家用路由拒绝“裸奔” 弱密码比后门更易被攻击
近日,被称为“网络核弹”的OpenSSL安全漏洞让网民忧心忡忡。人们发现,原来自己的个人网上信息安全如此弱不禁风。而不久之前,国家互联网应急中心公布出的路由器后门事件,也是个人网络安全的一大威胁。不过,与OpenSSL危机个人用户只能束手无策相比,在路由器安全上,用户可以更多地主动防范。 □事件 路由器后门引网友担忧 不久前,国家互联网应急中心发布的“2013年我国互联网网络安全态势综述”中,一段关于路由器安全的表述,引爆了关于路由器这个如今家庭中几乎不可或缺的产品的安全性话题。 该报告称,国家信息安全漏洞共享平台(CNVD)分析验证,D-LINK、 Cisco、Linksys、Netgear、Tenda等多家厂商的路由器产品存在后门,黑客可由此直接控制路由器,进一步发起域名系统(DNS)劫持、窃取信息、网络钓鱼等攻击,直接威胁用户网上交易和数据存储安全,使得相关产品变成随时可被引爆的安全“地雷”。以D-LINK部分路由器产品为例,攻击者利用后门,可取得路由器的完全控制权,CNVD分析发现,受该后门影响的D-LINK路由器在互联网上对应的IP地址至少有1.2万个,影响大量用户。 厂商留后门为方便调试 软件中所说的“后门”,一般指开发软件的程序员为了某种目的,在软件中保留的不为外人知的程序。通过后门,可以绕过软件的安全机制直接获得控制权限。一位软件行业人士如此通俗地解释“后门”:就像酒店中每位客人的钥匙打不开其他人的房间,但酒店服务员会有一把万能钥匙,能打开每一个房间以便进行打扫。平时万能钥匙掌握在酒店手中,住店客人的财物是安全的,可一旦万能钥匙被窃贼掌握,那每个住店客人的财物都可能被席卷一空。 “极路由”创始人王楚云表示,一些路由器厂商确实会在产品上留下后门,主要目的是为了更方便地对产品进行调试,并没有什么不良的用意。但他同时承认,“后门”的存在确实让路由器变得更不安全,一旦黑客发现路由器的“后门”所在,就可以实现对路由器的远程控制,用户的隐私也就难保了。 □内幕 家用路由器有多重风险 有“后门”的路由器有隐患,没“后门”的路由器同样不安全。 王楚云介绍,除了厂家有意识留下的“后门”,还有一类是开发者在写代码时留下的bug,这和“后门”一样都属于系统漏洞,同样可能被黑客发现并利用。事实上,除了路由器之外,任何网络设备,都不可避免地存在或多或少的漏洞。用一句设备商人士的话说,“只有没被生产出来的设备不存在漏洞”。 对于这一类的系统漏洞,解决的方式就是定期进行系统升级,为已经发现的漏洞打上补丁。当然这不是一个一劳永逸的过程,“网络安全就是一个发现漏洞与打补丁交替进行的过程”,360公司副总裁曲晓东说。 没有“后门”,定期升级弥补漏洞的路由器是否就是安全的呢?答案同样遗憾。“黑客们可以通过诱骗用户登录挂木马网站,以及直接破解密码等方式来实现对路由器的入侵。”王楚云说。 网络名人、邪红色信息安全组织创始人Evi1m0曾经在网上以讲故事的方式介绍了自己如何一步步破解了隔壁“女神”家的路由器,从而掌握了“女神”大量个人信息的过程。尽管这个过程听起来很有神秘感,但据王楚云介绍,破解路由器并不是一种非常高深的技术,甚至可以说得上是简单,国内能做到这一点的大有人在。Evi1m0本人也表示,他的做法主要是为了引起人们对路由器安全的重视,“真正的高手是不屑于攻击普通家用路由器的”。 □探因 弱密码容易成攻击对象 尽管攻击路由器的技术难度并不大,但现实生活中,我们似乎不常遇到路由器被他人控制的情况。 “一来这个过程很多用户自己根本不会察觉,二来这种对路由器的攻击需要和对方处在同一局域网下,很多人的邻居并不是懂这种技术的黑客。”Evi1m0解释道。 360安全专家石晓虹表示,与黑客通过路由器后门或漏洞攻击相比,通过对“弱密码”的攻击,才是路由器面临的最主要威胁。据他介绍,路由器有两个重要的密码,一个是WiFi密码,主要是为了防止他人蹭网,这个密码的重要性很多人都知道;另一个是路由器管理密码,主要是对路由器上网账号、WiFi密码、DNS、联网设备进行管理设置,很多厂商都选择“admin”这样简单的单词作为路由器管理的初始密码,而很多用户并不了解这个密码的重要性,往往对初始密码不做任何改动。 