对于大多数人来说,家用路由器是他们通往世界的窗口——万维网。
但这是一个破碎的窗口,根据一些顶尖安全专家,他们说没有,普通消费者能保护自己免受熟练网络攻击者,即使他们使用严格的密码和加密,因为运行设备的软件已经过时了,充斥着已知的漏洞。
阿尔卡特-朗讯贝尔实验室(Alcatel-Lucent Bell Labs)系统软件架构研究员吉姆•盖提斯(Jim Gettys)表示:“最大的问题是,这些设备上的软件在你购买的那一天就已经过时了,而且没有更新流。”
他说:“我做了一份清单,列出了这些设备中包装袋的使用年限,从第一天开始,它们已经使用了三到四年了。”“如果没有更新流,就只能从现有的漏洞开始,然后就会变得更糟。”
盖提斯提到了2010年宾夕法尼亚大学的几位教授发表的一篇题为“熟悉滋生轻视”的研究论文。http://www.acsac.org/2010/openconf/modules/request.php?module=oc_program&action=view.php&a=&id=69&type=2他发现,一个软件或一个系统使用的时间越长,攻击者发现漏洞的可能性就越大,因为他们对代码已经很熟悉了。
迈克尔·布朗,写最近在PCWorld的这个清单,[http://www.pcworld.com/article/2097903/asus - linksys路由器-利用-告诉-美国-家-网络- - -脆弱的故事- 2014. - html]说脆弱离开家庭网络路由器和其他连接设备,“敞开的攻击,”意思是黑客从世界上任何地方都可以,”访问你的文件,恶意软件进入你的网络,或者使用你自己的安全摄像头来监视你,所有你的硬件没有铺设一根手指。”
安全专家,作者Bruce Schneier, Co3 Systems的CTO,最近写道他说,“我们的路由器和调制解调器中的计算机比上世纪90年代中期的pc要强大得多。”他还警告说,如果这些计算机中的安全漏洞不能很快修复,“我们就会陷入一场安全灾难,因为黑客发现路由器比电脑更容易被入侵。”在最近的Def Con会议上,一位研究员看起来在30家路由器和闯入包括一些最受欢迎和常见的品牌。”
他说,要解决这个问题,就需要“清理每家家用路由器制造商的整个设计空间和管道库存。”
并非所有人都如此悲观。有很多博客文章都提供了保护家用路由器的建议——至少比设备刚开箱时的默认设置更好。这些专家认为,一点安全措施可能会影响很大。一些专家说,这就像两个男人被一只熊追赶的故事一样。其中一个对另一个说:“我不用跑得过熊。我只要跑得比你快就行了。”
[相关:攻击活动破坏了30万台家用路由器]
换句话说,如果您采取了基本的安全防范措施,您将比普通用户更安全,因此受到攻击的可能性将大大降低。
首席执行官罗伯特西西里岛舞蹈IDTheftSecurity和McAfee的博客,最近提出了一个简短的列表[http://blogs.mcafee.com/consumer/secure-home-wifi],包括登录到路由器设置,更改默认用户名和密码控制的配置设置和启用WPA2-PSK AES加密协议,确保进入密码,通常至少10个字符。
他说,如果可能,用户还应该改变网络连接的服务集标识符(SSID),从默认名称。
西西里亚诺说,他使用的是最新版本的N和AC家庭路由器,“其安全性相当于Windows 7或8,”但比15至40美元的基本款贵得多。它们的价格在150-200美元之间,甚至更多。
但他认为,市场上的新路由器“有一种安全级别,大多数普通消费者不必担心WiFi黑客的数量。”一旦发现漏洞,无论是否符合道德标准,我们都会提供补丁或者建议升级硬件。”
他说,“那些精通WiFi硬件和软件的人”可以用提供额外安全性的定制版本删除和替换默认固件。但是,这将超出99%的用户的能力。
除了加密和更改默认用户名和密码,Brown等人建议:
-不同端口的密码保护,处理各种类型的流量,如HTTP, FTP(文件传输协议),HTTPS(加密的网络流量)和远程桌面。
-重置一切——密码,用户名等,如果需要硬重置,因为常见的故障排除步骤经常恢复弱,默认密码不让用户知道。
-禁用通用即插即用(通用即插即用)-联邦国土安全部的建议。
-禁用匿名访问你的FTP服务,除非你不介意与任何人和每个人分享你的文件。用户可以在路由器的HTML配置页面中访问自己的FTP设置,这些设置可以通过浏览器访问。路由器的默认地址在它的用户手册中。
-把路由器放入所谓的“针孔”模式,每个端口默认被阻塞,直到用户打开它们。“这需要一些工作,但非常安全,”布朗写道。
对于这个列表,Duo security的安全传教士Mark Stanislav建议,“打开自动更新,禁用面向互联网的远程管理,并关注安全通知。”
Stanislav承认,更改密码并不能极大地改善情况,但他表示,这是值得的,因为“攻击者利用默认凭证对目标发起攻击的情况太常见了。”
盖提斯非常同意这一点——他将更改密码描述为“基本卫生”,并表示,这提供了一些保护,因为如今的许多攻击都是“头脑简单的”。由于很多路由器都保留了已知的默认密码,默认密码通常被用来安装恶意软件。”
不过,人们普遍认为路由器可以而且应该更安全。Trustwave的高级安全顾问丹·克劳利(Dan Crowley)说,使用威胁情报和其他研究可以“帮助用户和制造商将最佳的安全实践向前推进。”这包括在开发、生产和活动阶段对家用路由器进行自动扫描和渗透测试,以便制造商不断识别和修复产品中的漏洞。”
他补充说,安全不应该留给用户。“安全需要对用户透明。除了计算机安全专家,我们不能期望任何人成为计算机安全专家。让默认选项成为安全选项。”
斯坦尼斯拉夫说,政府可能需要向路由器制造商施压,因为消费者往往只关注能提供最快WiFi的设备。他表示:“我认为,当供应商未能处理好基本信息安全的最佳做法时,联邦贸易委员会可能会给予很大关注。”
施奈尔认为,目前的形势是一场正在形成的灾难。在他的文章中,他指出,嵌入式系统制造系统是分散的——包括芯片制造商、系统制造商,然后是可能添加用户界面的品牌公司。他说,他们中没有一个人做过很多工程方面的工作。
所以很少应用安全补丁。“没有人有那份工作。有些组件太旧了,已经不再打补丁了。”
除此之外,他多次说源代码是不可用的,一些驱动程序和其他组件是“二进制blob”,根本没有源代码。
他写道,“没有人可能修补二进制代码,”并补充说,这一切的结果是,“在过去五到十年里,互联网上有数亿台设备没有打补丁,也不安全。”黑客们开始注意到了这一点。”
他说,路由器和调制解调器的问题尤其严重,因为它们是用户和互联网之间的接口,所以关闭它们几乎是不可行的,而且它们通常是一直开着的。
我们面前有一场刚刚开始的灾难,”他写道。“这只是个时间问题。我们必须解决这个问题。”
Gettys表示,家用路由器的安全性可以在两到三年内得到显著改善,但这需要业界的思维方式有所不同。“这不是技术问题:这主要是文化和商业问题,”他说。
“基础软件可以保持最新,并自动升级,只需你每月向ISP支付的费用的一小部分。所以并不是没有钱;它不会直接或间接地从你来的地方到需要扩展的地方,而是让这些设备上的软件保持最新,”他说。
但他说,这种变化的前景“不太可能”,他说,这种变化将导致“一个漫长而痛苦的未来”。
这个故事,“家庭路由器:破窗到世界”最初是由方案 。