Cik sarežģīta ir maršrutētāju drošība

Apr 29 2019

Ja interneta pakalpojumu sniedzējs jums piedāvā (bezvadu) tīkla maršrutētāju (žargonā — rūteri no angļu router), tad, ja nelietojat datoru ar zagtu Windows 2000 sistēmu, visticamāk, nedrošākā internetam pieslēgtā ierīce jūsu mājā ir šis maršrutētājs. Dažādos pētījumos atklāts, ka aptuveni 3/4 no visiem rūteriem ir zināmas ievainojamības:

/xwiki/bin/download/Blog/190429/Att01.png

Maršrutētāji it kā veic salīdzinoši vienkāršu darbu — tie pārsūta datu paketes no jūsu lokālā tīkla uz internetu un atpakaļ (parasti veicot arī tīkla adrešu translāciju — NAT caur nākamo lokālo tīklu). Bet, praktiski vienmēr, tie nodrošina arī nosaukumu adrešu noteikšanu — DNS, kas nosaka, ko jūs ieraudzīsiet, atverot adresi google.com vai odo.lv.

Uzlaužot jūsu maršrutētāju, var sagrozīt DNS servisu un panākt, ka savā datorā atverot facebook.com, jūs patiesībā nonākat kādā "ragu un nagu" vietnē, kas ielādē jūsu datorā ļaunatūru, vai zog privātos datus no jūsu datora, var likt rūterim rakt bitkoinus u.c. Tā kā interneta pakalpojumu sniedzējiem maršrutētāju uzturēšana rada tikai rūpes bez redzamiem ieguvumiem, to aparātprogrammatūra (firmware) parasti ir veca un ar zināmām ievainojamībām.

Parasti maršrutētāji programmatūru neatjauno automātiski, bet to var atjaunot manuāli, pieslēdzoties tam ar pārlūkprogrammu. Neesmu lasījis, ko ļauj pakalpojuma sniedzēju līgumi, bet es šad, tad to tiku darījis gan savulaik LMT piedāvātajam Huawei rūterim, gan arī nesen to pamēģināju izdarīt "Bite" piedāvātajam Alcatel LinkHub HH40V rūterim:

/xwiki/bin/download/Blog/190429/Att06.png

Diemžēl, šoreiz atjaunojuma uzlikšana beidzās ar to, ka pēc pārstartēšanas tas vairs nepalaidās. Ieslēdzot nomirgoja visi indikatori, bet tad palika tumši. Rūteris vairs neatbildēja ne uz ping, ne arī tīmekļa portu arī pēc tam, kad mēģināju tam veikt atstatīšanu uz rūpnīcas iestatījumiem. Kad sazinājos telefoniski ar tehnisko atbalstu, pacietīgi uzklausīju visus standarta "vai mēģinājāt to izslēgt", ko rāda "lampiņas" (kas patiesībā ir diodes) ieteikumus, un vairākkārt biju spiests atkārtot, ka visu to jau esmu pārbaudījis.

Kad ar tehnisko atbalstu vienojāmies, ka maršrutētājs, acīmredzot ir beigts, un sabojājās, tam "vienkārši pieslēdzoties ar pārlūkprogrammu", ko jebkuram, sevis cienīgam rūterim, būtu jāprot izturēt, man piedāvāja to nodot garantijas remontā.

Kad aizvedu to uz "Bite" klientu atbalsta centru Ogres tirdzniecības centrā "Dauga":

  1. reizē servisa darbiniece ar mani neuzsāktu sarunu, jo man trūka pases un maršrutētāja garantijas kartes (man bija tikai līgums). Manu piedāvājumu, iztikt ar auto vadītāja apliecību, un garantiju paskatīties viņu klientu sistēmā, viņa nepieņēma.
  2. reizē sagādāju visus vajadzīgos dokumentus, kārtējo reizi kopīgi pārbaudījām, kas ar to notiek ieslēdzot, izslēdzot un atstatot, tas tika pieņemts remontam. Uz remonta laiku saņēmu citu maršrutētāju ar jaunu nomas līgumu.