这种“弱密码”路由器连接的电脑,只要访问一个带有攻击代码的恶意网页,路由器DNS就会自动被篡改为黑客指定的DNS,(DNS相当于用户访问网址的“导航仪”),这种情况下,用户电脑会出现上网变慢、正常网站却弹出色情广告等情况,甚至访问网银官方地址也可能实际打开的却是钓鱼网站。 对于这一威胁,路由器大厂腾达就在其官网上发布公告提醒用户“我们强烈建议用户:不使用厂商出厂默认的管理员用户名和密码,一定要对原始用户名和密码进行修改”。 □危害 隐私与个人信息被窃 再回到之前Evi1m0所讲述的案例中,他总结了自己在破解隔壁“女神”路由器之后的收获:获得了女神的照片,劫持了她的微博、微信、人人、QQ、淘宝等所有登录过的账号,通过淘宝又获取了她的手机号…… 试想一下,如果用户的这些信息都被人一览无余,那就意味着他的主要个人信息、与人交往的情况都被他人所掌握了,更有可能他的微博、微信上会突然出现了完全不是自己发送的内容。 这还不是最严重的。王楚云表示,路由器被非法掌握,最大的危害是访问网页可能被劫持到钓鱼网站上。“当你登录淘宝或者网银时,却被转到了一个虚假网页上,你所填写的个人信息、密码都会被人记录下来,这时可能带来的损失可就大了。” 360曾经发布过的一份报告显示,从黑客攻击者篡改DNS设置的目的上看,49.5%的篡改是为了向用户推送色情网页和游戏广告;28%的篡改是为了将淘宝等电商网站劫持到付费推广页面,从而骗取推广佣金;还有22.5%的其他各类劫持,如将正规网站的访问请求劫持到钓鱼网站或木马网站。 从这一报告可以看出,黑客攻击的主要商业目的,还是推送广告,这一做法虽然令人厌烦,但好在并不会有太大的安全威胁。但必须警惕的是,虽然有人撬开你家门锁只为进屋放几张传单,但你能确定自己家中的财物能一直安全吗? □分析 安全需求或带来行业洗牌 据了解,造成家用路由器安全性比较低的原因,除了技术上的,很重要的一个原因还在于成本。企业和国家机关所使用的路由设备,对于安全性有着较高的要求,这样的设备技术难度大,成本高,价格很昂贵,也更难被攻破;但家庭使用的路由器,一般家庭的主要需求是信号强,价格低,这也使得家用路由器厂商更关注成本控制,安全性则不是主要考虑的因素。有业内人士指出,之前的路由器厂商,如果家用产品在安全性上投入过多造成价格过高,反而在市场上缺乏竞争力。 这种情况很可能会发生变化。“现在学习和掌握计算机、编程技术的门槛越来越低,网络高手越来越多,网络面临的安全威胁也越来越大;同时人们使用社交网络、网银的习惯,也使得个人信息安全变得越来越重要。”王楚云认为,与前几年不同,网民们对于网络安全的关注程度越来越高,势必对于路由器产品的安全性能要求也越来越高。 可以想见,随着网络安全事件不断出现以及网民隐私保护意识的提升,“安全”必将成为人们对于路由器的一个重要需求。或者一场新的行业洗牌即将到来。 □应对措施 虽然说再安全的路由器也难以挡住真正的黑客,但对于用户来说,采取一些必要的安全措施,还是可以大大提高家里路由器的使用安全性,从而将自己面临的风险降至最低。综合安全专家们的建议,用户在使用路由器时应该注意以下几点: 1.家中WiFi的连接密码要尽可能复杂一些,尽量使用10位以上的密码,最好是大小写字母、数字、特殊符号的组合,这样可以让纯暴力破解变得很困难。 2.修改路由器默认的管理密码,不要再使用“admin”这样的弱密码,同时尽量设置得越复杂越好。 3.WiFi以WPA/WPA2加密认证方式设置密码,并关闭路由器的WPS/QSS功能,以免WiFi被他人蹭网后威胁整个家庭网络的安全。 4.常登录路由后台看看有没有接入不认识的设备,有的话过滤掉。 5.及时对路由器的固件进行升级,修复“后门”和漏洞。 6.移动设备最好不要越狱不要ROOT。 7.当电脑安装的杀毒软件提示面临攻击劫持时,不要掉以轻心直接忽略。(记者古晓宇) |
关键词:密码,家用路由,后门 |