αναγνώστης χωρίς να χρειάζεται πρώτα να σπάσει ένα λεξικό.
WEP, WPA, WPA2, WPA-KLMNOP.
Εάν μπορείτε να διαλέξετε αυτό που δημιούργησα, συγχαρητήρια, έχετε ήδη ολοκληρώσει τη μέση της εκπαίδευσής σας για τα πολλά διαφορετικά στυλ άμυνας που μπορούν να αναπτύξουν οι δρομολογητές για να εξασφαλίσουν ένα τοπικά ασύρματο σήμα.
Το εγγενές πρόβλημα με την εξάρτησή μας από αυτά τα πρότυπα κρυπτογράφησης είναι ότι τόσο ισχυρό όσο μπορεί να είναι μόνοι τους, προς το παρόν αντιμετωπίζουν μόνο απειλές που επιτίθενται στο ασύρματο δίκτυό σας και όχι πολλά άλλα.
Η κρυπτογράφηση Wi-Fi προστατεύει τα δεδομένα σας στα κύματα αέρα, αλλά δεν κάνει τίποτα για ατέλειες ασφαλείας στο υλικολογισμικό του δρομολογητή.
Σίγουρα, εάν κάποιος από τους γείτονές σας προσπαθεί να λαθραίνει το σήμα Wi-Fi από την διπλανή πόρτα, το WPA2 είναι ένας πολύ καλός τρόπος για να διατηρήσετε το δίκτυό σας κλειδωμένο και κλειδί. Χάρη στην κρυπτογράφηση AES 256-bit, θα χρειαστούν χρόνια για να φτάσει ένας τυπικός υπολογιστής μέσα σε ένα μίλι από τη διάσπαση του κωδικού πρόσβασης ασύρματης πρόσβασης.
Ακόμα κι όμως, το πρωτόκολλο AES δεν αντιστοιχεί σε χάκερ που μπορεί να προσπαθήσουν να περάσουν από τα καλώδια, συνήθως μέσα από τρύπες που παραμένουν ανοιχτές σε καθολικές υπηρεσίες Plug n Play, έλεγχο ταυτότητας WPS (το ασύρματο κουμπί σύνδεσης με ένα πάτημα πάνω από τον δρομολογητή σας ή το πρωτόκολλο διαχείρισης οικιακού δικτύου (HNAP). Οι δύο πρώτοι είναι τόσο γεμάτοι με ευπάθειες, θα χρειαζόταν ένα άρθρο αφιερωμένο σε κάθε έναν για να απαριθμήσει πλήρως τα προβλήματα, αλλά το τελευταίο είναι όπου τα πράγματα αρχίζουν πραγματικά να ξεφεύγουν από τις ράγες.
Το πρωτόκολλο HNAP έχει σχεδιαστεί για να παρέχει σε εσάς ή στον ISP σας τη δυνατότητα πρόσβασης σε ένα εργαλείο διαμόρφωσης μέσω διαδικτύου ενός δρομολογητή, συνήθως μέσω ενός προγράμματος περιήγησης ή του συστήματος αρχείων του υπολογιστή σας απευθείας. Πιθανότατα το αναγνωρίζετε καλύτερα ως προτροπή που ζητά το όνομα χρήστη και τον κωδικό πρόσβασής σας κάθε φορά που πληκτρολογείτε "192.0.168.1" (ή κάποια παραλλαγή αυτών των αριθμών εκεί) στη γραμμή διευθύνσεων.
Σύμφωνα με μια μελέτη που κυκλοφόρησε το 2014 από το Tripwire, περίπου το 80% των χρηστών δεν αλλάζουν αυτά τα διαπιστευτήρια από τον προεπιλεγμένο συνδυασμό με τον οποίο αρχικά έστειλαν. Αυτό καθιστά εξαιρετικά απλό για τους εισβολείς να εισέλθουν στον πυρήνα των εσωτερικών λειτουργιών ενός δρομολογητή χρησιμοποιώντας προνόμια απομακρυσμένης διαχείρισης, συνήθως χωρίς να χρειάζεται να κάνουν τίποτα περισσότερο από το να πληκτρολογήσετε "admin" και "password" στα αναμενόμενα κενά πεδία.
