安全專家稱，讓我們連接到互聯(lián)網(wǎng)的設(shè)備很容易受到攻擊，雖然跡象表明安全技術(shù)正在改進，但威脅也在不斷發(fā)展。

[[146923]]

IT界都普遍認(rèn)同，安全鏈最薄弱的環(huán)節(jié)是容易犯錯且經(jīng)常不小心的人類。

而緊隨其后的是路由器，這是幫助我們連接到互聯(lián)網(wǎng)的設(shè)備，有時也被稱為“互聯(lián)網(wǎng)的脊梁”，路由器很容易受到技術(shù)純熟的黑客的攻擊。

安全專家一直在警告人們有關(guān)路由器的威脅性，但到目前為止，事情并沒有發(fā)生太大變化。

風(fēng)險投資公司In-Q-tel首席信息安全官兼美國情報機構(gòu)顧問Dan Geer在一年多前的安全會議上表示，大多數(shù)現(xiàn)有路由器非常不安全。

解決這個問題的唯一方法是拔掉所有這些設(shè)備，將它們?nèi)拥嚼埃惭b全新的設(shè)備。

但這可能也無法解決這個問題，因為新的設(shè)備可能有相同的漏洞。

系統(tǒng)架構(gòu)師Jim Gettys去年表示他清點了一些路由器中數(shù)據(jù)包的年限，它們都已經(jīng)存在三到四年。如果沒有更新漏洞，這些設(shè)備只會讓事情變得更糟糕。

而在上周接受采訪時，Gettys稱他沒有看到這個市場有很大變化。

Resilient Systems公司首席技術(shù)官兼加密大師Bruce Schneier一年前在博客文章中稱，“我們路由器和調(diào)制解調(diào)器中的計算機比90年代中期的電腦更強大，”并警告稱，如果其中的安全漏洞不盡快修復(fù)，我們將面臨安全災(zāi)難，因為攻擊者會發(fā)現(xiàn)攻擊路由器比攻擊計算機更容易。

這種安全漏洞允許攻擊者訪問文件、在網(wǎng)絡(luò)中安裝惡意軟件或者使用受害者的安全攝像頭來監(jiān)視他，而不需要訪問計算機硬件。

在去年四月接受網(wǎng)絡(luò)世界的采訪時，Schneier基本上說了與Geer說過的相同的內(nèi)容：“你知道你是如何修復(fù)家庭路由器嗎?你會扔掉它，再買一個新的。這將會帶來安全災(zāi)難，低成本、二進制漏洞，沒有人知道它們?nèi)绾芜\作，沒有人會升級路由器，大量漏洞。”

Trustwave公司主管Lawrence Munro表示，而且，即使有可用的更新，普通用戶也很難安裝更新。

“關(guān)鍵問題是，升級幾乎總是手動過程，這可能超出家庭用戶的技術(shù)水平，”他表示，“在很多情況下，用戶很難迅速修復(fù)漏洞。”

事實上，在去年12月，美國國土安全局隸屬機構(gòu)US-CERT警告寬帶路由器制造商注意名為“Misfortune Cookie”的漏洞，這個漏洞已經(jīng)存在超過10多年，但在很多部署設(shè)備仍然存在。

Check Point公司惡意軟件和漏洞部門研究人員指出，“如果你的網(wǎng)關(guān)設(shè)備容易受到攻擊，那么連接到你網(wǎng)絡(luò)的所有設(shè)備都可能受到攻擊，包括計算機、電話、平板電腦、打印機、安全攝像機、冰箱、烤箱或者其他聯(lián)網(wǎng)設(shè)備。”

Rapid 7公司高級安全顧問Mark Stanislav本周指出，在去年Def Con安全會議的比賽中，攻擊者能夠發(fā)現(xiàn)半數(shù)最常用小型辦公室/家庭辦公(SOHO)路由器中的15個零日漏洞，包括來自Asus、Netgear、DLink、貝爾金、Linksys、Actiontec和Trendnet等公司的路由器。

