路由器后門引擔憂家用路由拒絕裸奔

dongtao · 發(fā)表于 2014-4-11 10:52

被稱為“網(wǎng)絡(luò)核彈”的OpenSSL安全漏洞讓網(wǎng)民憂心忡忡。人們發(fā)現(xiàn)，原來自己的個人網(wǎng)上信息安全如此弱不禁風。而不久之前，國家互聯(lián)網(wǎng)應(yīng)急中心公布出的路由器后門事件，也是個人網(wǎng)絡(luò)安全的一大威脅。不過，與OpenSSL危機個人用戶只能束手無策相比，在路由器安全上，用戶可以更多地主動防范。
　　□事件
　　路由器后門引網(wǎng)友擔憂
　　不久前，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的“2013年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述”中，一段關(guān)于路由器安全的表述，引爆了關(guān)于路由器這個如今家庭中幾乎不可或缺的產(chǎn)品的安全性話題。
　　該報告稱，國家信息安全漏洞共享平臺(CNVD)分析驗證，D-LINK、 Cisco、Linksys、Netgear、Tenda等多家廠商的路由器產(chǎn)品存在后門，黑客可由此直接控制路由器，進一步發(fā)起域名系統(tǒng)(DNS)劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶網(wǎng)上交易和數(shù)據(jù)存儲安全，使得相關(guān)產(chǎn)品變成隨時可被引爆的安全“地雷”。以D-LINK部分路由器產(chǎn)品為例，攻擊者利用后門，可取得路由器的完全控制權(quán)，CNVD分析發(fā)現(xiàn)，受該后門影響的D-LINK路由器在互聯(lián)網(wǎng)上對應(yīng)的IP地址至少有1.2萬個，影響大量用戶。
　　廠商留后門為方便調(diào)試
　　軟件中所說的“后門”，一般指開發(fā)軟件的程序員為了某種目的，在軟件中保留的不為外人知的程序。通過后門，可以繞過軟件的安全機制直接獲得控制權(quán)限。一位軟件行業(yè)人士如此通俗地解釋“后門”：就像酒店中每位客人的鑰匙打不開其他人的房間，但酒店服務(wù)員會有一把萬能鑰匙，能打開每一個房間以便進行打掃。平時萬能鑰匙掌握在酒店手中，住店客人的財物是安全的，可一旦萬能鑰匙被竊賊掌握，那每個住店客人的財物都可能被席卷一空。
　　“極路由”創(chuàng)始人王楚云表示，一些路由器廠商確實會在產(chǎn)品上留下后門，主要目的是為了更方便地對產(chǎn)品進行調(diào)試，并沒有什么不良的用意。但他同時承認，“后門”的存在確實讓路由器變得更不安全，一旦黑客發(fā)現(xiàn)路由器的“后門”所在，就可以實現(xiàn)對路由器的遠程控制，用戶的隱私也就難保了。
　　□內(nèi)幕
　　家用路由器有多重風險
　　有“后門”的路由器有隱患，沒“后門”的路由器同樣不安全。
　　王楚云介紹，除了廠家有意識留下的“后門”，還有一類是開發(fā)者在寫代碼時留下的bug，這和“后門”一樣都屬于系統(tǒng)漏洞，同樣可能被黑客發(fā)現(xiàn)并利用。事實上，除了路由器之外，任何網(wǎng)絡(luò)設(shè)備，都不可避免地存在或多或少的漏洞。用一句設(shè)備商人士的話說，“只有沒被生產(chǎn)出來的設(shè)備不存在漏洞”。
