Uživatelská hesla a jejich (ne)bezpečnost je odvěký evergreen, který se přes veškerou snahu za ty roky změnil jen částečně a mnozí stále volí taková, která jsou buď krátká, anebo zcela nezapamatovatelná, takže si je nakonec stejně napíšou na nějaký ten papírek.
Přitom, pokud si spočítáme veškeré náklady (bezpečnostní, UX apod.) na používání hesel 1P8_Ts5w9:u13#1Kl3Q a Brutalne.Plesaty.Klobouk5687##, to druhé z tohoto srovnání vyjde jako jednoznačný vítěz. Je totiž dostatečně dlouhé, znakově pestré, ale přitom zapamatovatelné, což se o tom prvním, byť ještě mnohem náhodnější povahy, nedá říci, ani kdybyste trpěli fotografickou pamětí.
Stará hesla, kam se podíváš
Následující desetiletí nás snad klasických znakových hesel postupně zbaví a osobní autentizaci vyřešíme nějakou novou technologií, do té doby se však nebudeme potýkat jen se současnými hesly, ale mnohdy i těmi deset let starými.
Typickým případem jsou domácí Wi-Fi routery, které v nejedné domácností slouží dlouhé roky a svoji funkci plní i nadále kupodivu dobře. Přece jen, ruku na srdce, ne každý potřebuje Wi-Fi 6 a podstatná část surfařů si doma v klidu vystačí i s Wi-Fi 4 (802.11n).
Podobných starých a jednodušších routerů najdete v českých domácnostech tisíce. Tento funguje už skoro deset let, tak proč jej vyhazovat, když nepohání náročný herní počítač aj.
Zatímco novější routery už často přepracovaly autentizaci své konfigurace, takže má každý kus od výroby jiný a unikátní klíč, ty starší, které stále straší napříč světem, používají společné výchozí heslo a přihlašovací jméno. A jelikož nebezpečně vysoké procento domácích správců Wi-Fi sítě stále používá toto tovární heslo správce, stačí se jen do takové sítě dostat a zvesela ji překonfigurovat.
Heslo do správy Wi-Fi routeru? Často 1234
Výchozí heslo správce je z principu jednoduché, aby každého trklo, že jej musí při úvodním nastavení změnit, nicméně jak dokládá průzkum bezpečnostních expertů z Esetu, realita je trošku jiná. Antivirový výrobce prozkoumal na 100 000 německých Wi-Fi routerů, přičemž tisíce z nich měly v přístupu do administrace opravdu výchozí heslo.
Vstup do webové administrace starého WiFi routeru. Mnozí domácí uživatelé ji často použili jen při prvotním nastavení a heslo raději ani neměnili, aby jim fungovalo to z návodu.
Tím to ale nekončilo. Pokud už uživatel přece jen nastavil nějaké jiné, stále to nebyla v mnoha případech žádná výhra. Eset známá hesla spočítal a sestavil desítku těch nejčastějších a zároveň nejslabších:
- admin
- root
- 1234
- guest
- password
- 12345
- support
- super
- Admin
- pass
Vítěz, tedy heslo admin, bude jedno z výchozích, společně s password totiž patří k těm nejčastějším továrním. Opět, ve své době to mělo smysl, stačilo totiž router fyzicky resetovat a přihlásit se s tímto provařeným heslem k administraci, výrobce síťových prvků ale tehdy nejspíše vůbec nenapadlo, že by si toto heslo některý z uživatelů okamžitě nezměnil.
S výchozím heslem zahoďte i výchozí SSID
Zájem nejen útočníků, ale mnohdy i zvídavějších a technicky zdatnějších sousedů podnítí také název sítě. Stručně řečeno, když bude odkudsi z bytu za panelovou příčkou zářit dostatečně silná Wi-Fi s názvem NETGEAR, TP-LINK, ASUS nebo třeba default, docela často to znamená, že majitel takové sítě vůbec netuší, co je to SSID.
