Filip Palian, zajmujący się tematyką bezpieczeństwa IT zawodowo, przesłał do redakcji DI list o następującej treści:

Pozwalam sobie napisać do Państwa w sprawie bezpieczeństwa produktów oferowanych przez niektórych operatorów telekomunikacyjnych działających na naszym rynku. W kwestii, która jest niestety przez tych operatorów bagatelizowana. Najbardziej niepokojący jest fakt, że firmy, które powinny wyznaczać wysokie standardy w zakresie bezpieczeństwa, przyczyniają się do ich ogólnego zaniżenia. Przykład mogą tu stanowić trzej operatorzy, którzy udostępniają szerokiej rzeszy swoich klientów produkty o dramatycznie niskim poziomie bezpieczeństwa. W ostatnim czasie miałem okazję korzystać z dwóch urządzeń oferowanych przez tych operatorów i je przetestować. Wyniki tych testów zostały opublikowane na liście poświęconej tematyce bezpieczeństwa IT - bugtraq.

Dziennik Internautów zapytał Filipa Paliana, które ze znalezionych przez niego podatności należy uznać za najpoważniejsze.

W przypadku urządzenia Axesstel MV410R, znajdującego się w ofercie Orange i Telekomunikacji Polskiej, są to:

• Domyślny dostęp do urządzenia z sieci internet (błąd konfiguracyjny).
• Brak wsparcia dla szyfrowania transmisji HTTP (błąd implementacyjny).
• Brak wymuszania zmiany domyślnego hasła (błąd implementacyjny).

- Te trzy czynniki sprawiają, że przejęcie kontroli nad urządzeniem jest trywialne nawet dla przeciętnego zjadacza chleba - uważa ekspert. Ze szczegółowym opisem podatności można zapoznać się w serwisie SecurityFocus.

Najgroźniejsze błędy w przypadku urządzenia Huawei D100, rozprowadzanego w sieci Play, to:

• Brak wsparcia dla szyfrowania transmisji HTTP (błąd implementacyjny).
• Login i hasło administratora są zapisywane w pliku cookie (błąd implementacyjny).
• Domyślnie włączona (nieudokumentowana) usługa Telnet z trywialnym do odgadnięcia loginem i hasłem superużytkownika (błąd implementacyjny).

- W przypadku tego urządzenia zagrożenie jest o tyle mniejsze, że dostęp z sieci Internet domyślnie jest zablokowany - komentuje Filip Palian. Szczegółowy wykaz błędów znajduje się w serwisie SecurityFocus.

Co na to operatorzy?

Dziennik Internautów zwrócił się z prośbą o komentarz do przedstawicieli sieci Play, Orange i Telekomunikacji Polskiej. Chcieliśmy się dowiedzieć, czy wymienione wyżej firmy mają świadomość, że oferowany przez nie sprzęt jest podatny na ataki. Pytaliśmy też o to, jakie operatorzy podejmą kroki w celu zapewnienia swoim klientom większego bezpieczeństwa.

Jako pierwszy skontaktował się z nami Marcin Gruszka, rzecznik Play, który w odpowiedzi na pierwsze pytanie napisał:

Każdy sprzęt tego typu jest podatny na ataki – niemniej router D100 posiada większość zabezpieczeń dostępnych w routerach innych dostawców (szyfrowanie WEP, WPA, ukrywanie SSID, firewall). Ponadto, według naszej wiedzy, większość urządzeń tego typu jest skonfigurowana w taki sam sposób – to od użytkownika zależy, jaki stopień zabezpieczeń sobie uaktywni.

Aby podnieść poziom bezpieczeństwa klientów, Play stworzy instrukcję aktywacji zabezpieczeń i zmiany hasła administratora. Instrukcję udostępnimy w naszych POS-ach oraz na naszej stronie internetowej - zapewnił Marcin Gruszka, dodając, że chętnie zapozna się z innymi sugestiami, jak poprawić bezpieczeństwo urządzeń Huawei D100.

Dziennik Internautów nie otrzymał dotąd żadnego odzewu ze strony Orange i Telekomunikacji Polskiej, w których ofercie znajduje się urządzenie Axesstel MV410R. W przypadku nadejścia odpowiedzi ten tekst zostanie natychmiast zaktualizowany.

Jak zabezpieczyć się przed atakami?

Dziennik Internautów poprosił Filipa Paliana o kilka porad, które pozwoliłyby użytkownikom przetestowanych urządzeń poprawić swoje bezpieczeństwo. Otrzymaliśmy bardzo treściwą odpowiedź.

W przypadku urządzenia Axesstel MV410R należy:

• Ograniczyć dostęp do urządzenia jedynie dla sieci LAN.
• Zmienić domyślne hasło administratora (wciąż może zostać przechwycone w sieci LAN, ponieważ nie ma wsparcia dla szyfrowania).
• Włączyć szyfrowanie dla Wi-Fi.
• Włączyć filtrowanie adresów MAC.
• Wyłączyć rozgłaszanie identyfikatora sieci tzw. SSID.

W przypadku urządzenia Huawei D100 należy:

• Zmienić domyślne hasło administratora (wciąż może zostać przechwycone w sieci LAN, ponieważ nie ma wsparcia dla szyfrowania).
• Włączyć szyfrowanie dla Wi-Fi.
• Włączyć filtrowanie adresów MAC.
• Wyłączyć rozgłaszanie identyfikatora sieci tzw. SSID.
• Zablokować dostęp do usługi Telnet (port 23), korzystając w tym celu z wbudowanego w urządzenie firewalla.

Jak tłumaczy ekspert, oba urządzenia powinny zostać skonfigurowane poprzez kabel RJ45 i nie powinny w tym czasie być podłączone do internetu ani posiadać włączonego Wi-Fi. Po skonfigurowaniu danego urządzenia, należy ograniczyć logowanie się do panelu administratora do niezbędnego minimum.

- Na koniec pozostaje już tylko i wyłącznie regularne odwiedzanie strony internetowej danego operatora i oczekiwanie na udostępnienie przez niego oprogramowania zawierającego poprawki - podsumowuje Filip Palian.

Aktualizacja

Z odpowiedzią Grupy TP można zapoznać się w kolejnym artykule na ten temat: TP poprawi bezpieczeństwo oferowanego routera.