它通常被认为是安全链中最薄弱的联系是易恶劣且粗心的人类。
但是,许多专家说,近二是路由器 - 将人们连接到网络的设备,有时称为“互联网的骨干” - 这危险地容易受到熟练的黑客攻击。
这些专家一直在发布警报,但他们这么说,到目前为止,事情没有太大变化。
[也在CSO上:思科警告客户关于在网络装备上安装流氓固件的攻击]
风险投资公司的首席信息安全官丹吉尔和美国智力机构的顾问,谈到会议在剑桥,大众。一年多以前,大多数路由器几乎是卑鄙的,因为它们拥有,“司机和操作系统达到Linux状态的快照,以及当时的最低商品芯片现存of the router’s design.”
他说,解决问题的唯一方法,就是“拔掉所有设备,将它们扔进垃圾箱并安装所有新的设备。”
而且它也不会修复它,因为新的是,“可能具有相同的漏洞谱,首先使这可能成为可能”,“他说。
吉姆·盖茨,系统架构师,说去年,他已经在一些路由器内填写了包裹的年龄,“第二天,他们三到四岁。没有更新流,您从现有漏洞开始,它从那里变得更糟。“
在过去一周的面试中,Gettys说他有,“在市场上看到了很少的变化。”
Bruce Schneier,加密Guru和CTO在弹性系统,写在一年前的一年中博客帖子“我们的路由器和调制解调器中的计算机比20世纪90年代中期的电脑更强大,”并警告说,如果他们的安全漏洞不快解决,“我们正在为安全灾难而定,就像黑客一样除了攻击路由器比计算机更容易。“
此类安全漏洞可以允许黑客访问文件,在网络上安装恶意软件,或者使用受害者的安全摄像机对他进行间谍,而无需访问计算机硬件。
在一个更近期的面试随着网络世有个足球雷竞技app界的目前,施奈尔基本上说,GEER曾经上过同样的事情说:“你知道你修补你的家庭路由器的方式吗?你把它扔掉了买一个新的。这将是一个怪异的灾难......成本低成本,二元斑点,没有人知道他们是如何工作的,没有人可以更新它们,很多漏洞,我们刚刚坚持下去。“
即使是更新可用,它也太难以为普通用户安装,劳伦斯·芒罗表示,即使是TrustWave的主任。
“关键问题是升级几乎总是一个可能超出家庭用户技能水平的手动过程,”他说,“在许多情况下,补丁不可用。”
劳伦斯芒罗,Director,TrustWave
事实上,去年12月,美国证书,国土安全部的一部分,警告宽带路由器制造商关于一个名为“Miscortune cookie”的漏洞,这些漏洞已超过10年前修补,但仍然存在于许多部署的设备上。
检查点的小麦软件和漏洞组的研究人员提出了名称,著名的“如果您的网关设备易受攻击,则任何连接到网络的设备 - 包括计算机,手机,平板电脑,打印机,安全摄像头,冰箱,烤架或家庭或办公室网络中的任何其他网络设备 - 可能会增加风险妥协。”
在Rapid7的高级安全顾问中标记Stanislav,本周指出,在此期间比赛at last year’s Def Con, hackers were able to demonstrate 15 zero-day vulnerabilities in more than a half-dozen of the most common Small Office/Home Office (SOHO) routers, including models from Asus, Netgear, DLink, Belkin, Linksys, Actiontec and Trendnet.
令人惊讶的是,比赛题为“乖乖地破碎”。
但是,如果真的是这种不好,那么似乎会有更多关于网络的灾难性收购的故事。然而,虽然主流媒体定期报告主要黑客,但有很少的,如果有的话,有关路由器妥协的头条新闻。
Mark Stanislav.,高级安全顾问,Rapid7
即,Stanislav说,可能部分是因为平均消费者可能甚至不知道路由器是什么。而且,“对个人或其家庭网络的影响不一定很容易确定对其设备的配置方式非常具体的审查,这是什么供应商,它正在运行的固件,”他说。
“这是一个比较分层和细微的故事,而不是,'公司X被黑了,你的数据现在是一种风险。'”
罗伯特Siciliano,英特尔安全的在线安全专家同意。“如果缺陷太复杂,对于大众媒体来说,他们避免讨论这一点,”他说。
Munro同意,但表示也是因为媒体没有发现它令人兴奋 - 至少还有。远程攻击一辆车并导致它崩溃捕获公众的注意力超过解释路由器如何易受攻击。
[也在CSO上:研究人员说,SDN交换机并不难以妥协]
Gettys表示,他认为是因为,“在美国的足够规模的令人垂涎的书中尚未伤害,但警告伤害即将到来。
“人们没有意识到这些设备的不安全程度,或者这可能导致客户和其他人的恶作剧 - 他们越来越多地用作攻击他人的僵尸网络的一部分。”
吉姆·盖茨,系统架构师
如果有任何有前途的消息报告,那么开发商和制造商之间似乎仍然存在越来越大的意识。
“IOT(物联网)一般的设备正在开始关注易于固件更新 - 不需要用户干预的自动化进程,以及硬件更新的整体寿命,“Stanislav表示。
“这将是理想情况下,最终会涓涓细流进入SOHO路由器市场。由于克服了设计模式和技术挑战,迅速传播更新将变得更容易。“
Gettys表示,他在幕后听到了可能存在一些改进的幕后,“在尚未公布的产品中;但我将此留给制造商,服务提供商公告即将到来。
“但即使是这些希望的亮点,我很沮丧,因为问题的经济基础并没有改变,”他说,在法律上补充说,使得路由器制造商对安全漏洞负责的是唯一的解决方案。
“有人可以发货的想法,而且对甚至基本维护和升级的软件而没有任何责任,它包含其预期的一生必须改变,”他说。没有它,“做得更好的新进入者更好的工作不会看到奖励,并将有更高的成本”
Stanislav表示,他已经看到了一些供应商,“采取了更多的云的方法,其中更新是一个需要更少用户干预的持续进程。但这可以创造新的问题,特别是如果用户没有意识到正在更新的固件。
“我们看到了一些暴行2012年,来自Linksys的这种类型的自动升级固件。这是一个平衡的行为,供应商仍然弄清楚如何称重,“他说。
直到主要的改进发生,专家统称,一些步骤消费者可能会采取,这不会完全解决问题,但会使它们少的目标比普通用户更少:
- 将默认密码更改为唯一,长而复杂的密码。
- 如果无法升级路由器,请购买一个允许它的新人。据Munro介绍,“开源社区通过创建OpenWrt和Tomato等项目提供了用户的替代品,它提供了开源固件,以取代常用硬件平台上的供应商。”但是,实施它们“需要合理的IT技能,”他说。
- 确保UPnP(通用即插即用)关闭。
- 阅读手册,然后关闭或禁用您可能不需要的其他功能。
- 如果您的Internet服务提供商提供组合的路由器/调制解调器,这可能会将其传递一些对硬件更新的责任。
- 如果您有专业知识,请安装OpenWRT。“但这不是奶奶和爷爷的能力,”盖迪斯说。
这个故事,“你的路由器:黑客网关”最初发表于CSO 。