מרבית הנתבים כיום, מבוססים על ממשק Web, כלומר : אתר אינטרנט המאוחסן בנתב עצמו ומאפשר להגדיר את הנתב דרך אתר האינטרנט. גישת ה Web מאפשרת הגדרה נוחה וקלה יותר של החיבור לאינטרנט. מרבית הנתבים מבוססי מערכת הפעלה שנקראת לינוקס-מכונות. אותם נתבים מבוססי מערכת הפעלה זו - פגיעים.

בעת החיבור של הנתב לשאר מחשבי הרשת, ניתן להגדירו מכל תחנה אפשרית ברשת המקומית (LAN). הנתב, כברירת מחדל מכיל שם משתמש וסיסמא מסוימים, לצורך העניין Admin:Admin או root:root, וכן הלאה. בעת חיבור הנתב לאינטרנט, הנתב אינו מוגן מפני גורמים זדוניים, לדבר זה יכולות להיות השלכות חמורות מאוד, בין אם גניבה של מידע, ניתוק מהאינטרנט, חדירה למחשב, הריסה, השמדה, ועוד.

לעוד פרטים ולכתבה המלאה:

http://sec.org.il/main.php?show=article&id=107

אנחנו שמחים שהחלטת להיכנס לפורומים של HWZONE, אבל תעשה טובה ותקרא את החוקים.. לא משנה מה הנושא, אסור לפרסם אותו יותר מפעם אחת, ואתה עשית זאת 3 פעמים... תקרא את החוקים...

כמו כן, הבעיה הזו מוכרת וידועה.. אבל מה אתה רוצה להגיד ? מה שיש, זה מה שיש.. איך אתה מציע שהמשתמש הרגיל ידע מה לעשות בנושא?

אני חושב שהתגובה הראשונה לכתבה הזאת מסכמת את כולה באופן ממצה.

זה מחדשל אבטחה בנתב ??

זה כמו לומר שהשארת מערתכ PC ביתית ללא סיסמא זה מחדל אבטחה של מיקרוסופט.....

כל אחד אחראי לציוד קצה שלו, מי שלא משנה את הסיסמא - נושא בתוצאה.

את הכלים היצרנים נותנים לך בתצורת 2 אופציות :

1) שינוי סיסמא לנתב

2) ביטול גישה מרחוק לנתב (גישה ברשת פנימית בלבד)

מה גם שאני לא יודע מאיפה הם הביאו את הנתונים המדהימים על היות הנתבים בנויים במבנה הזה. כי רובם (אם לא כולם) לא. זאת טעות נפוצה לחשוב ש-NAT זה Firewall ולכן לחשוב שה-so called firewall הזה מגן רק על המחשבים ברשת הפנימית. אז אמנם ה-NAT מספק איזשהי הגנה למחשבים הפנימיים, אבל הוא לא פיירוול ולא תוכנן לספק שום הגנה. לכל נתב יש Firewall אמיתי שמגן על עצמו מפני סקריפטים שמנסים לפרוץ אליו באופן אוטומטי. ובד"כ אנחנו בכלל לא מודעים לקיום ה-Firewall הזה ו/או לא יכולים להתעסק איתו בכלל. (ד"א, אם הם כבר הזכירו את ה-Alcatel כדוגמא, אני יכול לציין ממקור ראשון שיש לו פיירוול אמיתי כזה וניתן לגשת אליו רק דרך ממשק הטלנט של האלקטל דרך הפקודה ip config firewalling.)

וחוץ מזה, אני לא מבין איך כותב הכתבה מצפה שפיירוול יגן על נתב מפני מישהו שמזין שם משתמש וסיסמא נכונים. הרי ברור שמי שיזין את הפרטים האלו יזוהה כ"ידיד". וזאת בדיוק המטרה של אפשור גישה לנתב מרשת חיצונית. פיירוול יכול לחסום באופן אוטומטי רק מי שהוא רואה שמנסה "בכוח" לחדור לרשת (וזאת ע"י זיהוי ניסיונות רבים בהפרשי זמנים קצרים להיכנס לרשת עם סיסמאות לא נכונות, או בלי אישור של מנהל הרשת אחרי שמנהל הרשת הורה לפיירוול במפורש לא לאשר לאותו מחשב להיכנס). כך או כך, אם מישהו מצליח לחדור לרשת, זה לא מחדל של הנתב אלא של המפעיל שלו.

בכל מקרה, כל אחד משני הפתרונות בתגובה שציטטתי יפתרו את "מחדל האבטחה" הזה.

