Nemačka predlaže bezbednosne smernice za rutere, ali nisu svi srećni
Svako ko je čitao naslove o sigurnosti računara u posljednjih nekoliko godina zna da postoji borba za kontrolu kućnih i SOHO širokopojasnih rutera.
Online kriminalci su se probudili do moći koju mogu iskoristiti kroz hakovanje velikog broja rutera i pretvaranja u botove, lansiranje razornih DDoS napada, krađa WiFi akreditiva ili promene postavki DNS-a kako bi se neprestano pojavljivali neželjeni oglasi .
Ponovo i iznova korisnici su upozoreni da su njihovi ruteri ugroženi zbog nedostataka softvera ili zato što su isporučeni sa slabim standardnim lozinkama.
Isti problemi se nastavljaju iznova i iznova. Nešto se mora promieniti.
Nemačka vlada je prepoznala da je pretnja ozbiljna i objavila je nacrt smernica o tome kako veruje da se trebaju osigurati širokopojasni ruteri.
Dokument, koji je proizvela nemačka federalna služba za informacionu sigurnost (BSI), predlaže dugačku listu mera i preporuka koje treba da usvoje ruteri koji uključuju sledeće:
- Bežični ruteri trebaju koristiti kao minimum WPA2 šifriranje.
- Bilo koja konfiguraciona lozinka konfigurirana u fabričkim podešavanjima treba da bude duga najmanje 20 znakova i ne sme sadržavati informacije koje proizilaze iz proizvođača rutera, naziva modela ili MAC adrese itd.
- Pored toga, bilo koja prethodno konfigurisana lozinka za konfiguraciju koja se koristi sa fabričkim podešavanjima ne smeju biti korišćena na više uređaja od istog proizvođača
- Bilo koja prethodno konfigurisana lozinka za konfiguraciju mora sadržati najmanje osam znakova i kombinaciju najmanje dva od sledećih tipova znakova (velika slova [A-Z], mala slova [a-z], posebni znakovi [npr.?,!, $, itd.] i numeričke znakove [0-9])
- Kada menjaju Wi-Fi ili konfiguracijsku lozinku, korisnicima bi trebalo omogućiti da dobiju merač jačine lozinke na osnovu broja karaktera i složenosti
- Korisnici koji koriste gost Wi-Fi usluge ne bi trebalo da imaju pristup konfiguraciji rutera
- Podrazumevano ne bi trebalo da bude moguće da daljinski konfigurišete ruter, a udaljeni pristup bi trebalo da bude moguć samo preko šifrovane, server-autentifikovane veze
- Ruteri moraju uključivati funkcionalnost da ažuriraju firmver i pružaju korisnicima mogućnost pokretanja ažuriranja ručno ili na mreži. Pored toga, automatsko ažuriranje firmvera treba (kao što je to potrebno) da bude ponuđeno i aktivirano po podrazumevanoj vrednosti (iako mora biti moguće da korisnik to deaktivira ako to želi)
- Ako ruter utvrdi da je njegov firmver trenutno zastareo, on mora obavestiti korisnika (kao što je pop-up nakon prijave). Ako proizvođač odluči da prestane da podržava uređaj sa ažuriranjima firmvera, isti mehanizam treba koristiti da informiše korisnike o kraju usluge
- Factori resets treba da vrati uređaje u njihovo podrazumevano sigurno stanje, a svi lični podaci trebaju biti izbrisani
Međutim, nisu svi impresionirani BSI-ovim predlozima za poboljšanje sigurnosti rutera.
Na primer, Chaos Computer Club (CCC) je kritikovao nacrt, razočaran što smernice neće primoravati proizvođače da pokažu datum isteka roka trajanja firmvare-a na mestu kupovine, te da prodavači neće morati da dozvole korisnicima da instaliraju prilagođeni firmvare na uređaje koji više ne dobijaju ažuriranja dobijene od strane proizvođača.
Prema mišljenju CCC-a, “stvarna šema obezbeđuje samo toliko sigurnosti kao i proizvođači – pod uslovom da se odluče da poštuju direktivu.”