Nejčastější názvy Wi-Fi (SSID) podle experimentu Wifileaks, který díky několika tisícům dobrovolníků zmapoval tuzemské bezdrátové sítě.
Pokud je název sítě od výroby stále stejný, je tu poměrně vysoká pravděpodobnost, že stejně pitomé bude i heslo k síti samotné a nakonec i do administrace routeru.
Tady to vypadá docela dobře. V okolí nesvítí žádná síť s továrním názvem, takže lze předpokládat, že když už správce změnil SSID, asi nastavil i korektní hesla.
Továrním heslům občas podlehnou i profíci
Na stranu druhou, když jsme se před pár týdny věnovali tzv. ATM jackpottingu, tedy útokům na bankomaty skrze skrytý USB konektor, i v tomto případě hromada malwaru umožnila výdej peněz bez jakékoliv autorizace jednoduše proto, že správce bankomatu nezměnil tovární heslo od výrobce zařízení, čehož umně využil útočník. Nutno podotknout, že při tak flagrantním porušení bezpečnostních praktik si ty peníze zloději snad i zasloužili.
Čili, pokud tu a tam narazíme na nedostatečně zabezpečené bankomaty, asi bychom měli mít pochopení i po nezabezpečené domácnosti běžných smrtelníků. Jenže, v kalendáři se už nepíše rok 2007.
Router otevírá cestu i k desítkám zařízení
Současná domácí síť už k internetu nepřipojuje pouze jeden, dva počítače, ale i v menší domácnosti často až desítky zařízení. Po počítačích přibyly laptopy, pak samozřejmě mobily, tablety, televizory, nejrůznější televizní, herní nebo filmové set-top-boxy, chytré žárovky, robotické vysavače a případná další elektronika chytré domácnosti.
I v malé domácnosti je dnes díky mobilům a nejrůznější elektronice připojeno k síti docela velké množství zařízení
Slabé heslo správce v domácím routeru tedy případnému útočníkovi umožní kompletní vstup a organizaci tohoto malého domácího internetu věcí, jeho sledování a v nejhorším případě i další útoky, což se může rovnat katastrofě.
Co byste měli udělat s routerem podle Esetu
Eset za tímto účelem vydal i sérii doporučení, jak provést alespoň triviální zabezpečení routeru. Jistě ty relativně obecné body všichni znáte, ale přesto je připomeneme s tím, že bychom z fleku doplnili několik dalších.
Doporučení pro bezpečný provoz routeru:
- Aktualizujte firmware: Aktualizace přinášejí nové funkce a opravy bezpečnostních slabin. Pokud je to možné, nastavte si v nabídce routeru upozornění na dostupnost nové aktualizace.
- Deaktivujte možnost přístupu k webovému rozhraní routeru z internetu. Namísto toho si pro účely vzdálené správy zařízení nakonfigurujte na zařízení VPN přístup.
- Nastavte kvalitní heslo pro Wi-Fi: Podobně kvalitní heslo jako pro zabezpečení správy by měli uživatelé využívat i pro připojení k bezdrátové síti. Experti nedoporučují využívat jednoduchá slova nebo fráze, které by mohlo jít uhodnout.
- Deaktivujte funkci WPS s ověřením pomocí PIN kódu: „Wi-Fi Protected Setup“ (WPS) je standard pro snadné připojení se k šifrované Wi-Fi síti. Novému žadateli o připojení stačí znát pouze 8 místný PIN. Ten je ale možné buď přečíst přímo na zařízení nebo ho prolomit tzv. hrubou silou.
- Změňte název sítě: Uživatelé by měli své Wi-Fi síti dát nový název (tzv. SSID), protože přednastavený název často obsahuje název výrobce a typ zařízení. Útočníci tak mohou přímo podle názvu bezdrátové sítě zkontrolovat, zda daný typ routeru obsahuje nějaké známé zranitelnosti a pokusit se je zneužít.