עכשיו קצת לפן המנהלתי: m0fo, כל ההודעות הכפולות שלך נמחקו. השתדלתי לא להרוס דיונים ולשמור הודעות ענייניות שהגיבו לך, וזאת ע"י איחוד כל ההודעות על נושא מסויים לת'רד אחד. בכל מקרה, קרא את חוקי הפורום מיד! דאבל פוסט אסור כאן.

אני בגדול מסכים איתך, אבל יש בעיה שהמשתמש הממוצע שקונה כאלו דברים, לא משנה כלום... ואם הנתב מגיע עם הגדרות DEFAULT מפגרות הוא לא ישנה אותם... ואז אפשר להריץ IP SCANNING פשוט ולנסות להגיע להגדרות האלו...

הבעיה היא שכנגד זה, אין מה לעשות יותר מדי....

זה נכון, לצערי. הרבה אנשים בונים רשתות בלי לשים דגש על הנושא הזה.

לכן כל שאפשר לעשות הוא להגביר את המודעות לנושא ולהסביר לאנשים שרוצים לשמור על המחשב שלהם באיזה אמצעים לנקוט.

בעיקרון, את המטרה הזאת הכתבה כן עוזרת להשיג, כי באמצעות פרסום שלה יותר אנשים ישימו לב לדברים האלה. אבל חבל שעיקר הכתבה היא שימת דגש על "מחדל האבטחה" שבנתבים, כשלמעשה אין בהם שום מחדל אלא רק באופן התחזוקה שלהם.

זו בדיוק הבעיה המרכזית. אין כאן שום "באג" או משהו בנוסח הזה, כל הבעיה פה היא בעצם מחדל, כשל לוגיסטי בבניה ותכנון הנתבים.

משתמש פשוט כמו הדוד שלכם (לצורך העניין) שקנה את הנתב בשביל שלילדים שלו יהיה אינטרנט, יתקשר לבזק, יקבל הסבר מה לעשות, ישים אינטרנט, והוא סיים את

חלקו פה.

הנתב נשאר פתוח לכל העולם, אותו דוד מתעסק עם הגדרות האינטרנט הבסיסיות ולכן הכתבה פורסמה כדי לעורר את הציבור לבעיה הזאת.

במהלך בדיקה שערכתי יכולי לראות כי אחוז הנתבים הפגיעים שואף ל 100 ! זה נתון מדאיג מאוד, בדקתי קרוב ל 20 נתבים בימים האחרונים, נוכחתי לדעת שרק נתב

אחד הוגדר לשם משתמש וסיסמא אחרים, כל השאר פשוט לא !

כן.. זה בעיה.. אבל שוב.. מרבית האנשים הרגילים לא מסתכלים לא באתר ההוא, וגם לא באתר הזה... (וגם מי שכן, לרוב לא יעשו יותר מדי)...

בתכלס גם כל המודמים שמגיעים עם WEB INTERFACE מ BEZEQ וכו' מכילים סיסמא קבוע מראש..

הכי טוב זה פשוט מחשב LINUX קטן שמשמש כ SERVER/ROUTER (בהנחה שהוא מוגדר טוב).

ה XSS דווקא היה יותר מעניין לקרוא (באתר שלך).. אבל די צפוי.. פעם SQL INJECTION היום XSS, מחר משהו אחר...

אין ספק, אני מסכים איתך..

אבל תראה, לא ממש סיפור לסדר את הבעיה, זה כ"כ קשה לגשת להגדרות ולשנות את שם המשתמש והסיסמא ? אפילו לא את שם המשתמש, רק את הסיסמא !

כמעט שום נתב לא מאפשר Brute Force, הוא זורק אותך אחרי מספר פעמים, לכן החלפת הסיסמא היא פיתרון די יעיל...

אתה שוכח דבר אחד, ל95% לפחות מהאוכלוסיה אין מושג בדברים הללו.

הדוד שלך שיגדיר לעצמו סיסמה חדשה לא יצליח להתחבר לאינטרנט לאחר חצי שנה, יתקשר לבזק שישימו לב שהסיסמה שונתה ויגידו לו שיבטל את זה. נראה לך שה"דוד" שלנו יזכור מה שהוא עשה או שישר יבקש את המנהל?

אם האוכלוסיה מטומטמת זה בעיה שלה, לא של היצרן, אתה יכול להגדיר אבטחה יעילה אם תרצה אבל הרוב לא רוצים.

