Спецпроекты

Самые «дырявые» беспроводные роутеры: рейтинг по результатам тестов

13884
Безопасность Администратору Пользователю Интернет Техника

CNews и SEC Consult составили рейтинг безопасности беспроводных маршрутизаторов, которые наиболее распространены на российском рынке, и убедились в невысоком качестве кода их программных оболочек.

CNews и компания SEC Consult (австрийский вендор решений по кибербезопасности) представляют первый рейтинг защищённости программных оболочек IoT-устройств.

На этот раз были исследованы десять программных оболочек наиболее популярных моделей беспроводных роутеров от разных производителей. Важно отметить, что все эти устройства характеризуются довольно низкой степенью безопасности.

Беспроводные роутеры (маршрутизаторы) сегодня распространены повсеместно: в жилых домах, общественных местах, транспортных узлах и, естественно, в деловых центрах обнаруживаются десятки, сотни, а то и тысячи беспроводных точек доступа к локальной сети или к интернету, в зависимости от их назначения и настроек.

Если маршрутизатор используется для выхода в мировую Сеть, он обеспечивает IP-адресацию всех устройств в формируемой с его помощью локальной сети по протоколу DHCP, в то время как сам он получает IP-адрес от внешнего провайдера. Так, по крайней мере, это работает в домашних и малых офисных сетях. В крупных корпоративных ЛВС основные принципы остаются теми же, но структура сетей будет намного сложнее. Там будут использоваться маршрутизаторы с большей пропускной способностью и более широкими возможностями, нежели у домашних роутеров или устройствах, предназначенных для работы в малых офисах.

Взлом маршрутизатора весьма критичен, как для организаций, так и для частных лиц

Любой современный роутер является самостоятельным компьютером со своей операционной системой, приложениями и накопителем данных. И так было всегда: условный предок всех роутеров, Honeywell 516 (1966 год), 45-килограммовый агрегат, использовавшийся как маршрутизатор сети ARPANET, представлял собой 16-битный миникомпьютер, поддерживавший пять языков программирования.

Сегодня маршрутизаторы, по объективным причинам, намного меньше и легче, но по природе своей остаются самостоятельными ЭВМ, для которых пишутся операционные системы (программные оболочки или «прошивки»), как правило, на базе ядра Linux, и дополнительное ПО. Настройки роутеров под сети, в которых они будут использоваться, осуществляются через веб-интерфейс.

Здесь и начинаются основные проблемы с этими устройствами: качество кода у оболочек зачастую оказывается удручающе низким. Их легко взламывать и вписывать в память устройства посторонние программы, то есть заражать «вредоносами». Разработчики забывают вычищать «вшитые» пароли административного доступа, которыми они пользовались сами и фиксированные ключи SSL/SSH. Всё это усугубляется тем фактом, что смена административного пароля - сугубо опциональная вещь. И если пользователь не понимает, что пароль 123456 - неприемлем, то ему, к сожалению, никто не сможет с этим помочь.

Рейтинг защищённости программных оболочек роутеров

Роутер Фактор риска (чем больше, тем хуже)
Xiaomi Router 4 53
TP-Link Archer C5400 53
ASUS GT-AC5300X 50
Netgear R9000 50
MikroTikRouterOS(RT8197F) 50
Netis WF2681 50
MikroTikRouterOS(MT7621) 50
Realtek RT8197F 31,6
Keenetic GigaKN-1010 28,7
Keenetic KN-1810 28,7

Источник: CNews Analytics

Исследуя прошивки наиболее популярных роутеров из тех, что сегодня находятся в продаже, мы оценивали, в первую очередь, риски для их безопасности.

Итоговая цифра — коэффициент риска рассчитывалась как кумулятивный показатель того, насколько вероятна эксплуатация уязвимости и каковы возможные последствия ее эксплуатации. Получившееся значение умножалось на коэффициент, определяемый количеством однотипных уязвимостей, встречавшихся в одной и той же программной оболочке. Итоговая цифра представлялась в логарифмическом масштабе от 0 до 100. То есть, чем больше уязвимостей и чем они серьёзнее, тем выше риск для устройства, а следовательно, и для пользователя.

Большинство рассматриваемых устройств имеют низкий уровень защищенности (фактор риска 50 и более), что повышает вероятность успешной атаки потенциальных злоумышленников на данные устройства.

До 28 ноября 2019 г. вы можете бесплатно загрузить прошивку своего устройства, чтобы получить оценку и консультацию от специалистов компании SEC Consult на странице нашего совместного спецпроекта «Интернет вещей» по этой ссылке.



Стратегия месяца

Зачем государство ввязалось в гонку технологических вооружений

Михаил Замыцкий

директор по развитию «Ситилинк»

Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС