安全專家稱，讓我們連接到互聯(lián)網(wǎng)的設(shè)備很容易受到攻擊，雖然跡象表明安全技術(shù)正在改進(jìn)，但威脅也在不斷發(fā)展。

[[146923]]

IT界都普遍認(rèn)同，安全鏈最薄弱的環(huán)節(jié)是容易犯錯(cuò)且經(jīng)常不小心的人類。

而緊隨其后的是路由器，這是幫助我們連接到互聯(lián)網(wǎng)的設(shè)備，有時(shí)也被稱為“互聯(lián)網(wǎng)的脊梁”，路由器很容易受到技術(shù)純熟的黑客的攻擊。

安全專家一直在警告人們有關(guān)路由器的威脅性，但到目前為止，事情并沒有發(fā)生太大變化。

風(fēng)險(xiǎn)投資公司In-Q-tel首席信息安全官兼美國(guó)情報(bào)機(jī)構(gòu)顧問Dan Geer在一年多前的安全會(huì)議上表示，大多數(shù)現(xiàn)有路由器非常不安全。

解決這個(gè)問題的唯一方法是拔掉所有這些設(shè)備，將它們?nèi)拥嚼?，并安裝全新的設(shè)備。

但這可能也無(wú)法解決這個(gè)問題，因?yàn)樾碌脑O(shè)備可能有相同的漏洞。

系統(tǒng)架構(gòu)師Jim Gettys去年表示他清點(diǎn)了一些路由器中數(shù)據(jù)包的年限，它們都已經(jīng)存在三到四年。如果沒有更新漏洞，這些設(shè)備只會(huì)讓事情變得更糟糕。

而在上周接受采訪時(shí)，Gettys稱他沒有看到這個(gè)市場(chǎng)有很大變化。

Resilient Systems公司首席技術(shù)官兼加密大師Bruce Schneier一年前在博客文章中稱，“我們路由器和調(diào)制解調(diào)器中的計(jì)算機(jī)比90年代中期的電腦更強(qiáng)大，”并警告稱，如果其中的安全漏洞不盡快修復(fù)，我們將面臨安全災(zāi)難，因?yàn)楣粽邥?huì)發(fā)現(xiàn)攻擊路由器比攻擊計(jì)算機(jī)更容易。

這種安全漏洞允許攻擊者訪問文件、在網(wǎng)絡(luò)中安裝惡意軟件或者使用受害者的安全攝像頭來(lái)監(jiān)視他，而不需要訪問計(jì)算機(jī)硬件。

在去年四月接受網(wǎng)絡(luò)世界的采訪時(shí)，Schneier基本上說了與Geer說過的相同的內(nèi)容：“你知道你是如何修復(fù)家庭路由器嗎?你會(huì)扔掉它，再買一個(gè)新的。這將會(huì)帶來(lái)安全災(zāi)難，低成本、二進(jìn)制漏洞，沒有人知道它們?nèi)绾芜\(yùn)作，沒有人會(huì)升級(jí)路由器，大量漏洞。”

Trustwave公司主管Lawrence Munro表示，而且，即使有可用的更新，普通用戶也很難安裝更新。

“關(guān)鍵問題是，升級(jí)幾乎總是手動(dòng)過程，這可能超出家庭用戶的技術(shù)水平，”他表示，“在很多情況下，用戶很難迅速修復(fù)漏洞。”

事實(shí)上，在去年12月，美國(guó)國(guó)土安全局隸屬機(jī)構(gòu)US-CERT警告寬帶路由器制造商注意名為“Misfortune Cookie”的漏洞，這個(gè)漏洞已經(jīng)存在超過10多年，但在很多部署設(shè)備仍然存在。

Check Point公司惡意軟件和漏洞部門研究人員指出，“如果你的網(wǎng)關(guān)設(shè)備容易受到攻擊，那么連接到你網(wǎng)絡(luò)的所有設(shè)備都可能受到攻擊，包括計(jì)算機(jī)、電話、平板電腦、打印機(jī)、安全攝像機(jī)、冰箱、烤箱或者其他聯(lián)網(wǎng)設(shè)備。”

Rapid 7公司高級(jí)安全顧問Mark Stanislav本周指出，在去年Def Con安全會(huì)議的比賽中，攻擊者能夠發(fā)現(xiàn)半數(shù)最常用小型辦公室/家庭辦公(SOHO)路由器中的15個(gè)零日漏洞，包括來(lái)自Asus、Netgear、DLink、貝爾金、Linksys、Actiontec和Trendnet等公司的路由器。

然而，如果事情真的這么糟糕的話，我們應(yīng)該會(huì)看到更多有關(guān)網(wǎng)絡(luò)攻擊的新聞。雖然主流媒體定期會(huì)報(bào)道重大攻擊事件，但很少有關(guān)于路由器攻擊的新聞。

