安全专家称,让我们连接到互联网的设备很容易受到攻击,虽然迹象表明安全技术正在改进,但威胁也在不断发展。
你的路由器:黑客的网关
IT界都普遍认同,安全链最薄弱的环节是容易犯错且经常不小心的人类。
而紧随其后的是路由器,这是帮助我们连接到互联网的设备,有时也被称为“互联网的脊梁”,路由器很容易受到技术纯熟的黑客的攻击。
安全专家一直在警告人们有关路由器的威胁性,但到目前为止,事情并没有发生太大变化。
风险投资公司In-Q-tel首席信息安全官兼美国情报机构顾问Dan Geer在一年多前的安全会议上表示,大多数现有路由器非常不安全。
解决这个问题的唯一方法是拔掉所有这些设备,将它们扔到垃圾桶,并安装全新的设备。
但这可能也无法解决这个问题,因为新的设备可能有相同的漏洞。
系统架构师Jim Gettys去年表示他清点了一些路由器中数据包的年限,它们都已经存在三到四年。如果没有更新漏洞,这些设备只会让事情变得更糟糕。
而在上周接受采访时,Gettys称他没有看到这个市场有很大变化。
Resilient Systems公司首席技术官兼加密大师Bruce Schneier一年前在博客文章中称,“我们路由器和调制解调器中的计算机比90年代中期的电脑更强大,”并警告称,如果其中的安全漏洞不尽快修复,我们将面临安全灾难,因为攻击者会发现攻击路由器比攻击计算机更容易。
这种安全漏洞允许攻击者访问文件、在网络中安装恶意软件或者使用受害者的安全摄像头来监视他,而不需要访问计算机硬件。
在去年四月接受网络世界的采访时,Schneier基本上说了与Geer说过的相同的内容:“你知道你是如何修复家庭路由器吗?你会扔掉它,再买一个新的。这将会带来安全灾难,低成本、二进制漏洞,没有人知道它们如何运作,没有人会升级路由器,大量漏洞。”
Trustwave公司主管Lawrence Munro表示,而且,即使有可用的更新,普通用户也很难安装更新。
“关键问题是,升级几乎总是手动过程,这可能超出家庭用户的技术水平,”他表示,“在很多情况下,用户很难迅速修复漏洞。”
事实上,在去年12月,美国国土安全局隶属机构US-CERT警告宽带路由器制造商注意名为“Misfortune Cookie”的漏洞,这个漏洞已经存在超过10多年,但在很多部署设备仍然存在。
Check Point公司恶意软件和漏洞部门研究人员指出,“如果你的网关设备容易受到攻击,那么连接到你网络的所有设备都可能受到攻击,包括计算机、电话、平板电脑、打印机、安全摄像机、冰箱、烤箱或者其他联网设备。”
Rapid 7公司高级安全顾问Mark Stanislav本周指出,在去年Def Con安全会议的比赛中,攻击者能够发现半数最常用小型办公室/家庭办公(SOHO)路由器中的15个零日漏洞,包括来自Asus、Netgear、DLink、贝尔金、Linksys、Actiontec和Trendnet等公司的路由器。
然而,如果事情真的这么糟糕的话,我们应该会看到更多有关网络攻击的新闻。虽然主流媒体定期会报道重大攻击事件,但很少有关于路由器攻击的新闻。
这可能部分是因为一般消费者可能根本不知道什么是路由器。并且,“如果没有非常具体调查普通用户的设备是如何配置、来自哪个供应商以及在运行什么固件,我们很难确定对个人及其家庭网络的影响。”
Intel Security公司在线安全专家Robert Siciliano表示同意,“如果漏洞太复杂,大众媒体很难向大众解释的话,那么他们会避而不谈。”
Munro也赞同,但他表示这也是因为媒体并不觉得这是令人兴奋的新闻,至少目前是这样。远程攻击汽车以及让汽车撞车要比解释路由器如何容易受到攻击更容易吸引公众的注意力。
Gettys表示他认为这是因为,这还没有造成足够规模的损坏,但他警告称灾难即将到来。
他称:“人们还没有意识到这些设备是多么不安全,或者这可能对用户及其他人造成多么严重的影响,这些设备逐渐被用作僵尸网络的一部分。”
而在另一方面,开发人员和制造商似乎逐渐开始意识到这个问题。
Stanislav说道:“物联网设备开始更专注于简单的固件更新,即不需要用户干预的自动化过程(+微信关注网络世界),硬件整体更新。”
“在理想情况下,这最终会进入SOHO路由器市场。随着设计模式和技术挑战被克服,制造商将更容易迅速地传播这些更新。”
Gettys称,他听说可能会有一些改进,“在尚未推出的产品中,我期待制造商和服务提供商带来好消息。”
“但即使出现好消息,我仍然感到很沮丧,因为这个问题的经济基础并没有改变,”他补充说,唯一的解决方案是,对法律进行变更,让路由器的制造商来对安全泄露事故负责任。
“现在的状况是,制造商在推出产品后,甚至不需要对基本的维护和软件更新负责人,这种状况必须改变,”他说道,“如果没有改变,做得更好的新制造商不会看到优势,并且会产生更高成本。”
Stanislav表示,他已经看到一些供应商采用更基于云计算[注]的做法,其中更新是持续的过程,只需要较少的用户干预。但这可能制造新的问题,特别是当用户不知道固件在更新时。
他称:“在2012年,我们看到Linksys这种自动固件升级引起用户的不满,这是供应商正在试图权衡的一个做法。”
在显著改进之前,专家都建议用户可采取以下步骤,虽然这不能完全解决问题,但这可以提高安全性:
· 更改默认密码,使用独特、足够长、复杂的密码
· 如果你无法升级你的路由器,建议购买新的路由器来实现升级。根据Munro表示,开源社区创建了OpenWRT和Tomato等项目,提供开源固件来取代供应商的常用硬件平台,但是部署这些开源替代品需要一定水平的IT技能。
· 确保nPnP(通用即插即用)关闭
· 阅读手册,关闭或禁用你可能不需要的其他功能
· 如果你的互联网服务提供商提供组合路由器/调制解调器,这可能会将硬件更新的责任转移一部分到提供商。
· 如果你具有专业技能,可考虑安装OpenWRT。Gettys表示:“但这并不容易。”