EFF：開放無線路由器將解決安全短板

申請免費試用、咨詢電話：400-8352-114

電子前沿基金會(EFF)希望通過新的固件項目來解決家用路由器安全性差的問題，該項目將鼓勵用戶通過設置訪客Wi-Fi網(wǎng)絡來分享其互聯(lián)網(wǎng)連接。

該組織在周日發(fā)布了該固件的第一個實驗版本，被稱為開放無線路由器，它可以幫助開發(fā)人員找到漏洞和改進整個軟件。

該項目的主要目的是讓路由器擁有者能夠安全地設置公共Wi-Fi網(wǎng)絡以供訪客使用，EFF和其他組織認為這樣能夠幫助節(jié)約無線電頻譜，有利于企業(yè)和經(jīng)濟發(fā)展，并可以激發(fā)創(chuàng)新。然而，該固件的一些其他規(guī)劃中的功能還可以幫助提高路由器的整體安全性，即使路由器所有者不打算與陌生人共享其互聯(lián)網(wǎng)帶寬。

EFF在博客文章中稱：“大多數(shù)或所有路由器軟件都充滿了XSS(跨站腳本)和CSRF(跨站請求偽造)漏洞，而我們想要改變這種狀況。”

雖然事實是這樣，但XSS和CSRF漏洞(允許攻擊者攔截經(jīng)身份驗證的會話)通常是路由器中發(fā)現(xiàn)的最不嚴重的漏洞。

多年來，安全研究人員都發(fā)現(xiàn)路由器中存在漏洞，這些漏洞允許攻擊者完全控制來自很多供應商的許多設備。發(fā)現(xiàn)的問題包括類似后門程序的功能和硬編碼登錄憑證、傳統(tǒng)的緩沖區(qū)溢出和基于web管理界面的命令注入漏洞，甚至還有第三方組件(例如UPnP庫)中的部署錯誤。

安全研究人員之間的總體共識是，從安全的角度來看，家用路由器的代碼成熟度非常差。同時，沒有路由器供應商發(fā)布了詳細的安全公告，固件更新通常是需要手動干預和技術知識的過程。

這個開放無線路由器股將將會有一個自動更新機制，這個機制將通過HTTPS工作，并將使用數(shù)字簽名來防止上行鏈路篡改更新。EFF表示：“固件簽名和元數(shù)據(jù)通過ToR來獲取，使有針對性更新攻擊變得非常困難。”

安全研究人員還指出，在過去很多供應商沒有部署專門的安全程序來妥善處理報告給他們的安全漏洞。鑒于EFF與安全研究人員的過往合作以及支持力度，該企業(yè)可能已經(jīng)支持如何處理這些報告。

除了安全問題，該開放無線路由器固件還可以提高網(wǎng)絡穩(wěn)定性和性能。該固件將提供最先進的網(wǎng)絡查詢，與現(xiàn)在消費級路由器提供的體驗相比，大部分用戶都將體驗更好的互聯(lián)網(wǎng)體驗，特別是對于延遲性敏感型應用程序。

到目前為止，該固件還處于EFF所謂的“黑客預覽版本”，只能被安裝在一個路由器型號：Netgear WNDR 3800。然而，該固件是基于叫做CeroWrt的定制路由器軟件，其本身就是基于OpenWrt，這是最流行的社區(qū)構建的路由器固件項目，它支持來自很多供應商的路由器型號。

CeroWrt也是專注于網(wǎng)絡性能和安全。其目標包括對IPv6(互聯(lián)網(wǎng)協(xié)議版本6)的支持，以及與DNSSEC(域名系統(tǒng)安全擴展)的整合。

EFF將與安全咨詢公司Independent Security Evaluators在下個月的Defcon 22安全大會上主辦一場黑客大賽。本次大賽將獎勵在各種供應商的家用路由器中找到和利用漏洞的安全研究人員，包括開放無線路由器固件。(鄒崢編譯)

【推薦閱讀】

◆上網(wǎng)行為運維管理專區(qū)

◆上網(wǎng)行為運維管理為何陷入人力成本困境？

◆網(wǎng)絡管理十大注意事項

◆網(wǎng)管軟件正在向上網(wǎng)行為運維管理軟件升級

◆網(wǎng)管軟件專區(qū)