這可能部分是因?yàn)橐话阆M(fèi)者可能根本不知道什么是路由器。并且，“如果沒有非常具體調(diào)查普通用戶的設(shè)備是如何配置、來(lái)自哪個(gè)供應(yīng)商以及在運(yùn)行什么固件，我們很難確定對(duì)個(gè)人及其家庭網(wǎng)絡(luò)的影響。”

Intel Security公司在線安全專家Robert Siciliano表示同意，“如果漏洞太復(fù)雜，大眾媒體很難向大眾解釋的話，那么他們會(huì)避而不談。”

Munro也贊同，但他表示這也是因?yàn)槊襟w并不覺得這是令人興奮的新聞，至少目前是這樣。遠(yuǎn)程攻擊汽車以及讓汽車撞車要比解釋路由器如何容易受到攻擊更容易吸引公眾的注意力。

Gettys表示他認(rèn)為這是因?yàn)?，這還沒有造成足夠規(guī)模的損壞，但他警告稱災(zāi)難即將到來(lái)。

他稱：“人們還沒有意識(shí)到這些設(shè)備是多么不安全，或者這可能對(duì)用戶及其他人造成多么嚴(yán)重的影響，這些設(shè)備逐漸被用作僵尸網(wǎng)絡(luò)的一部分。”

而在另一方面，開發(fā)人員和制造商似乎逐漸開始意識(shí)到這個(gè)問題。

Stanislav說道：“物聯(lián)網(wǎng)設(shè)備開始更專注于簡(jiǎn)單的固件更新，即不需要用戶干預(yù)的自動(dòng)化過程(+微信關(guān)注網(wǎng)絡(luò)世界)，硬件整體更新。”

“在理想情況下，這最終會(huì)進(jìn)入SOHO路由器市場(chǎng)。隨著設(shè)計(jì)模式和技術(shù)挑戰(zhàn)被克服，制造商將更容易迅速地傳播這些更新。”

Gettys稱，他聽說可能會(huì)有一些改進(jìn)，“在尚未推出的產(chǎn)品中，我期待制造商和服務(wù)提供商帶來(lái)好消息。”

“但即使出現(xiàn)好消息，我仍然感到很沮喪，因?yàn)檫@個(gè)問題的經(jīng)濟(jì)基礎(chǔ)并沒有改變，”他補(bǔ)充說，唯一的解決方案是，對(duì)法律進(jìn)行變更，讓路由器的制造商來(lái)對(duì)安全泄露事故負(fù)責(zé)任。

“現(xiàn)在的狀況是，制造商在推出產(chǎn)品后，甚至不需要對(duì)基本的維護(hù)和軟件更新負(fù)責(zé)人，這種狀況必須改變，”他說道，“如果沒有改變，做得更好的新制造商不會(huì)看到優(yōu)勢(shì)，并且會(huì)產(chǎn)生更高成本。”

Stanislav表示，他已經(jīng)看到一些供應(yīng)商采用更基于云計(jì)算[注]的做法，其中更新是持續(xù)的過程，只需要較少的用戶干預(yù)。但這可能制造新的問題，特別是當(dāng)用戶不知道固件在更新時(shí)。

他稱：“在2012年，我們看到Linksys這種自動(dòng)固件升級(jí)引起用戶的不滿，這是供應(yīng)商正在試圖權(quán)衡的一個(gè)做法。”

在顯著改進(jìn)之前，專家都建議用戶可采取以下步驟，雖然這不能完全解決問題，但這可以提高安全性：

· 更改默認(rèn)密碼，使用獨(dú)特、足夠長(zhǎng)、復(fù)雜的密碼

· 如果你無(wú)法升級(jí)你的路由器，建議購(gòu)買新的路由器來(lái)實(shí)現(xiàn)升級(jí)。根據(jù)Munro表示，開源社區(qū)創(chuàng)建了OpenWRT和Tomato等項(xiàng)目，提供開源固件來(lái)取代供應(yīng)商的常用硬件平臺(tái)，但是部署這些開源替代品需要一定水平的IT技能。

· 確保nPnP(通用即插即用)關(guān)閉

· 閱讀手冊(cè)，關(guān)閉或禁用你可能不需要的其他功能

· 如果你的互聯(lián)網(wǎng)服務(wù)提供商提供組合路由器/調(diào)制解調(diào)器，這可能會(huì)將硬件更新的責(zé)任轉(zhuǎn)移一部分到提供商。

· 如果你具有專業(yè)技能，可考慮安裝OpenWRT。Gettys表示：“但這并不容易。”