Громадные неприятности в компьютерном мире постоянно возникают нежданно: никто их несобирается и не хочет! Ну, возможно ли было вообразить ещё десять лет назад, что наглухо изолированная Java в один раз станет чуть ли не самым страшным инструментом на персоналке? А «интернет вещей» — холодильники, телевизоры, термостаты — превратится в рассадник цифровой заразы? Но, первое в прошлом, второе до тех пор пока ещё в будущем, а пунктик на сегодня, на на данный момент, для каждого пользователя дома и в офисе: роутеры. Они же маршрутизаторы, они же для большинства — легко «точки беспроводного выхода в интернет». Ещё сравнительно не так давно бывшие заслоном от внешних угроз, сейчас они сами становятся основной обстоятельством головной боли.
Началась эта печальная история не день назад: вот уже пара лет о роутерах говорят на хакерских конференциях и в security-рассылках. Но, открыто, всё равняется, с какого именно эпизода затевать рассказ, по причине того, что выводы в итоге выясняются теми же самыми. Так что не будем на большом растоянии ходить, оттолкнёмся от вируса TheMoon, найденного в первой половине февраля и до сих пор гуляющего по Сети.
Применяя недосмотр в системном софте, TheMoon приобретает полномочия администратора, скачивает и запускает собственную копию, по окончании чего начинает поиск следующих жертв. Обычный метод для компьютерного «червя», да вот лишь «компьютерным» TheMoon возможно назвать только с громадной натяжкой: он применяет уязвимость не в ОС ПК, а в маршрутизаторах Belkin/Linksys (нескольких серий, в частности E и Wireless-N) – и соответственно исполняется также в маршрутизаторе. Компьютер ему не нужен. И это растолковывает, из-за чего эпидемия в неспециализированном-то тривиального с позиций тактики вируса привела к такой шумихе. TheMoon стал первым (а если не первым, то самым массовым) вирусом для роутеров.
Непременно это должно было произойти. Так как маршрутизаторы изнутри сущность обычные компьютеры. Да, аппаратная часть у них иногда экзотическая: скажем, Linksys строятся на процессорах архитектуры MIPS. Но экзотика замаскирована от пользователя ОС, в качестве которой употребляются прекрасно привычные компьютерной общественности наработки, включая Linux.
Исходя из этого формально пенять обладателям инфицированных устройств необходимо лишь на себя. В итоге, на дворе не восьмидесятые, и любой сетянин обязан знать базисные правила цифровой гигиены: придумать хороший пароль, систематично обновляться, не оставлять включенными ненужные программы/сервисы. К роутерам эти правила применимы на сто процентов, и Linksys, к примеру, говорит, что тем, кто отключил удалённое администрирование на своём маршрутизаторе и обновлял прошивку, TheMoon не страшен. Той же позиции придерживаются и другие производители.
Роутеры владеют особенной привлекательностью для взломщиков: это ответственный элемент коммуникационной инфраструктуры дома и офиса, на что завязаны многие конечные устройства. Установив контроль над ним, осуществляешь контроль все информационные потоки в периметре. Наряду с этим — благодарю стандартным ОС — эксплуатировать «дыры» тут в состоянии кроме того пресловутые скрипт-кидди. Вот из-за чего перечень инцидентов с маршрутизаторами всегда пополняется новыми датами и именами. До истории с Linksys был скандал с прошивкой и польскими хакерами ZyXEL. До того в киберкриминальной хронике отметились продукты Cisco, Netgear, Trendnet, D-Link. А практически пару дней назад уличили Asus’ы: к подключенным к ним USB-накопителям может обращаться каждый желающий извне, по причине того, что доступ по умолчанию предоставляется без пароля. Другими словами, в случае если отыскать в памяти всё, что произошло с конца “нулевых”, сделанная кем-то оценка — 80% домашних и офисных роутеров имеют те либо иные уязвимости — не будет казаться завышенной.
Плотность роутеров (сверху) коррелирует с плотностью населения (снизу), но ещё лучше – с уровнем судьбы: чем лучше живётся в конкретном регионе, тем больше в том месте маршрутизаторов.
Так о чём спорить? Вендоры правы. Пускай рядовой юзер исходит из предположения “роутер = компьютер” и действует соответственно. Неприятность, но, в том, что юзер роутер компьютером не вычисляет. А также не планирует!
Это поразительная задача наступающей эры “интернета вещей”: вещи быстро умнеют и уже достигли сложности, сопоставимой с ПК, — но их пользователь считает себя не пользователем, а потребителем. Привычка! Бытовая электроника всегда . Она не потребовала настройки. Утюг включается в розетку, стиральная машина загружается бельём, чайник заливается водой — и делают то, для чего предназначены. Потребительский подход к роутеру совсем тот же самый: включить — и пускай раздает интернет домашним устройствам. Пробовать переложить вину за взлом роутера на пользователя (как сделала, к примеру, Asus: разъясняясь по упомянутому выше предлогу, она прозрачно намекнула, что пользователи сами виноваты — так как обновлённая firmware в далеком прошлом уже выпущена) – это всё равняется что утверждать: «стиралка» вышла из строя, по причине того, что обладатель ленился иногда лазить в её нутро и смотреть за состоянием нагревательного элемента!
А ведь кроме того обновление firmware маршрутизатора — задача нетривиальная (пользоваться функцией проверки, встроенной в web-интерфейс самого роутера, не рекомендуется: необходимо идти на сайт производителя и искать), что сказать про другие мелочи (не все сервисы отключены по умолчанию; дефолтовый пароль может возвратиться по окончании перезагрузки устройства, и т. в наше время., и т. п.). В противном случае говоря, у каждой «умной» бытовой железки имеется и будут собственные особенности, каковые нужно знать, дабы верно ею руководить. А следовательно, потребитель будет кроме того не просто пользователем, а администратором. Кошмар наяву: в ответ на простое «Ты мужик либо что?» хозяин дома берётся за мануалы и тратит выходные на усмирение взбесившихся «умных» вещей…
Понятное дело, сценарий данный ни при каких обстоятельствах, ни в каком случае не будет реализован. Потребитель останется потребителем. И в роутерах будут водиться «черви», холодильники – рассылать спам, термостаты – смотреть за передвижениями хозяев. Вопрос, на что предстоит дать ответ: смогут ли производители как-то сгладить данный недочёт? Эксперты утверждают, что единственным фактически нужным и применимым ответом до тех пор пока остаётся автоматическое обновление «умных» устройств, включенное по умолчанию, но с возможностью отключения. А также так проблему полностью не устранить (в новых прошивках случаются несовместимости и глюки, ветхие модели скоро замещаться новыми на конвейере, но не в зданиях, и т. д.). Но все другие варианты или утопичны, или легко забавны — наподобие функции плановой перезагрузки, которую в Belkin гордо именуют «самоизлечением»…
Очень сильно оказать помощь, как ни необычно, смогут те, на кого надежда в далеком прошлом утрачена, – разработчики антивирусов. До тех пор пока ещё противовирусные программы не могут инспектировать маршрутизаторы, но никаких технических препятствий для реализации данной функции не видно. Для обывателя же это будет совершенный вариант: к антивирусам он привычен, принцип их действия осознаёт и при происхождения неприятностей постоянно сможет воспользоваться привычным инструментом.
В статье использованы иллюстрации Matt Newman, Sean MacEntee, csiv.