Από εδώ ο δρομολογητής σας - και όλα όσα υποτίθεται ότι προστατεύει - είναι ανοιχτή σεζόν για εγκληματικές οργανώσεις και τις ιδιοτροπίες τους με οικονομικά κίνητρα. Και ενώ αυτό δεν μπορεί να είναι σφάλμα των ίδιων των κατασκευαστών δρομολογητών (υπάρχουν μόνο πολλά που μπορεί να κάνει μια εταιρεία για να προστατεύσει έναν πελάτη από τον εαυτό τους), θα ανακαλύψετε στην επόμενη ενότητα όπου έχουν ρίξει την μπάλα εξίσου σκληρά με οι υπόλοιποι από εμάς.
Το "Firm" είναι μια δυνατή λέξη
Όπως υποδηλώνει το όνομα, το υλικολογισμικό είναι παρόμοιο με το λογισμικό, εκτός από το ότι ισχύει για τα εργαλεία που είναι υπεύθυνα για τη λειτουργία των εσωτερικών λειτουργιών ενός κομματιού υλικού, αντί για την υποστήριξη οποιωνδήποτε προγραμμάτων ή εφαρμογών εγκατεστημένων πάνω από το ίδιο το σύστημα.
Κάθε δρομολογητής που διαθέτετε διαθέτει μια έκδοση υλικολογισμικού που εκτελεί την εκπομπή πίσω από τα παρασκήνια και αναγνωρίζεται ευκολότερα σε οπτική μορφή ως εφαρμογή ιστού που ανοίγει οποτεδήποτε αποκτάτε πρόσβαση στα στοιχεία σύνδεσης HNAP.
Πιστωτική εικόνα: Amazon Είναι εδώ ότι τα πάντα, από τα δικαιώματα προώθησης μεμονωμένης θύρας έως τους γονικούς ελέγχους, μπορούν να τροποποιηθούν και να διαμορφωθούν στις ατομικές προτιμήσεις ενός χρήστη, συμπεριλαμβανομένης της επιλογής ενεργοποίησης (ή απενεργοποίησης) της απομακρυσμένης διαχείρισης εντελώς.
Θεωρητικά, η συμπερίληψη υλικολογισμικού είναι από μόνη της, απαραίτητη ακόμη και. Ένα πρόβλημα προκύπτει, ωστόσο, όταν οι κατασκευαστές αυτών των συσκευών αποφασίζουν να διαδώσουν τον κίνδυνο μόλυνσης, συνδυάζοντας συνδυασμούς δεκάδων διαφορετικών μονάδων σε ένα κομμάτι υλικολογισμικού Frankensteinian, αντί να σχεδιάσουν μεμονωμένα φορτία προσαρμοσμένα σε κάθε νέα μάρκα και μοντέλο από μόνα τους .
Τα μειονεκτήματα αυτής της προσέγγισης εμφανίστηκαν τελικά στα τέλη του 2014 όταν ο κόσμος εισήχθη στο Misfortune Cookie. Το σφάλμα που πάνω από 200 ξεχωριστά μοντέλα δρομολογητών κινδυνεύουν από την ίδια εκμετάλλευση, λόγω της πρακτικής της επικονίαση υλικολογισμικού μεταξύ πολλών από τα πιο δημοφιλή μοντέλα της επιχείρησης. Συνολικά, 12 εκατομμύρια νοικοκυριά υποβλήθηκαν στις ιδιοτροπίες του δελτίου CVE-2014-9222, το οποίο μέχρι σήμερα έχει επιδιορθωθεί μόνο σε περίπου 300.000 δρομολογητές που έχουν αναπτυχθεί ενεργά.
Και το χειρότερο μέρος; Ερευνητές, προγραμματιστές και κατασκευαστές γνώριζαν για το πρόβλημα από την αρχή 2002. Ακόμα και τότε, χρειάστηκαν τρία χρόνια για να μπορέσει να εφαρμοστεί μια επιδιόρθωση σε παγκόσμια κλίμακα.
Κάτι που θα μπορούσε να αντιμετωπιστεί με μερικές γραμμές κώδικα, αφέθηκε αντί για τους υπόλοιπους να καταλάβουμε μόνοι μας και το Misfortune Cookie αντιπροσωπεύει μόνο μία από τις εκατοντάδες νέες ευπάθειες που δημοσιεύονται σε πίνακες απειλών σε όλο τον κόσμο κάθε έτος.
