Într-un raport lansat recent se arată că aproape toate router-ele Wi-Fi testate într-un studiu realizat de renumitul Institut Fraunhofer din Germania aveau grave vulnerabilități de securitate care puteau fi ușor remediate de către producători.
„S-a constatat că aproape toate au defecte de securitate, unele dintre ele foarte grave”, au spus cei de la Institutul Fraunhofer într-un comunicat de presă. „Problemele variază de la actualizări de securitate care lipsesc până la parole ușor de decriptat, parole codificate și alte vulnerabilități cunoscute, care ar fi trebuit să fie patch-uite cu mult timp în urmă.”
Folosind propriul său software analitic, institutul a testat cel mai recent firmware disponibil pentru 117 modele Wi-Fi de casă vândute în prezent în Europa, inclusiv routere de la ASUS, D-Link, Linksys, Netgear, TP-Link, Zyxel și micul brand german AVM. Modelele în sine nu au fost testate fizic.
O listă completă a modelelor și firmware-urile testate se află pe GitHub. Institutul nu a putut examina firmware-ul a încă 10 modele, în mare parte de la Linksys. Raportul notează că multe actualizări de firmware sunt emise fără a remedia defectele cunoscute.
Deoarece studiul a fost început la sfârșitul lunii martie și examinează firmware-ul disponibil la 27 martie, acesta nu va include zeci de corecții de firmware pe care le-a emis Netgear la sfârșitul lunii iunie pentru a corecta o serie de defecte.
Între timp, routerele Huawei nu au fost examinate, deoarece compania nu pune la dispoziția publicului firmware-ul router-elor, iar router-ele și gateway-urile emise de ISP-uri nu au fost examinate, deoarece ISP-urile externalizează dezvoltarea firmware-ului către mulți terți.
Nu este ca și cum acesta ar fi primul sondaj de acest fel. Un studiu separat privind securitatea router-elor a emis un raport la fel de serios în decembrie 2018, cu toate că s-au observat puține îmbunătățiri în cele 18 luni ulterioare.
Cum vă puteți proteja router-ul?
Deci, ce puteți face? Vă puteți asigura că următorul router pe care îl cumpărați instalează automat actualizările de firmware. Puteți verifica dacă router-ul dvs. actual face acest lucru sau vă facilitează instalarea manuală a actualizărilor de firmware.
De asemenea, trebuie să vă asigurați că parola administrativă pentru routerul dvs. a fost modificată de la parola implicită din fabrică. (Verificați lista de parole implicite la https://www.routerpasswords.com.) De asemenea, ar trebui să verificați interfața administrativă pentru a vă asigura că UPnP și accesul la distanță sunt dezactivate.
Și dacă routerul dvs. a fost lansat acum mai mult de 5 ani, luați în considerare cumpărarea unui model mai nou, cu excepția cazului în care acesta îndeplinește toate criteriile de mai sus.
Altfel, ați putea încerca să „flash-uiți” routerul dvs. mai vechi pentru a rula un firmware de router open-source mai sigur, cum ar fi OpenWrt, DD-WRT sau Tomato.
Negative și pozitive
AVM a ieșit de departe cel mai bun dintre cei șapte producători examinați, deși nu i-au lipsit defectele. ASUS și Netgear nu s-au descurcat bine, dar au fost mai puțin groaznice decât D-Link, Linksys, TP-Link și Zyxel.
Defectele care au fost incluse: firmware-ul învechit (D-Link DSL-321B Z nu a fost actualizat din 2014); kernele Linux învechite (Linksys WRT54GL folosește un kernel din 2002); eșecul în implementarea tehnicilor comune de securitate (AVM s-a descurcat mai bine decât restul menționate aici); chei private secrete încorporate în firmware, astfel încât oricine să le poată găsi (Netgear R6800 avea 13) și numele de utilizator și parolele administrative avansate care permit preluarea completă a dispozitivului (doar ASUS nu a avut niciunul).
„Nu există un router fără defecte și nu există un producător care să facă o treabă perfectă în ceea ce privește toate aspectele de securitate”, a concluzionat raportul Fraunhofer. „Este nevoie de mult mai mult efort pentru a face routerele de casă la fel de sigure ca sistemele de desktop sau server actuale.”
Routerele de care să vă feriți
Studiul menționează câteva dintre routerele testate pe care să nu le folosiți niciodată, chiar dacă încă mai sunt sau vor mai fi pe piață.
„Cel mai grav în ceea ce privește CVE-urile de înaltă severitate [defecte cunoscute global] este Linksys WRT54GL dotat cu cel mai vechi kernel descoperit în studiul nostru”, a menționat raportul, menționând că acest model folosește kernelul 2.4.20 din 2002. „Există 579 CVE-uri de înaltă severitate care afectează acest produs.
