Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Firmy, które powinny wyznaczać wysokie standardy w zakresie bezpieczeństwa, przyczyniają się do ich ogólnego zaniżenia - napisał do redakcji Dziennika Internautów specjalista, który przetestował dwa urządzenia oferowane przez polskich operatorów, wykrywając w nich wiele luk.

robot sprzątający

reklama


Filip Palian, zajmujący się tematyką bezpieczeństwa IT zawodowo, przesłał do redakcji DI list o następującej treści:

Pozwalam sobie napisać do Państwa w sprawie bezpieczeństwa produktów oferowanych przez niektórych operatorów telekomunikacyjnych działających na naszym rynku. W kwestii, która jest niestety przez tych operatorów bagatelizowana. Najbardziej niepokojący jest fakt, że firmy, które powinny wyznaczać wysokie standardy w zakresie bezpieczeństwa, przyczyniają się do ich ogólnego zaniżenia. Przykład mogą tu stanowić trzej operatorzy, którzy udostępniają szerokiej rzeszy swoich klientów produkty o dramatycznie niskim poziomie bezpieczeństwa. W ostatnim czasie miałem okazję korzystać z dwóch urządzeń oferowanych przez tych operatorów i je przetestować. Wyniki tych testów zostały opublikowane na liście poświęconej tematyce bezpieczeństwa IT - bugtraq.

Dziennik Internautów zapytał Filipa Paliana, które ze znalezionych przez niego podatności należy uznać za najpoważniejsze.

W przypadku urządzenia Axesstel MV410R, znajdującego się w ofercie Orange i Telekomunikacji Polskiej, są to:

  • Domyślny dostęp do urządzenia z sieci internet (błąd konfiguracyjny).
  • Brak wsparcia dla szyfrowania transmisji HTTP (błąd implementacyjny).
  • Brak wymuszania zmiany domyślnego hasła (błąd implementacyjny).

- Te trzy czynniki sprawiają, że przejęcie kontroli nad urządzeniem jest trywialne nawet dla przeciętnego zjadacza chleba - uważa ekspert. Ze szczegółowym opisem podatności można zapoznać się w serwisie SecurityFocus.

Najgroźniejsze błędy w przypadku urządzenia Huawei D100, rozprowadzanego w sieci Play, to:

  • Brak wsparcia dla szyfrowania transmisji HTTP (błąd implementacyjny).
  • Login i hasło administratora są zapisywane w pliku cookie (błąd implementacyjny).
  • Domyślnie włączona (nieudokumentowana) usługa Telnet z trywialnym do odgadnięcia loginem i hasłem superużytkownika (błąd implementacyjny).

- W przypadku tego urządzenia zagrożenie jest o tyle mniejsze, że dostęp z sieci Internet domyślnie jest zablokowany - komentuje Filip Palian. Szczegółowy wykaz błędów znajduje się w serwisie SecurityFocus.

Co na to operatorzy?

Dziennik Internautów zwrócił się z prośbą o komentarz do przedstawicieli sieci Play, Orange i Telekomunikacji Polskiej. Chcieliśmy się dowiedzieć, czy wymienione wyżej firmy mają świadomość, że oferowany przez nie sprzęt jest podatny na ataki. Pytaliśmy też o to, jakie operatorzy podejmą kroki w celu zapewnienia swoim klientom większego bezpieczeństwa.

Jako pierwszy skontaktował się z nami Marcin Gruszka, rzecznik Play, który w odpowiedzi na pierwsze pytanie napisał:

Każdy sprzęt tego typu jest podatny na ataki – niemniej router D100 posiada większość zabezpieczeń dostępnych w routerach innych dostawców (szyfrowanie WEP, WPA, ukrywanie SSID, firewall). Ponadto, według naszej wiedzy, większość urządzeń tego typu jest skonfigurowana w taki sam sposób – to od użytkownika zależy, jaki stopień zabezpieczeń sobie uaktywni.

Aby podnieść poziom bezpieczeństwa klientów, Play stworzy instrukcję aktywacji zabezpieczeń i zmiany hasła administratora. Instrukcję udostępnimy w naszych POS-ach oraz na naszej stronie internetowej - zapewnił Marcin Gruszka, dodając, że chętnie zapozna się z innymi sugestiami, jak poprawić bezpieczeństwo urządzeń Huawei D100.

Dziennik Internautów nie otrzymał dotąd żadnego odzewu ze strony Orange i Telekomunikacji Polskiej, w których ofercie znajduje się urządzenie Axesstel MV410R. W przypadku nadejścia odpowiedzi ten tekst zostanie natychmiast zaktualizowany.

Jak zabezpieczyć się przed atakami?

Dziennik Internautów poprosił Filipa Paliana o kilka porad, które pozwoliłyby użytkownikom przetestowanych urządzeń poprawić swoje bezpieczeństwo. Otrzymaliśmy bardzo treściwą odpowiedź.

W przypadku urządzenia Axesstel MV410R należy:

  • Ograniczyć dostęp do urządzenia jedynie dla sieci LAN.
  • Zmienić domyślne hasło administratora (wciąż może zostać przechwycone w sieci LAN, ponieważ nie ma wsparcia dla szyfrowania).
  • Włączyć szyfrowanie dla Wi-Fi.
  • Włączyć filtrowanie adresów MAC.
  • Wyłączyć rozgłaszanie identyfikatora sieci tzw. SSID.

W przypadku urządzenia Huawei D100 należy:

  • Zmienić domyślne hasło administratora (wciąż może zostać przechwycone w sieci LAN, ponieważ nie ma wsparcia dla szyfrowania).
  • Włączyć szyfrowanie dla Wi-Fi.
  • Włączyć filtrowanie adresów MAC.
  • Wyłączyć rozgłaszanie identyfikatora sieci tzw. SSID.
  • Zablokować dostęp do usługi Telnet (port 23), korzystając w tym celu z wbudowanego w urządzenie firewalla.

Jak tłumaczy ekspert, oba urządzenia powinny zostać skonfigurowane poprzez kabel RJ45 i nie powinny w tym czasie być podłączone do internetu ani posiadać włączonego Wi-Fi. Po skonfigurowaniu danego urządzenia, należy ograniczyć logowanie się do panelu administratora do niezbędnego minimum.

- Na koniec pozostaje już tylko i wyłącznie regularne odwiedzanie strony internetowej danego operatora i oczekiwanie na udostępnienie przez niego oprogramowania zawierającego poprawki - podsumowuje Filip Palian.

Aktualizacja

Z odpowiedzią Grupy TP można zapoznać się w kolejnym artykule na ten temat: TP poprawi bezpieczeństwo oferowanego routera.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl

Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl


Ostatnie artykuły:


fot. DALL-E



fot. DALL-E



fot. Freepik



fot. DALL-E



fot. DALL-E