　　對于這一類的系統(tǒng)漏洞，解決的方式就是定期進行系統(tǒng)升級，為已經(jīng)發(fā)現(xiàn)的漏洞打上補丁。當然這不是一個一勞永逸的過程，“網(wǎng)絡(luò)安全就是一個發(fā)現(xiàn)漏洞與打補丁交替進行的過程”，360公司副總裁曲曉東說。
　　沒有“后門”，定期升級彌補漏洞的路由器是否就是安全的呢？答案同樣遺憾。“黑客們可以通過誘騙用戶登錄掛木馬網(wǎng)站，以及直接破解密碼等方式來實現(xiàn)對路由器的入侵?！蓖醭普f。
　　網(wǎng)絡(luò)名人、邪紅色信息安全組織創(chuàng)始人Evi1m0曾經(jīng)在網(wǎng)上以講故事的方式介紹了自己如何一步步破解了隔壁“女神”家的路由器，從而掌握了“女神”大量個人信息的過程。盡管這個過程聽起來很有神秘感，但據(jù)王楚云介紹，破解路由器并不是一種非常高深的技術(shù)，甚至可以說得上是簡單，國內(nèi)能做到這一點的大有人在。Evi1m0本人也表示，他的做法主要是為了引起人們對路由器安全的重視，“真正的高手是不屑于攻擊普通家用路由器的”。
　　□探因
　　弱密碼容易成攻擊對象
　　盡管攻擊路由器的技術(shù)難度并不大，但現(xiàn)實生活中，我們似乎不常遇到路由器被他人控制的情況。
　　“一來這個過程很多用戶自己根本不會察覺，二來這種對路由器的攻擊需要和對方處在同一局域網(wǎng)下，很多人的鄰居并不是懂這種技術(shù)的黑客?！盓vi1m0解釋道。
　　360安全專家石曉虹表示，與黑客通過路由器后門或漏洞攻擊相比，通過對“弱密碼”的攻擊，才是路由器面臨的最主要威脅。據(jù)他介紹，路由器有兩個重要的密碼，一個是WiFi密碼，主要是為了防止他人蹭網(wǎng)，這個密碼的重要性很多人都知道；另一個是路由器管理密碼，主要是對路由器上網(wǎng)賬號、WiFi密碼、DNS、聯(lián)網(wǎng)設(shè)備進行管理設(shè)置，很多廠商都選擇“admin”這樣簡單的單詞作為路由器管理的初始密碼，而很多用戶并不了解這個密碼的重要性，往往對初始密碼不做任何改動。
　　這種“弱密碼”路由器連接的電腦，只要訪問一個帶有攻擊代碼的惡意網(wǎng)頁，路由器DNS就會自動被篡改為黑客指定的DNS，(DNS相當于用戶訪問網(wǎng)址的“導航儀”)，這種情況下，用戶電腦會出現(xiàn)上網(wǎng)變慢、正常網(wǎng)站卻彈出色情廣告等情況，甚至訪問網(wǎng)銀官方地址也可能實際打開的卻是釣魚網(wǎng)站。
　　對于這一威脅，路由器大廠騰達就在其官網(wǎng)上發(fā)布公告提醒用戶“我們強烈建議用戶：不使用廠商出廠默認的管理員用戶名和密碼，一定要對原始用戶名和密碼進行修改”。
　　□危害
　　隱私與個人信息被竊
　　再回到之前Evi1m0所講述的案例中，他總結(jié)了自己在破解隔壁“女神”路由器之后的收獲：獲得了女神的照片，劫持了她的微博、微信、人人、QQ、淘寶等所有登錄過的賬號，通過淘寶又獲取了她的手機號……
　　試想一下，如果用戶的這些信息都被人一覽無余，那就意味著他的主要個人信息、與人交往的情況都被他人所掌握了，更有可能他的微博、微信上會突然出現(xiàn)了完全不是自己發(fā)送的內(nèi)容。