Ακόμα χειρότερα, αυτό συμβαίνει όταν ένα σφάλμα επηρεάζει εκατοντάδες διαφορετικά μοντέλα δρομολογητών ταυτόχρονα. Τι θα κάνουμε όταν όλοι οι χρήστες συνδέονται με τον ίδιο συνδυασμό δρομολογητή / μόντεμ, απλώς και μόνο επειδή ο ISP τους είπε ότι οι πιθανές εξοικονομήσεις είναι πολύ καλές για να περάσουν;
Ένα από το πλήθος
Προβλήματα όπως αυτό που συνέβη με το Misfortune Cookie επιδεινώνονται περαιτέρω από το γεγονός ότι αυτές τις μέρες περισσότερο από ποτέ άλλοτε, οι καταναλωτές επιλέγουν να μην αγοράσουν τους δικούς τους δρομολογητές και επιλέγουν αντ 'αυτού να χρησιμοποιήσουν όποιο κιβώτιο γενικής επωνυμίας τους παρέχει ο ISP τους με μίσθωση. -την βάση.
Με την αυξημένη ομοιογένεια στην αγορά έρχεται αυξημένος κίνδυνος, γιατί τώρα, αντί για τους χάκερ που πρέπει να ενημερώνουν συνεχώς και να επαναπρογραμματίζουν τις ρωγμές υλικολογισμικού τους για τα νεότερα μοντέλα που κυκλοφορούν κάθε μήνα, αντ 'αυτού μπορούν απλώς να χρησιμοποιούν ευρείες επιθέσεις που επηρεάζουν αυτόματα εκατομμύρια κόμβους ταυτόχρονα .
Πιστωτική εικόνα: Amazon Image Credit: Amazon Συνδυάζοντας το δρομολογητή και το μόντεμ σε ένα (αυτό που αναφέρεται ως "πύλη Διαδικτύου"), οι πάροχοι υπηρεσιών Internet κάνουν τους πελάτες τους πιο ευάλωτους. Αυτές οι πύλες δημιουργούνται από μικρότερες, συμβαλλόμενες εταιρείες που μόλις πρόσφατα άρχισαν να δημιουργούν εξοπλισμό δικτύωσης σε βιομηχανική κλίμακα, ωστόσο οι καταναλωτές συνδέουν τις συσκευές τους από τη χούφτα χωρίς να ρίξουν μια δεύτερη ματιά στο εμπορικό σήμα στο κάτω μέρος του κουτιού.
Η απλότητα τετράγωνη
Και εδώ είναι εμφανής ο πυρήνας του προβλήματος: η ευαισθητοποίηση των καταναλωτών. Ο λόγος για τον οποίο τα εμπορικά σήματα όπως η Apple το κάνουν καλά είναι επειδή ακόμη και το λιγότερο τεχνολογικά εκπαιδευμένο άτομο στον κόσμο μπορεί να καταλάβει πώς να χρησιμοποιήσει ένα iPad με λίγα λεπτά ελεύθερου χρόνου… αλλά οι δρομολογητές δεν είναι iPads.
Οι δρομολογητές είναι πολύπλοκα, πολύ περίπλοκα κομμάτια υλικού από τη φύση του σχεδιασμού τους. Συσκευές που απαιτούν τουλάχιστον μια στοιχειώδη κατανόηση της δικτύωσης μόνο για να μπουν στην πρώτη θέση, πόσο μάλλον να αλλάξουν οποιαδήποτε από τις ρυθμίσεις που αφήνουν τους χρήστες ανοιχτούς στις μεγαλύτερες απειλές που υφίσταται το Διαδίκτυο.
Οι κατασκευαστές δρομολογητών πρέπει να κάνουν τη διαμόρφωση του υλικού τους τόσο εύκολη όσο η ανάρτηση στο Instagram.
Εάν οι κατασκευαστές δεν μπορούν να ανεβούν στην πλάκα και να μάθουν πώς να κάνουν τη διαδικασία σωστής διαμόρφωσης ενός δρομολογητή για βέλτιστη ασφάλεια τόσο εύκολη όσο η ανάρτηση μιας φωτογραφίας στο Instagram, αυτά τα προβλήματα θα παραμείνουν ως σταθερά στο σύγχρονο πεδίο μάχης ασφάλειας δικτύου.
Στο φινάλε της επόμενης εβδομάδας, θα ασχοληθώ με τις πιθανές λύσεις που θα μπορούσαν να είναι εκεί για τα προβλήματα που παρουσιάζονται στις δύο πρώτες πράξεις, και μάλιστα θα κάνω μερικές προβλέψεις αν χρειαζόμαστε ακόμα αυτά τα κομμάτια πλαστικού το σπίτι μας στο μέλλον, καθώς το πρότυπο ασφάλειας συνεχίζει να αλλάζει και να εξελίσσεται στον δρόμο μπροστά.