然而，如果事情真的這么糟糕的話，我們應(yīng)該會看到更多有關(guān)網(wǎng)絡(luò)攻擊的新聞。雖然主流媒體定期會報道重大攻擊事件，但很少有關(guān)于路由器攻擊的新聞。

這可能部分是因為一般消費者可能根本不知道什么是路由器。并且，“如果沒有非常具體調(diào)查普通用戶的設(shè)備是如何配置、來自哪個供應(yīng)商以及在運行什么固件，我們很難確定對個人及其家庭網(wǎng)絡(luò)的影響。”

Intel Security公司在線安全專家Robert Siciliano表示同意，“如果漏洞太復(fù)雜，大眾媒體很難向大眾解釋的話，那么他們會避而不談。”

Munro也贊同，但他表示這也是因為媒體并不覺得這是令人興奮的新聞，至少目前是這樣。遠程攻擊汽車以及讓汽車撞車要比解釋路由器如何容易受到攻擊更容易吸引公眾的注意力。

Gettys表示他認(rèn)為這是因為，這還沒有造成足夠規(guī)模的損壞，但他警告稱災(zāi)難即將到來。

他稱：“人們還沒有意識到這些設(shè)備是多么不安全，或者這可能對用戶及其他人造成多么嚴(yán)重的影響，這些設(shè)備逐漸被用作僵尸網(wǎng)絡(luò)的一部分。”

而在另一方面，開發(fā)人員和制造商似乎逐漸開始意識到這個問題。

Stanislav說道：“物聯(lián)網(wǎng)設(shè)備開始更專注于簡單的固件更新，即不需要用戶干預(yù)的自動化過程(+微信關(guān)注網(wǎng)絡(luò)世界)，硬件整體更新。”

“在理想情況下，這最終會進入SOHO路由器市場。隨著設(shè)計模式和技術(shù)挑戰(zhàn)被克服，制造商將更容易迅速地傳播這些更新。”

Gettys稱，他聽說可能會有一些改進，“在尚未推出的產(chǎn)品中，我期待制造商和服務(wù)提供商帶來好消息。”

“但即使出現(xiàn)好消息，我仍然感到很沮喪，因為這個問題的經(jīng)濟基礎(chǔ)并沒有改變，”他補充說，唯一的解決方案是，對法律進行變更，讓路由器的制造商來對安全泄露事故負(fù)責(zé)任。

“現(xiàn)在的狀況是，制造商在推出產(chǎn)品后，甚至不需要對基本的維護和軟件更新負(fù)責(zé)人，這種狀況必須改變，”他說道，“如果沒有改變，做得更好的新制造商不會看到優(yōu)勢，并且會產(chǎn)生更高成本。”

Stanislav表示，他已經(jīng)看到一些供應(yīng)商采用更基于云計算[注]的做法，其中更新是持續(xù)的過程，只需要較少的用戶干預(yù)。但這可能制造新的問題，特別是當(dāng)用戶不知道固件在更新時。

他稱：“在2012年，我們看到Linksys這種自動固件升級引起用戶的不滿，這是供應(yīng)商正在試圖權(quán)衡的一個做法。”

在顯著改進之前，專家都建議用戶可采取以下步驟，雖然這不能完全解決問題，但這可以提高安全性：

· 更改默認(rèn)密碼，使用獨特、足夠長、復(fù)雜的密碼

· 如果你無法升級你的路由器，建議購買新的路由器來實現(xiàn)升級。根據(jù)Munro表示，開源社區(qū)創(chuàng)建了OpenWRT和Tomato等項目，提供開源固件來取代供應(yīng)商的常用硬件平臺，但是部署這些開源替代品需要一定水平的IT技能。

· 確保nPnP(通用即插即用)關(guān)閉

· 閱讀手冊，關(guān)閉或禁用你可能不需要的其他功能

· 如果你的互聯(lián)網(wǎng)服務(wù)提供商提供組合路由器/調(diào)制解調(diào)器，這可能會將硬件更新的責(zé)任轉(zhuǎn)移一部分到提供商。

· 如果你具有專業(yè)技能，可考慮安裝OpenWRT。Gettys表示：“但這并不容易。”