Usikre SOHO-rutere
En rapport avslører flere sikkerhetssvakheter i rutere rettet mot mindre bedrifter og hjemmemarkedet.
Det er i en rapport fra ISE, en gruppe uavhengige sikkerhetseksperter, er disse svakhetene er blitt avdekket.
Problemene er ikke koblet til direkte tilgang til nettverket. Allerede fra før er flere svakheter kjent – for eksempel at den gamle WEP-standarden, som ruterne i stor grad fortsatt støtter, gir minimal sikkerhet.
WPA/WPA2 har også sine svakheter knyttet til dårlige passord, samt at WPS i en del rutere kan hackes på kort tid.
Problemene ISE har avdekket, er knyttet til tjenester som i større og større omfang kjører på rutere for SOHO-markedet, samt bakdører til administrasjongrensesnittet.
I stor grad vil dette i de fleste tilfeller være svakheter som i utgangspunktet krever at man har tilgang til nettverket – enten trådløst eller via kabel. Problemene er blant annet knyttet til tjenester som usb-port som gir mulighet for å dele harddisk ut i nettverket, ukryptert innlogging for administrasjonsgrensesnitt, mediestraming-tjenester og andre tjenester for tilgang til ruteren – for eksempel Telnet og FTP.
Sikkerhetssvakhetene kan utnyttes når denne type rutere for eksempel blir brukt offentlige steder der mange i utgangspunktet gis tilgang til det trådløse nettverket, som kaféer og resturanter, hoteller og skoler. Enkelte bedrifter kan også gi mange tilgang – omså via et separat gjestenettverk. En del av tjenestene vil også kunne åpne for sårbarheter via internett – for eksempel via tjenester som skal gi deg tilgang til harddisk koblet til ruteren.
Ruterne som er undersøkt, er nyere modeller fra blant andre Asus, D-Link, Netgear, Linksys, Trendnet og TP-Link. I tillegg til de testede modellene er det sannsynlig at flere andre modeller fra selskapene kan ha de samme problemene.
Hele rapporten kan lastes ned her.
LES OGSÅ:
Oppdater programvaren
Ruterprodusentene ble informert om problemene som ble funnet før rapporten ble publisert. Dette har gitt tid til å utvikle oppdateringer til styringsprogramvaren i ruterne.
Eventuelle oppdateringer kan hentes ned fra produsentens websider. Flere har også funksjonalitet for å sjekke om det er kommet oppdateringer direkte fra administrasjongrensesnittet.
Et tips som ellers oppgis er at man går gjennom tjenestene som kjører på ruterne, og at man slår av tjenester som ikke benyttes. Et problem er imidlertid at man på flere av ruterne ikke har mulighet for å deaktivere en del av tjenestene. En generell anbefaling for bedrifter er å velge modeller hvor sikkerhet og grunnfunksjonalitet står i fokus.
LES OGSÅ:
