Niedawno na moim biurku pojawił się artykuł autorstwa Bruce’a Schneiera, dyrektora technicznego IBM Resilient, dotyczący problemów z domowymi routerami. 25 maja FBI poprosiło użytkowników, by „zrestartowali swoje routery”, ponieważ działało na nich złośliwe oprogramowanie, powodując wiele problemów dla innych użytkowników.
Oprogramowanie to było na tyle zaawansowane, że zawierało możliwość instalacji nowych „wtyczek”, by generować jeszcze większe szkody. Schneier stwierdził, że prawdopodobnie nie było dziełem domorosłego „piwnicznego włamywacza”, lecz raczej owocem intensywnej pracy zleconej przez agencję rządową.
Niestety, restart routera nie rozwiązuje problemu, ponieważ złośliwe oprogramowanie nadal zajmuje niższe warstwy oprogramowania sprzętowego routera, użytkownicy powinni więc co przeprowadzić reset urządzenia do ustawień fabrycznych (niszcząc przy okazji całą konfigurację i hasła), a najlepiej – zainstalować nowe oprogramowanie sprzętowe. Trudno jednak oczekiwać, że setki tysięcy zwykłych użytkowników zdecydują się na tę drugą opcję, nawet przy założeniu, że producent routera nadal jest na rynku i wciąż udostępnia nowe wersje oprogramowania sprzętowego.
Jeśli dla danego modelu routera nie istnieją aktualizacje, Schneier zaleca więc, by wyrzucić taki router i kupić nowy. Tak zresztą zrobiła część moich znajomych słabiej radzących sobie z zagadnieniami technicznymi.
Sęk w tym, że problem ten był znany już od dłuższego czasu. Dlaczego więc FBI zaleciła restart routerów? Otóż restartowany router komunikuje się ze stacją macierzystą włamywaczy, próbując ponownie załadować złośliwe oprogramowanie, jednak obecnie kontrolę nad tą stacją przejęło FBI. Federalne Biuro Śledcze chciało po prostu sprawdzić, ilu routerów dotyczy problem. Wygląda na to, że liczba ta jest ogromna. Listę problematycznych routerów można znaleźć online [1].
Na przestrzeni ostatnich dwóch tygodni przed moimi oczami pojawiło się też wiele innych artykułów związanych z bezpieczeństwem, z których jeden dotyczył urządzeń IoT, które umieszczamy w naszych domach. Znana od ponad dekady technika o nazwie DNS Rebinding może mieć wpływ na działanie takich współczesnych urządzeń, jak bezprzewodowe głośniki Sonos, Google Home, urządzenia do strumieniowania Roku czy Chromecast (ze wspomnianych urządzeń Google zresztą sam korzystam). Problemy te pojawiają się, ponieważ ludzie tworzą nowe urządzenia i zależy im na tym, by były jak najprostsze w konfiguracji – a przy tym przeoczają techniki, które umożliwiają przejęcie wspomnianych urządzeń przez włamywaczy.
Wiele z tych urządzeń nie wykorzystuje silnego szyfrowania i uwierzytelniania, nie potrafi więc sprawdzić, czy dany program jest faktycznie upoważniony do komunikacji z nimi. Ludzie, którzy je programują, zakładają, że skoro są zainstalowane poza bezpiecznymi routerami (kmm, khm), można w tym przypadku poluzować reguły zabezpieczeń.
Wyobraźmy sobie teraz, że mamy nie jedno takie urządzenie w domu, lecz kilkadziesiąt czy kilkaset. Mam w domu dwanaście Google Mini, Google Home i Google Max. Tak, wiem, że „Google mnie podsłuchuje”. Mam znacznie mniejszy problem z podsłuchiwaniem przez Google niż z włamywaczami próbującymi przejąć moją tożsamość czy ukraść mi informacje związane z kartą kredytową. Na szczęście mój router jest dobrze skonfigurowany, a jego oprogramowanie jest aktualne.
W ten sposób doszliśmy do kwestii oprogramowania sprzętowego FOSS dla routerów i urządzeń IoT.
Czasem wydaje mi się, że brzmię jak stara płyta (ci z Czytelników, którzy nigdy nie mieli gramofonu, mogą nie zrozumieć, zumieć, zumieć…), kiedy mówię, że niekupowanie sprzętu, na którym może działać FOSS, to po prostu przyczynianie się do powstawania gigantycznego śmietnika elektroniki. Prędzej czy później firma, która tworzyła oprogramowanie dla danego urządzenia, albo zbankrutuje, albo przestanie być zainteresowania pracą nad aktualizacjami.
Caninos Loucos [2], projekt LSITEC, z którym współpracuje OptDyn, ma długoterminowe plany stworzenie 100% otwartego sprzętu i oprogramowania – możliwe będzie nawet stworzenie własnego procesora, co gwarantuje, że w systemie nie znajdzie się zaawansowane oprogramowanie szpiegujące.
Caninos Loucos pracuje nad czujnikowym komputerem, którego główną cecha ma być pełna otwartość. Pozostałe komputery, Labrador i Bankhar, są również na tyle otwarte, na ile pozwala na to architektura komponentów. Podczas projektowania interfejsów sprzętowych duży nacisk kładziony jest na dokumentację, by społeczność FOSS mogła korzystać ze sprzętu bezterminowo, a także modyfikować jego funkcje.
Jeśli nie chcemy zacząć tonąć w morzu elektrośmieci, musimy wreszcie zacząć projektować sprzęt pod kątem jego ponownego wykorzystania, również w zmienionej formie.
Jon „maddog” Hall jest autorem, wykładowcą, informatykiem i jednym z pionierów Wolnego Oprogramowania. Od 1994 roku, kiedy po raz pierwszy spotkał Linusa Torvaldsa i ułatwił przeniesienie jądra na systemy 64-bitowe, pozostaje orędownikiem Linuksa. Obecnie jest prezesem Linux International®.
Info
[1] Routery zagrożone infekcją: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
[2] Caninos Loucos: caninosloucos.org
