分享一下
買路由器還是多看看一下 不要挑到危險的
幾個小技巧分享給大家 維護一下基本的路由器資訊安全
https://www.ithome.com.tw/news/138633
德國知名的弗勞恩霍夫通訊協會(Fraunhofer Institute for Communication,FKIE)最新研究顯示,許多知名品牌的家用路由器使用古早而久未更新的Linux作業系統,包含已經公諸於世的漏洞、還把登入密碼存在韌體中,突顯家庭網路安全堪憂。
這家研究機構分析了全球7個知名廠商,包括華碩、合勤、友訊(D-Link)、Linksys、TP-Link、AVM及Netgear出品的127款家用路由器產品,並以他們自行研發的韌體分析工具來分析這些裝置韌體何時更新、用什麼作業系統、有多少已知重大漏洞、廠商用什麼方法緩解攻擊及多久啟用一次、韌體映像檔是否包含加密金鑰資訊,以及是否有什麼寫死(hard-coded)的登入帳密等等。而研究結果顯示,沒有一臺路由器是沒有漏洞的。
FKIE發現,在127臺受測產品中,有46臺過去一年都沒有發布安全更新。
90%以上的產品使用Linux,但是超過1/3使用的是2.6.36以前的版本,那至少是2011年2月以前的版本。AVM是唯一一家未曾使用Linux 2.6版以前的廠商,半數使用4.4版Linux Kernel。而Netgear、TP-Link有半數使用2.6.36版核心,合勤甚至有25%使用2.6.35版本核心。
老舊作業系統可能帶有許多安全漏洞,促使研究人員計算這些路由器韌體映像檔中的已知Linux重大安全漏洞。這127臺裝置平均有53個重大風險漏洞,即使表現最好的產品,也有至少21個重大風險或348個高度風險漏洞。高度風險最多的是Linksys WRT54GL,有579個,它使用的Linux核心是所有受測產品中最舊。而合勤的Zyxel NBG6816及Zyxel NBG6815,則並列最多重大風險漏洞的產品,漏洞數各有68個。
研究人員也檢視家用路由器產品的韌體,是否包含私有金鑰可能被駭客存取。結果顯示,127臺裝置中平均洩露的私鑰資訊為5種,其中Netgear R6800總共公開了13種資訊,為所有產品之冠。只有AVM的韌體映像檔不會公開任何金鑰資訊。
物聯網殭屍病毒Mirai利用寫死(hard-coded)的登入憑證或密碼來入侵許多連網裝置,因而成為本研究的另一檢視標的。華碩、合勤及友訊在內的6成產品韌體映像檔中,都不包含寫死的登入憑證和密碼,但仍有50臺包含寫死的憑證,其中16臺還使用廣為人知或極易破解的憑證。最不安全的是Netgear RAX40,使用password、amazon作為登入密碼。華碩則是唯一在韌體映像檔中,不儲存任何寫死憑證和密碼的廠商。
至於廠商使用了多少保護嵌入式裝置的緩解技術,研究顯示AVM使用的防護最多,而友訊最少。整體而言,研究人員結論AVM最安全,華碩和Netgear在某些方面表現優於友訊、Linksys、TP-Link及合勤。
這份報告或許也反映近日的路由器資安事件。6月底資安廠商ZDI揭露79款Netgear R6700系列路由器含有允許駭客執行任意程式的安全漏洞,Netgear在1月就接獲通報,但6個月後仍未完成修補。
其實熱門的機子,是可以刷第三方 ROM 的(韌體/固件)
比方:DD-WRT、Tomato、梅林....等等的
這種第三方ROM,時常在更新,有漏洞會立即補上,和品牌官方無關,是由第三方組織負責維護的。
那何謂熱門呢?
就是 CP值高的,CPU強、RAM容量大,ROM容量大、散熱好,便宜。關鍵是廠商要開放原始碼,全世界的熱心高手們才有辦法修改。
Linux 依照GPL開源協定,凡是用了它的程式碼(核心或軟體)並進行修改的,廠商也要提供原始碼。但有些廠商就很無恥,不遵守GPL協定,不開放原始碼,嚴格來說這算抄襲。導致它家的路由器根本沒有第三方ROM可刷。然後因為整個黑盒子,安全性也兩說。
***********
Linux 的核心版本,不是愈新的就愈安全。事實上剛好相反,可能跌破很多人眼鏡,愈新的臭蟲bug愈多!
反而愈舊的才是愈穩定,漏洞愈少的(打了已知漏洞path補丁的)。
新版核心加入了新的功能模組,新的硬體驅動,都是沒有經過長時間測試的,臭蟲最多。
比方說RHEL紅帽企業版什麼的,就是核心用舊的,軟體套件也用舊的。但是稱作企業版,說明穩定度很好,求的是穩定,但是套件老舊,舉例比方 php出到 7.x,它還在 5.x,很多功能用不上。很多新出的硬體,核心缺少驅動,得自行手動安裝驅動,但硬體廠商又不一定有Linux驅動,所以就用不了,除非升級核心看有無機會用上,但升級了核心脫離官方套件庫,就不穩定了。
然後一些求新的發行版,比方 Ubuntu、 Fedora....什麼的,核心、軟體套件都是最新的,新功能,支援新硬體,但是時不時就會遇到 bug。所謂小白鼠測試版。
求新的版本,發行1~2年後,全球測試過,臭蟲除的差不多了,穩定版才會納入官方套件庫。
有的發行版,又分 一般版(支援18個月更新),LTS長期支援版(支援3~5年更新)。LTS版的,會用較舊的核心和軟體套件。
總之就是,Linux 版本愈新的,包括核心 kernel,是愈不穩定的,漏洞愈多。與多數人的理解,剛好相反。
然後該篇作者連這個都不知道,還以為愈新版本是愈好的,水準也就可想而知了,那文章還有可信度嗎。又或者他是知道的,但因為太反常識,所以就用一般人理解範圍故意那樣寫,一樣是不可信,因為不老實。
********
再談談為何有些品牌型號,明知道 Linux 核心是愈新的漏洞愈多,仍要用新版的?
因為需要新功能,舊版核心雖穩定安全,但沒有那個功能模塊,所以被迫只能用新版核心。
比方說 samba 4.x 、ntfs-3g...什麼的,USB 插外接硬碟可以當 NAS 用。舊版核心可能不支援,得新版核心。又比方一些新版網路通訊協定,防火牆腳本、QoS頻寬管制、L7-過濾....等等的,需要新版核心的支援。
然後新版核心因為臭蟲漏洞最多,所以當然也要常常推出 path 更新補丁,這不是相對的嗎。
更新推出的勤,更有可能只是因為臭蟲漏洞實在太多....因為核心太新了,小白鼠測試版。
功能較為單一的路由器,使用穩定的舊版核心就夠了,而舊版核心,臭蟲漏洞早在很多年前就除的差不多了,所以哪需要時常更新。Linux 社群若不放出path,估計廠商也沒那個能力,而社群是很少會放出舊版核心path的,因為就沒發現新的漏洞啊。
另外並非所有路由器都是 Linux核心。
有些是用 BSD核心的,或自家核心。比方 Cisco、Router OS...什麼的。就不是 Linux核心。那種的,Linux 的觀念也就不適用了。
內文搜尋
從 APP 打開
X