Kilka dni temu na łamach Dziennika Internautów ukazał się artykuł pt. Niski poziom bezpieczeństwa routerów oferowanych przez operatorów. Dotyczył on luk znalezionych w urządzeniach:

• Axesstel MV410RS - znajdującego się w ofercie Grupy TP,
• Huawei D100 - oferowanego przez Play.

Dziennik Internautów poprosił o komentarz przedstawicieli obu operatorów. Dzisiaj otrzymaliśmy odpowiedź z Biura Prasowego Grupy TP. Można w niej przeczytać:

Rozwiązania stosowane w urządzeniu Axesstel MV410R w żaden sposób nie odbiegają od standardów spotykanych w routerach bezprzewodowych. Przyczyną takiego stanu rzeczy jest konieczność znalezienia złotego środka zapewniającego użytkownikom routerów dostępność cenową i stosunkowo nieskomplikowaną obsługę. Zastosowanie bardzo zaawansowanych zabezpieczeń spowodowałoby bowiem drastyczny wzrost kosztów produkcji i znaczne skomplikowanie obsługi urządzeń.

Dla standardowych użytkowników oferta tego typu urządzeń stałaby się więc nieatrakcyjna i nieadekwatna do ich potrzeb i wymagań. Zaawansowani użytkownicy mogą oczywiście znaleźć na rynku inne urządzenia, które za znacznie wyższą cenę pełniej zaspokoją ich oczekiwania. Przyjmując jednak kryteria zgłaszającego, żaden router na świecie, łącznie z produktami Cisco, nie może być uznany za bezpieczny, ponieważ przy pierwszym logowaniu nie wymusza zmiany hasła.

Grupa TP podkreśla, że zarządzanie hasłami oraz poprawna konfiguracja urządzenia, po przeprowadzeniu analizy ryzyka i uwzględnieniu zarówno wymagań funkcjonalnych, jak też wymagań bezpieczeństwa, jest podstawowym zadaniem administratora routera. Użytkownicy niezorientowani w zagadnieniach bezpieczeństwa mogą skorzystać z informacji udostępnionych na stronach TP CERT (zespołu reagującego na zagrożenia pojawiające się w sieci).

Mimo przekonania, że znalezione przez Filipa Paliana podatności nie stanowią wielkiego zagrożenia, Grupa TP zdecydowała się podjąć działania, których celem jest zwiększenie poziomu zabezpieczeń sprzętu znajdującego się w ofercie Orange i Telekomunikacji Polskiej. Oto krótki zarys podjętych działań:

- 21 maja 2009 r., nawiązano kontakt z dostawcą sprzętu i przekazano mu uwagi przygotowane przez Centrum Badawczo-Rozwojowe Grupy TP oraz zgłoszone przez klienta. PTK Centertel zwróciła się do dostawcy o wprowadzenie zmian w oprogramowaniu urządzenia.
- 22 czerwca, otrzymaliśmy deklarację dostawcy, że przygotowana zostanie nowa wersja oprogramowania dla urządzeń w obu wersjach sprzętowych (występują dwie), co nastąpić miało do 4 lipca.
- 3 lipca, nowa wersja oprogramowania dla nowszej wersji sprzętowej urządzenia została dostarczona do PTK i przekazana do wewnętrznych testów.
- 13 lipca, została dostarczona nowa wersja oprogramowania dla urządzeń w starszej wersji sprzętowej. Oprogramowanie zostało skierowane do testów przy współudziale Departamentu Bezpieczeństwa.
- Szacowany termin zakończenia testów został wyznaczony na 24 lipca 2009. Po pomyślnym zakończeniu testów nowe oprogramowanie zostanie udostępnione użytkownikom.