NKSC rekomenduoja pasikeisti maršrutizatorių slaptažodžius

NKSC teigia, kad apie nustatytus pažeidžiamumus jau informuoti paslaugų teikėjai bei elektronikos prietaisų platintojai. NKSC nuotr.

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos (KAM) nustatė, kad Lietuvoje interneto vartotojų plačiai naudojami tinklo maršrutizatoriai turi pažeidžiamumą, kuriuo pasinaudojus, per sąlyginai trumpą laiką, galima išgauti belaidžio (Wi-Fi) tinklo slaptažodį. Tai leistų įsilaužėliui naudotis vartotojo namų interneto prieiga, šnipinėti duomenų srautą, vykdyti kitas nusikalstamas veikas.

Pagal UAB „Critical Security“ centrui pateiktą informaciją, nemaža dalis namų interneto vartotojų nėra pakeitę belaidžio tinklo maršrutizatorių gamyklinių slaptažodžių, sudarytų iš atsitiktinai generuojamų 10 simbolių (įskaitant skaitmenis ir didžiąsias raides nuo A iki F) ilgio sekos. Kibernetinio saugumo specialistai įspėja, kad tai neatitinka šiuolaikinių saugumo standartų. Skirtingų simbolių imtis esą per maža, todėl tokie slaptažodžiai gali būti nustatomi vadinamosiomis parinkimo (angl. brute-force) priemonėmis, kai tikrinamos visos simbolių kombinacijos, kol randama teisinga.

Teigiama, kad „nulaužti“ tokį gamyklinį slaptažodį įprastu šiuolaikiniu namų kompiuteriu, priklausomai nuo jo galimybių, gali užtrukti daugiausiai iki 30 dienų. O pasitelkus didesnius skaičiavimo pajėgumus, maksimalus slaptažodžio nustatymo laikas sutrumpėja iki kelių valandų.

Nesaugūs prietaisai

NKSC duomenimis, nesaugių maršrutizatorių Lietuvoje gali būti išties nemažai. Problema identifikuota tirtuose „Technicolor TG389ac“ ir „TG789vac v2“ modeliuose, „D-Link DIR-825/AC/G1“ bei daugumoje „TP-LINK“ modelių. NKSC pažymi, kad dėl didelės apimties ne visi rinkoje esantys maršrutizatoriai buvo ištirti, o prekyboje gali būti ir daugiau modelių su panašiu pažeidžiamumu.

Labiausiai susirūpinti turėtų vartotojai, kurių Wi-Fi tinklo slaptažodį sudaro tik skaitmenys. Tokio tipo slaptažodis yra ypatingai silpnas. Patekę į vidinį tinklą, įsilaužėliai turi galimybę stebėti nešifruotų duomenų srautą, rinkti jautrius duomenis ar išnaudoti vartotojo kompiuterius atliekant kitas kibernetines atakas. Vartotojams kyla grėsmė būti šantažuojamiems dėl asmeninių duomenų nutekinimo arba jo duomenys gali būti užšifruoti, o už duomenų susigrąžinimą pareikalauta išpirkos. Pasitelkę papildomus metodus, nusikaltėliai gali netgi pasisavinti pinigines lėšas sąskaitose.

Todėl rekomenduojama nedelsiant pakeisti gamyklinius slaptažodžius, ir ne tik maršrutizatorių. Apskritai gera praktika yra pakeisti bet kokio naujai įsigyto įrenginio slaptažodį.

Saugų slaptažodį, anot NKSC, turėtų sudaryti bent 12-14 simbolių seka iš didžiųjų bei mažųjų raidžių, skaitmenų ir specialiųjų simbolių.

„NKSC teigiamai vertina tai kaip UAB „Critical Security“ specialistai pasielgė aptikę šiuos pažeidžiamumus. Atsakingo atskleidimo praktika dar tik formuojasi, o šis pavyzdys parodo kaip viešo ir privataus sektorių bendradarbiavimas gali praktiškai vykti kibernetinio saugumo srityje. Disponuodami pranešta informacija, mes turėjome laiko atlikti papildomus tyrimus ir informuoti paveiktus subjektus, kurie savo ruožtu ėmėsi veiksmų dar iki šios informacijos viešo atskleidimo. Tikimės, kad belaidžių tinklų gamyklinių slaptažodžių problemos viešinimas padės vartotojams labiau pasirūpinti savo saugumu“ – priduria dr. Rytis Rainys, NKSC direktorius.

Komentarai