　　這還不是最嚴重的。王楚云表示，路由器被非法掌握，最大的危害是訪問網(wǎng)頁可能被劫持到釣魚網(wǎng)站上?！爱斈愕卿浱詫毣蛘呔W(wǎng)銀時，卻被轉(zhuǎn)到了一個虛假網(wǎng)頁上，你所填寫的個人信息、密碼都會被人記錄下來，這時可能帶來的損失可就大了?！?br /> 　　360曾經(jīng)發(fā)布過的一份報告顯示，從黑客攻擊者篡改DNS設(shè)置的目的上看，49.5%的篡改是為了向用戶推送色情網(wǎng)頁和游戲廣告；28%的篡改是為了將淘寶等電商網(wǎng)站劫持到付費推廣頁面，從而騙取推廣傭金；還有22.5%的其他各類劫持，如將正規(guī)網(wǎng)站的訪問請求劫持到釣魚網(wǎng)站或木馬網(wǎng)站。
　　從這一報告可以看出，黑客攻擊的主要商業(yè)目的，還是推送廣告，這一做法雖然令人厭煩，但好在并不會有太大的安全威脅。但必須警惕的是，雖然有人撬開你家門鎖只為進屋放幾張傳單，但你能確定自己家中的財物能一直安全嗎？
　　□分析
　　安全需求或帶來行業(yè)洗牌
　　據(jù)了解，造成家用路由器安全性比較低的原因，除了技術(shù)上的，很重要的一個原因還在于成本。企業(yè)和國家機關(guān)所使用的路由設(shè)備，對于安全性有著較高的要求，這樣的設(shè)備技術(shù)難度大，成本高，價格很昂貴，也更難被攻破；但家庭使用的路由器，一般家庭的主要需求是信號強，價格低，這也使得家用路由器廠商更關(guān)注成本控制，安全性則不是主要考慮的因素。有業(yè)內(nèi)人士指出，之前的路由器廠商，如果家用產(chǎn)品在安全性上投入過多造成價格過高，反而在市場上缺乏競爭力。
　　這種情況很可能會發(fā)生變化?！艾F(xiàn)在學習和掌握計算機、編程技術(shù)的門檻越來越低，網(wǎng)絡(luò)高手越來越多，網(wǎng)絡(luò)面臨的安全威脅也越來越大；同時人們使用社交網(wǎng)絡(luò)、網(wǎng)銀的習慣，也使得個人信息安全變得越來越重要?！蓖醭普J為，與前幾年不同，網(wǎng)民們對于網(wǎng)絡(luò)安全的關(guān)注程度越來越高，勢必對于路由器產(chǎn)品的安全性能要求也越來越高。
　　可以想見，隨著網(wǎng)絡(luò)安全事件不斷出現(xiàn)以及網(wǎng)民隱私保護意識的提升，“安全”必將成為人們對于路由器的一個重要需求?；蛘咭粓鲂碌男袠I(yè)洗牌即將到來。
　　□應(yīng)對措施
　　雖然說再安全的路由器也難以擋住真正的黑客，但對于用戶來說，采取一些必要的安全措施，還是可以大大提高家里路由器的使用安全性，從而將自己面臨的風險降至最低。綜合安全專家們的建議，用戶在使用路由器時應(yīng)該注意以下幾點：
　　1.家中WiFi的連接密碼要盡可能復雜一些，盡量使用10位以上的密碼，最好是大小寫字母、數(shù)字、特殊符號的組合，這樣可以讓純暴力破解變得很困難。
　　2.修改路由器默認的管理密碼，不要再使用“admin”這樣的弱密碼，同時盡量設(shè)置得越復雜越好。
　　3.WiFi以WPA/WPA2加密認證方式設(shè)置密碼，并關(guān)閉路由器的WPS/QSS功能，以免WiFi被他人蹭網(wǎng)后威脅整個家庭網(wǎng)絡(luò)的安全。
　　4.常登錄路由后臺看看有沒有接入不認識的設(shè)備，有的話過濾掉。
　　5.及時對路由器的固件進行升級，修復“后門”和漏洞。
　　6.移動設(shè)備最好不要越獄不要ROOT。
　　7.當電腦安裝的殺毒軟件提示面臨攻擊劫持時，不要掉以輕心直接忽略。

› 智能家居 / NAS / 路由 / 開發(fā) / 音響 › 智能路由器論壇

路由器后門引擔憂家用路由拒絕裸奔

路由器后門引擔憂家用路由拒絕裸奔

相關(guān)帖子

› 智能家居 / NAS / 路由 / 開發(fā) / 音響 › 智能路由器論壇