Когда мы активируем подключение к Интернету и наш интернет-провайдер предоставляет свой маршрутизатор, мы устанавливаем его, настраиваем и верим, что всё в порядке. То же самое и в случае, если мы предпочитаем покупать «бесплатный роутер»: забираем домой, устанавливаем, настраиваем и начинаем серфить. Если мы особенно внимательно относимся к безопасности, мы делаем ещё один шаг: меняем стандартное имя пользователя и пароль маршрутизатора на персонализированные данные для входа.
Достаточно ли всего этого для безопасной навигации? По данным Института коммуникации Фраунгофера (FKIE) в Вахтберге, Германия, нет. Немецкий исследовательский центр опубликовал в июне 2020 года Отчет о безопасности домашних маршрутизаторов, в котором собраны результаты многочисленных тестов, проведенных на 127 моделях маршрутизаторов, произведенных 7 известными производителями (Asus, AVM, D-Link, Linksys, Netgear, TP-Link и Zyxel, которые очень популярны на рынке «бесплатных маршрутизаторов»). К сожалению, по результатам тестов хороших новостей не видно.
Безопасность роутера: как обстоят дела
Институт Фраунгофера обнаружил, что многие из маршрутизаторов имеют уже давно известные уязвимости. Также было обнаружено, что многие производители не включают исправления существующих уязвимостей в обновления прошивки своих маршрутизаторов.
Таким образом, многие маршрутизаторы используют операционные системы старых версий и, следовательно, небезопасны. Так же многие используют слишком простые и даже слабые криптографические ключи.
Исследовательский центр обнаружил, что некоторые маршрутизаторы не получали обновления более пяти лет. Но, больше всего беспокоит то, что FKIE не смог найти среди 127 исследованных моделей хотя бы один маршрутизатор без проблем с безопасностью.
Безопасность маршрутизатора: обновления прошивки
Хотя 81 маршрутизатор был обновлен за последние 365 дней до тестов FKIE (которые проводились с 27 марта 2019 г. по 27 марта 2020 г.), среднее количество дней с момента последнего обновления составило 378.
Целых 27 устройств не обновлялись как минимум два года, в то время как самый худший маршрутизатор не обновлялся 1969 дней, то есть более пяти лет.
Asus, AVM и Netgear выпустили обновления для своих устройств за последние полтора года. Для сравнения: самые популярные антивирусные программы обновляют не реже одного раза в день.
Безопасность маршрутизатора: операционная система
90% маршрутизаторов, протестированных Институтом связи Фраунгофера, имели операционную систему Linux, треть маршрутизаторов работала с ядром Linux 2.6.36, версия которого была выпущена в конце октября 2010 года.
Один из проанализированных маршрутизаторов, Linksys WRT54GL, был оснащен даже Linux 2.4.20, появившийся в 2002 году. Ясно, что такая старая операционная система не может быть безопасной, и, фактически, было обнаружено, в среднем, 53 уязвимости, связанные с операционной системой. У лучших было «всего» 21, у худших 348.
Безопасность маршрутизатора: ключи шифрования
В большинстве проанализированных прошивок маршрутизаторов использовался частный криптографический ключ. Это означает, что всё, что они пытаются защитить с помощью механизма публично-частного шифрования, совершенно небезопасно.
Хакер может легко извлечь закрытый ключ, хранящийся в прошивке, и по этой причине Open Web Application Security Project (OWASP) предлагает не использовать закрытые ключи или, если вам действительно нужно их использовать, хранить их вне прошивки на отдельных чипах.
Безопасность маршрутизатора: учетные данные для входа
Большинство маршрутизаторов использует учетные данные для доступа (т.е. имя пользователя и пароль, и требует от пользователя доступа к веб-интерфейсу конфигурации маршрутизатора), которые «жестко запрограммированы». То есть прописаны прямо в прошивке, без всякого шифрования.
Проблема, с которой столкнулся Институт связи Фраунгофера в отношении учетных данных, заключалась в том, что только 60% проанализированных маршрутизаторов не имели жестко заданных учетных данных.
Безопасность роутера: как её улучшить
Как вы можете попытаться сделать свой модем-маршрутизатор более безопасным? Следует указать, что большинство проанализированных продуктов не используются интернет-провайдерами, а нацелены на конечного пользователя, который выбирает и покупает модем-роутер для лучшей производительности, дополнительных функций или (как ни парадоксально) большей безопасности.
Следовательно, чтобы поддерживать высокий уровень безопасности вашего маршрутизатора, пользователь должен убедиться, что установил все доступные обновления прошивки, что очень часто интернет-провайдеры делают автоматически удаленно для своих клиентов с предоставлением модема-маршрутизатора для использования. Также важно изменить учетные данные для доступа к веб-интерфейсу маршрутизатора сразу после его установки.