Modelul respectiv și-a actualizat ultima oară firmware-ul în ianuarie 2016, fiind unul dintre cele mai vechi firmware-uri din studiu. Linksys WRT54GL a fost lansat în 2005 și încă este vândut și astăzi, chiar dacă gestionează protocoale Wi-Fi doar până la 802.11g.
Cu toate acestea, seria WRT54G este posibil cea mai vândută linie de routere Wi-Fi. Recursul continuu al WRT54GL poate fi determinat de fiabilitatea reputată și de faptul că este ușor de „flash-uit” ca să ruleze firmware open-source – firmware-ul OpenWrt a fost inițial dezvoltat pentru a rula pe această serie de routere.
Despre versiunile de kernel Linux de pe routere
Sunt unele modele care se descurcă un pic mai bine, în ceea ce privește kernelul actualizat la zi. (Mai mult de 90% din routerele din studiu rulează Linux.) De departe cea mai comună versiunea de kernel Linux a fost 2.6.36, din 2010. Excepția a făcut-o AVM, cu cea mai veche versiune de la 3.10.10 din 2013.
„Chiar și așa, mai mult de jumătate din dispozitivele AVM rulează versiuni de kernel care nu mai sunt suportate”, se menționează în raport.
Linux construiește în mod constant noi funcții de securitate chiar în kernelul său și nu este chiar atât de dificil să actualizezi kernelul pe dispozitivele Linux. Producătorii de distribuții Linux pe PC și server o fac tot constant.
Deși cel mai recent kernel Linux din testul Fraunhofer (din 27 martie 2020) a fost versiunea 5.4, niciunul dintre routerele testate nu a folosit ceva mai nou de 4.4.60, din 2016. (AVM și Netgear fiind cele care l-au folosit.)
„Linux lucrează continuu pentru a stopa vulnerabilitățile de securitate în sistemul său de operare și pentru a dezvolta noi funcționalități”, a declarat cercetătorul Johannes vom Dorp în comunicatul de presă Fraunhofer. „Tot ceea ce producătorii ar trebui să facă este să instaleze cel mai recent software, însă nu îl integrează în măsura în care ar putea să o facă și ar trebui.”
Despre cheile de securitate privată
Alt model pe care nu-l recomandăm este Netgear R6800, care are nici mai mult, nici mai puțin de 13 chei de securitate privată avansate incluse în firmware.
Ultima sa actualizare de firmware a fost în august 2019 și nu am recomanda să fie utilizat până când nu are una nouă nu a fost disponibilă. (Acest model nu avea soluții rapide pentru această problemă, de la sfârșit de lună iunie.)
Cheile private sunt o parte esențială a mecanismelor care guvernează securitatea internetului, iar routerele ar trebui să le folosească pentru a iniția transmisii de date sigure și pentru a verifica actualizările firmware-ului. Trebuie să aibă perfect protejate aspectele de siguranță, datele cele mai sensibile și protocoalele și conexiunile disponibile pentru a fi eficiente, în caz contrar fiind destul de bine subminate dacă cheile pot fi găsite în firmware-ul unui router.
„Acest lucru înseamnă că orice atacator îl poate folosi ca pe dispozitiv propriu și poate face atacuri intermediare”, se arată în raport. „Aceste chei sunt partajate în toate dispozitivele aceluiași model. Aceasta înseamnă că o cheie privată publicată într-un firmware pune în pericol mii de dispozitive.”
Doar AVM nu avea nici o cheie privată în toate interfațele sale de firmware. Netgear a avut cele mai multe.
Care sunt cele mai învechite modele?
Apoi, mai e și D-Link DSL-321B Z, care nu a avut o actualizare de firmware din august 2014. În total, 46 de modele nu au primit actualizări în mai mult de un an, deși majoritatea au primit-o în anii anteriori.
„Dacă un producător nu a actualizat un firmware de mult timp, sigur că se vor găsi mai multe vulnerabilități cunoscute în dispozitiv”, se arată în raport. „În caz contrar, nu este neapărat adevărat.”
În ceea ce privește protecțiile de securitate disponibile, care sunt prea tehnice ca să le discutăm aici, AVM a fost de departe cel mai bun în implementarea lor pe dispozitivele sale, Netgear fiind pe un loc doi îndepărtat. D-Link a ieșit cel mai rău din acest test.
Dar, încă odată, majoritatea acestor protecții sunt standard pe PC-urile și serverele Linux și chiar și pe telefoanele Android. Nu există nici un motiv real pentru care nu pot fi utilizate pe mai multe routere. Sau probabil au fost lăsate așa intenționat pentru a facilita controlul rețelelor și datelor personale.