您的路由器：网关黑客

它在IT普遍认为，在安全链中最薄弱的环节是容易犯错，并经常粗心的人。

但紧随其后，许多专家说，是路由器 - 该设备连接的人到网上，有时也被称为“互联网的脊梁” - 这是危险的易受黑客技能。

这些专家已经发出警告了一段时间，但他们说，到目前为止，事情并没有发生太大变化。

〔也可CSO：思科警告用户关于网络设备上安装恶意攻击的固件]

丹·吉尔，在风险投资公司In-Q-Tel公司和顾问，美国情报机构的首席信息安全官，说话的会议在剑桥，马萨诸塞州，一年多前，说，大多数的路由器几乎滑稽不安全的，因为他们有“驱动程序和操作系统的金额当时现存的Linux状态的快照，以及最低端的商品芯片of the router’s design.”

只有这样，才能解决这个问题，他说，将“拔掉所有设备，在垃圾箱扔并安装所有新的。”

这将无法修复，要么，因为新的有，“可能有一个摆在首位实现了这点同样的漏洞谱，”他说。

吉姆·格蒂斯，系统架构师，说过去年，他清点了一些路由器的内包装的时代，“他们都在第一天的三到四年的历史。而如果没有一个更新流，你开始与现有的漏洞，它只是得到的情况更糟糕。”

在过去的这个星期的采访中，getty的说，他“看到变化不大的市场。”

布鲁斯，加密大师兼首席技术官弹性系统，比一个写了一年前博客文章即，“在我们的路由器和调制解调器的计算机比90年代中期的电脑更强大”，并警告说，如果在其中的安全漏洞不尽快解决，“我们正处在一个安全的灾难，黑客人物出，它更容易破解路由器比电脑。”

这些安全漏洞可以让黑客在不访问计算机硬件的情况下访问文件、在网络上安装恶意软件或使用受害者的安全摄像头监视他。

在最近的访问与网络世界足球竞猜app软件今年四月，施奈尔说，基本上同样的事情格尔曾表示，一年前：“你知道你修补你的家用路由器的方法是什么？你把它扔掉，买一个新的。而这将是一个刻着灾难...成本低，二进制斑点，没有人知道他们是如何工作的，有没有人对其进行更新，大量的漏洞，而我们只是坚持了下来。”

而且，即使有可用的更新，他们太难以安装对于普通用户，劳伦斯·蒙罗在Trustwave主任。

“关键问题是，升级几乎都是手工过程很可能超出了家庭用户的技术水平，”他说，“和补丁很快不可在许多情况下。”

事实上，去年十二月，US-CERT，美国国土安全部的一部分，警告宽带路由器生产厂家约一个名为“祸兮曲奇”，超过10年前被修补，但仍然存在许多部署的设备漏洞。

研究人员在Check Point的恶意软件和漏洞组，谁的名字出现了，指出的是，“如果你的网关设备是脆弱的，那么任何设备连接到您的网络 - 包括电脑，手机，平板电脑，打印机，监控摄像机，冰箱，烤箱或在您的家中或办公室网络的任何其他联网设备 - 可能增加的风险妥协。”

Rapid7的高级安全顾问马克·斯坦尼斯拉夫(Mark Stanislav)本周注意到，在一场大规模的军事演习中，美国军方正在采取行动比赛at last year’s Def Con, hackers were able to demonstrate 15 zero-day vulnerabilities in more than a half-dozen of the most common Small Office/Home Office (SOHO) routers, including models from Asus, Netgear, DLink, Belkin, Linksys, Actiontec and Trendnet.

不足为奇的是，比赛的题目是，“SOHOpelessly坏了。”

如果真的是这样的糟糕，但是，它似乎会有关于网络的灾难性收购更多的故事。然而，尽管主流媒体经常就重大黑客攻击报告，很少有，如果有的话，大约路由器妥协的头条新闻。

也就是说，斯坦尼斯拉夫说，可能是部分原因是由于一般消费者可能根本不知道路由器是什么。而且，“个人或家庭网络的影响未必容易确定没有他们的设备是如何配置的一个非常具体的审查，是什么厂商它的，什么固件它的运行，”他说。

“这是一个更加层次，细致入微的故事比“X公司遭到黑客攻击，现在你的数据是有风险的。”

罗伯特·西西利亚诺，英特尔安全的在线安全专家同意。“如果缺陷是太复杂了大众媒体打破了普通大众，他们避而不谈，”他说。

蒙罗表示同意，但说也正是因为媒体并不觉得这令人兴奋的 - 至少现在还不是。远程黑客一辆车并使其更加崩溃渔获公众关注不是解释路由器是如何脆弱。

〔也可CSO：SDN交换机并不难妥协，研究人员说，]

getty的说，他认为这是因为，“它没有伤害在美国足够规模的袖珍书”，但警告说，伤害正在到来。

“人们还没有意识到是多么不安全的这些设备，或什么鬼这可能会导致客户和其他人 - 他们正在越来越多地用作僵尸网络的一部分，去攻击别人，”他说。

如果有任何前途的新闻报道，它是似乎有开发商和制造商们越来越认识到存在的问题。

“物联网（物联网一般）设备开始更专注于简单的固件更新 - 不需要用户干预，以及硬件更新长寿整体自动化流程，”斯坦尼斯说。

“这将理想情况下，涓滴成SOHO路由器市场最终。作为设计模式和技术难题被克服，迅速传播更新将成为厂商更加容易。”

getty的说，他听到背后有可能在尚未公布的产品了一些改进，”;但我留给制造商和服务供应商的公告来。

“但即使有这些希望的曙光，我灰心，因为问题的经济基础并没有改变，”他补充说，在制作路由器的安全漏洞负责的制造商修改法律是唯一的解决办法。

“有人能推出一款产品，不承担任何赔偿责任甚至基本的维护和升级它包含了期望寿命必须改变软件的想法，”他说。没有它，“新进入者谁做得更好不会看到回报，而将具有更高的成本。”

斯坦尼斯拉夫说，他已经看到一些厂商“，采取更基于云计算的方法，即更新是需要更少的用户干预的一个持续的过程。但是，可以创建新的问题，特别是在用户不知情的固件更新。

“我们看到了一些暴行在2012年这种类型的Linksys的自动升级固件。这是一个平衡的行为是供应商仍然搞清楚如何权衡，”他说。

直到重大改进发生，专家建议集体许多步骤的消费者可以采取将不能完全解决问题，反而会使他们的目标比普通用户少：

• 更改默认密码，一个是独特的，长期和复杂的。
• 如果无法升级路由器，那就买一个允许升级的新路由器。根据Munro的说法，“开源社区已经通过创建OpenWRT和Tomato等项目为用户提供了替代方案，这些项目提供开源固件来取代供应商在公共硬件平台上的固件。但他表示，实现它们“需要一定程度的IT技能”。
• 确保UPnP（通用即插即用）是关闭的。
• 阅读手册，并关闭你可能不需要或禁用其他功能。
• 如果你的互联网服务提供商提供了一个联合路由器/调制解调器，这可以通过一些硬件更新到它的责任。
• 如果您有专业知识，请安装OpenWRT。盖提斯说:“但这不是爷爷奶奶能做到的。

这个故事，“你的路由器：网关黑客”原本是由出版CSO 。