Это старая версия документа.
Здесь мы просто напомним о нескольких банальных советах по повышению защиты домашних роутеров от взлома, и обсудим тему безопасности современного мира.
Причины «взлома» домашних роутеров, в результате которого у пользователей утянули деньги с электронных кошельков. Виноваты, в первую очередь, сами пользователи, которые не удосужились поменять пароль для доступа к веб-интерфейсу с admin или password на что-нибудь более сложное. А ведь нынче уже во многих прошивках при первоначальной настройке предлагается задать этот пароль и даже показывается степень его надёжности, да и доступ к веб-интерфейсу или удалённой консоли (Telnet, SSH) из внешней Сети по умолчанию стали отключать. Не поленитесь лишний раз проверить эти параметры и подкорректировать их. Это же касается и всех других служб, которыми обильно сдобрены современные роутеры, — серверов FTP/SMB, облачных сервисов, VPN, принт-сервера, IP-камеры, интерфейсов «умного дома» и так далее. Всё это тоже должно быть надёжно защищено хотя бы стойким паролем, который надо регулярно менять, а иначе всё это добро довольно быстро ломается простым перебором.
К чему это приводит? Ну, к примеру, пять лет назад «внезапно» обнаружился настоящий ботнет Psyb0t. Сколько подобных ботнетов или просто уязвимых роутеров было и есть на просторах Сети, не знает, наверное, никто. Если интересно, можете сами помучить поисковики на эту тему. Для осознания всей глубины падения начать лучше всего с сервиса Shodan. Это такая специализированная поисковая машина, которая рыщет в Сети и выявляет доступные всему миру сетевые устройства и сервисы, уже перечисленные нами выше. Пожалуй, самое популярное развлечение — это просмотр чужих камер да отправка на печать всяких непристойностей незадачливым пользователям, которые поставили простой пароль или решили вообще обойтись без него.
Второй важный момент — это надёжный и регулярно обновляющийся пароль не только для веб-интерфейса, но и к вашей сети Wi-Fi. Советов по их созданию в Интернете масса. Базовые элементы таковы: длина хотя бы с десяток-другой символов, по возможности бессмысленный набор больших и маленьких букв вперемешку с цифрами, а также исключение любых осмысленных слов. Также следует отказаться от использования паролей к Wi-Fi, которые по умолчанию установлены производителем. Они либо всегда одинаковы, либо частенько генерируются по заранее известному шаблону. Ни при каких условиях нельзя использовать алгоритм шифрования, отличный от WPA2. Все предыдущие алгоритмы (WEP, WPA) очень легко взламываются. Это касается и гостевых точек доступа, которые лучше вообще не использовать или хотя бы сделать изолированными от основной локальной сети, если такая функция поддерживается роутером.
Следующий этап защиты — отключение функции WPS с использованием цифрового PIN-кода, которая по умолчанию включена в большинстве роутеров. Да, сейчас во многих прошивках уже встроены различные методы защиты от атак на WPS, что, однако, никому не мешает продавать готовые устройства для взлома WPS. Есть и множество других советов по повышению защиты своей домашней сети. Например, полезный выход из веб-интерфейса после завершения настроек, а не просто закрытие вкладки в браузере или же смена адресации в локальной сети со стандартных вариантов 192.168.0.0 или 192.168.1.0 на любую другую частную подсеть.
Но самое простое — это всё-таки регулярное обновление прошивки. При этом лучше не полагаться на встроенные средства автообновления ПО роутера, а самостоятельно регулярно проверять наличие свежих сборок на сайте производителя. Отдельная проблема с оборудованием, полученным от интернет-провайдера. Такие маршрутизаторы, во-первых, могут удалённо управляться самим оператором, а во-вторых, пользователям зачастую запрещено вносить изменения в настройки. Ситуация усугубляется тем, что и пароль для доступа к настройкам, и пароль на Wi-Fi нередко опять-таки создаются по шаблону, который легко вычислить. При этом зачастую в таких устройствах используются собственные варианты прошивок, ошибки в которых могут оставаться очень долгое время.
А какие там могут быть ошибки? Для начала можете идём в любой поисковик и задаём запрос в духе «роутер уязвимость» и «router vulnerability» или «взлом роутера» и «router hack». В общем, дыр в прошивках хватает. К сожалению, разработчики ПО нередко исповедуют подход security through obscurity («безопасность через неясность»), а всё тайное, как известно, рано или поздно становится явным. И хорошо, если рано, потому что в реальности подобные дыры могут мирно ждать своего часа не один год. Или не ждать, ибо злоумышленники могли по-тихому воспользоваться подобными бэкдорами или просто ошибками не один раз.
Что же делать? По большому-то счёту никак повлиять на эти скрытые дыры нельзя, а самый лучший способ защититься от взлома — это выкинуть всё это добро на помойку и уехать жить в деревню натуральным хозяйством.
Элементарными правилами информационной безопасности пренебрегать не стоит. На этом все.