EFF：開放無線路由器將解決安全短板

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

電子前沿基金會(huì)(EFF)希望通過新的固件項(xiàng)目來解決家用路由器安全性差的問題，該項(xiàng)目將鼓勵(lì)用戶通過設(shè)置訪客Wi-Fi網(wǎng)絡(luò)來分享其互聯(lián)網(wǎng)連接。

該組織在周日發(fā)布了該固件的第一個(gè)實(shí)驗(yàn)版本，被稱為開放無線路由器，它可以幫助開發(fā)人員找到漏洞和改進(jìn)整個(gè)軟件。

該項(xiàng)目的主要目的是讓路由器擁有者能夠安全地設(shè)置公共Wi-Fi網(wǎng)絡(luò)以供訪客使用，EFF和其他組織認(rèn)為這樣能夠幫助節(jié)約無線電頻譜，有利于企業(yè)和經(jīng)濟(jì)發(fā)展，并可以激發(fā)創(chuàng)新。然而，該固件的一些其他規(guī)劃中的功能還可以幫助提高路由器的整體安全性，即使路由器所有者不打算與陌生人共享其互聯(lián)網(wǎng)帶寬。

EFF在博客文章中稱：“大多數(shù)或所有路由器軟件都充滿了XSS(跨站腳本)和CSRF(跨站請(qǐng)求偽造)漏洞，而我們想要改變這種狀況。”

雖然事實(shí)是這樣，但XSS和CSRF漏洞(允許攻擊者攔截經(jīng)身份驗(yàn)證的會(huì)話)通常是路由器中發(fā)現(xiàn)的最不嚴(yán)重的漏洞。

多年來，安全研究人員都發(fā)現(xiàn)路由器中存在漏洞，這些漏洞允許攻擊者完全控制來自很多供應(yīng)商的許多設(shè)備。發(fā)現(xiàn)的問題包括類似后門程序的功能和硬編碼登錄憑證、傳統(tǒng)的緩沖區(qū)溢出和基于web管理界面的命令注入漏洞，甚至還有第三方組件(例如UPnP庫)中的部署錯(cuò)誤。

安全研究人員之間的總體共識(shí)是，從安全的角度來看，家用路由器的代碼成熟度非常差。同時(shí)，沒有路由器供應(yīng)商發(fā)布了詳細(xì)的安全公告，固件更新通常是需要手動(dòng)干預(yù)和技術(shù)知識(shí)的過程。

這個(gè)開放無線路由器股將將會(huì)有一個(gè)自動(dòng)更新機(jī)制，這個(gè)機(jī)制將通過HTTPS工作，并將使用數(shù)字簽名來防止上行鏈路篡改更新。EFF表示：“固件簽名和元數(shù)據(jù)通過ToR來獲取，使有針對(duì)性更新攻擊變得非常困難。”

安全研究人員還指出，在過去很多供應(yīng)商沒有部署專門的安全程序來妥善處理報(bào)告給他們的安全漏洞。鑒于EFF與安全研究人員的過往合作以及支持力度，該企業(yè)可能已經(jīng)支持如何處理這些報(bào)告。

除了安全問題，該開放無線路由器固件還可以提高網(wǎng)絡(luò)穩(wěn)定性和性能。該固件將提供最先進(jìn)的網(wǎng)絡(luò)查詢，與現(xiàn)在消費(fèi)級(jí)路由器提供的體驗(yàn)相比，大部分用戶都將體驗(yàn)更好的互聯(lián)網(wǎng)體驗(yàn)，特別是對(duì)于延遲性敏感型應(yīng)用程序。

到目前為止，該固件還處于EFF所謂的“黑客預(yù)覽版本”，只能被安裝在一個(gè)路由器型號(hào)：Netgear WNDR 3800。然而，該固件是基于叫做CeroWrt的定制路由器軟件，其本身就是基于OpenWrt，這是最流行的社區(qū)構(gòu)建的路由器固件項(xiàng)目，它支持來自很多供應(yīng)商的路由器型號(hào)。

CeroWrt也是專注于網(wǎng)絡(luò)性能和安全。其目標(biāo)包括對(duì)IPv6(互聯(lián)網(wǎng)協(xié)議版本6)的支持，以及與DNSSEC(域名系統(tǒng)安全擴(kuò)展)的整合。

EFF將與安全咨詢公司Independent Security Evaluators在下個(gè)月的Defcon 22安全大會(huì)上主辦一場(chǎng)黑客大賽。本次大賽將獎(jiǎng)勵(lì)在各種供應(yīng)商的家用路由器中找到和利用漏洞的安全研究人員，包括開放無線路由器固件。(鄒崢編譯)

【推薦閱讀】

◆上網(wǎng)行為運(yùn)維管理專區(qū)

◆上網(wǎng)行為運(yùn)維管理為何陷入人力成本困境？

◆網(wǎng)絡(luò)管理十大注意事項(xiàng)

◆網(wǎng)管軟件正在向上網(wǎng)行為運(yùn)維管理軟件升級(jí)

◆網(wǎng)管軟件專區(qū)