/xwiki/bin/download/Blog/190429/Att02.jpg

(Aptuveni 2,5 km no mājas uz tirdzniecības centru braucu ar divriteni laikā kad, pēc pāris siltām dienām, pēkšņi uznāca krusa un putenis.)

Rezerves maršrutētājam mājās nomainīju lokālā tīkla adrešu apgabalu (tas nepieciešams manam mājas tīklam), paroli un atslēdzu bezvada tīklu (jo to nodrošinu ar citu maršrutētāju). Aptuveni pēc divām nedēļām saņēmu ziņu, ka mans "īstais" maršrutētājs ir salabots. Mēģināju to saņemt darba dienas vakarā pēc brauciena garās darīšanās Rīgā, kā rezultātā:

  1. reizē tā pati darbiniece mani nepieņēma, jo man atkal nebija pases,
  2. reizē nepieņēma rezerves maršrutētāju, jo tas vairs neatbildēja noklusētajā bezvadu tīklā. Piedāvājumu pameklēt internetā, kā to atstatīt uz noklusēto, uz vietas, darbiniece noraidīja, tāpēc devos uz māju vēlreiz, pieslēdzos un atstatīju to uz rūpnīcas iestatījumiem.
  3. reizē uzgaidīju ilgāk, lai pabeigtu uzsākto darbību ar to pašu darbinieci, ar kuru sāku šo epopeju pirms pāris nedēļām. Beidzot atdevu rezerves maršrutētāju, pārbaudījām, ka tas strādā bezvadu tīklā, saņēmu savu "īsto", "saremontēto" maršrutētāju, pārbaudījām, ka tas strādā un devos mājās.

/xwiki/bin/download/Blog/190429/Att03.jpg

(Šoreiz es turp un atpakaļ braukāju ar elektrisku auto un laiks bija vasarīgi silts.)

Kad pieslēdzos salabotajam maršrutētājam (klientu apkalpošanas darbiniece teica, ka tam "mainīta mātes plate", kam es īsti neticu — vai nu tam atjaunoja sistēmu, vai nu to nomainīja uz citu), tā saziņas valoda bija poļu, un es ne uzreiz pamanīju, kā to nomainīt uz angļu. Patiesībā, es vispirms visus svarīgākos iestatījumus izmainīju, lasot poļu uzrakstus, un tikai tad atradu, kur tos nomainīt uz angļu.

/xwiki/bin/download/Blog/190429/Att04.png

Man par prieku, "salabotais" maršrutētājs rāda, ka atjaunojumi šobrīd nav pieejami.

/xwiki/bin/download/Blog/190429/Att05.png

Ja kāds kaut ko vispār spēj mācīties, tad mācās no savām kļūdām. Es esmu ieguvis sekojošas mācības:

  1. Atšķirībā no datoriem, padarīt maršrutētāju "par ķieģeli" ir diezgan iespējams un nav brīnums, ka vairums lietotāju un atbalsta darbinieku to nedara nekad.

    • ...bet ja ierīcei ir garantija, to var iesniegt garantijas remontā,
    • ...tomēr skaidrs, ka tuvākajā laikā es šim maršrutētājam pieejamos atjaunojumus ne baudīšu, ne arī uzstādīšu.
  2. Senā paruna "Nestrādā galva — strādā kājas" ir aktuāla arī mūsdienās.
  3. Vienas "Bite" darbinieces (vai vispār "Bite"s un/vai interneta pakalpojumu sniedzēju) atbalsts šādā gadījumā pielīdzināms "streikam, strādājot pēc instrukcijas".
  4. Varbūt ir vērts veltīt laiku un naudu ID kartei (kas citādi, manuprāt, ir diezgan bezjēdzīga), ko nēsāt līdzi makā, lai vieglāk tiktu galā ar birokrātiem, kas pieņem tikai "personu apliecinošus dokumentus".
Created by Valdis Vītoliņš on 2019-04-29 17:51
Last modified by Valdis Vītoliņš on 2019-05-01 21:32
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License