אני מסכים איתך, אבל היצרן לא יכול להתחמק מהבעיה, זה כמו שעל כל באג שיגלו במיקרוסופט החברה תגיד "מה אכפת לנו שאנשים יגנו על עצמם", ובכל זאת הם משחררים טלאים בכל יום שמתגלה הבאג. לכן דעתי בנושא היא שצריכים פשוט להגדיר סיסמא עם התחברות ראשונית לנתב, ככה לכל אדם אשר מחזיק נתב ביתי תיהיה סיסמא שונה.

אני מסכים שצריך להגדיר סיסמה כדי שהנתב יהיה בטוח אבל:

הלקוח צריך להבין מה שהוא עושה מי שאחראי על האבטחה שלו זה הוא ולא ECI / ALCATEL ...

אם הוא רוצה אבטחה יעילה שישאל ויראה מה הכלים שעומדים לרשותו, מה החסרונות שלהם ומה היתרונות שלהם.

כאחד שמתעסק ברשתות הרבה לא יצא לי לראות שאכפת למישהו. כולם רוצים שהאינטרנט יהיה מהיר, מאובטח זה כבר לא משנה.

והאמת שנתקלתי באחד שפרצו למחשב (השאירו לו גם הודעה שביקרו לו במחשב) וגם שינו את ההגדרות של האלקטל שלו. בהגדרה מחדש הוא אפילו לא שאל על הסיסמה של הנתב....

זה באמת די עצוב שלאנשים לא אכפת מהביטחון של עצמם... ואני בתור אחד שמתעסק בתום האבטחה לא מעט זמן, לא מבין מאיפה זה מגיע, חבל מאוד שככה הם פני הדברים, בקרוב מאוד אני אעלה לאתר תיעוד איך הצלחתי לפרוץ ל 3COM ול ECI... כמובן בתור ניסיון עם אישורים מהגורמים שצריך לקבל מהם אישורים, לא פריצה בלתי חוקית, אבל זה יעניין אתכם, אני די סבור.

המשך ערב נעים.

m0fo, אתה עדיין לא מבין שאין כאן שום כשל אבטחה.

לא, זו לא אשמתם של יצרני הנתבים שהמשתמשים לא שמים סיסמא על הנתבים שלהם! וזאת לא האחריות של יצרני הנתבים לדאוג שהמשתמשים ישימו סיסמא על הנתבים שלהם. היצרנים יכולים לדאוג לאבטחת המכשור של המשתמש כל עוד אלו דברים שקשורים אליהם ואך ורק אליהם. ברגע שהם נותנים למשתמש את האפשרות לדאוג לאבטחה של עצמו (לדוגמת האפשרות לשים סיסמא), אני חושב שזה די הגיוני שהוא ידאג לזה יותר מהם. ואם הוא לא דואג לזה, למה שהם ידאגו לזה? לא שאני תומך בחוסר דאגה לאבטחה, אבל חשבת אולי שכלכלית לא משתלם ליצרניות להשקיע בנושא אם בכלל אין לזה ביקוש בשוק? ולצערי, זה אכן המצב. לאנשים לא אכפת מאבטחה בנתבים שלהם, אז אין לזה כרגע ביקוש.

וכאן גם הטעות שלך:

אני מסכים איתך, אבל היצרן לא יכול להתחמק מהבעיה, זה כמו שעל כל באג שיגלו במיקרוסופט החברה תגיד "מה אכפת לנו שאנשים יגנו על עצמם", ובכל זאת הם משחררים טלאים בכל יום שמתגלה הבאג.

זה פשוט לא נכון. מייקרוסופט משחררת את הטלאים שלה לכשלי אבטחה אמיתיים במערכת. כלומר, הטלאים משוחררים רק למקומות בהם יש חור אבטחה במערכת עצמה, והמשתמש לא יכול לעשות שום דבר בנוגע לזה. לא משוחררים טלאים למקרים בהם המחשב נפגע עקב חוסר אחריות של המשתמש במחשב.

אתה רוצה דוגמאות? בבקשה: כל הטלאים שאתה מוריד מהאתר של Windows Update, אתה יודע בדיוק מה במערכת הם תיקנו? אתה יודע בדיוק איפה בשורת הקוד של המערכת יש חור אבטחה שאנשים יכולים לנצל אותו לרעה? ונגיד שכן, אתה יכול לתקן את החור הזה בעצמך? די ברור שהתשובה לכל השאלות האלו היא לא. ווינדוס היא מערכת בקוד סגור, ולכן כשמתגלה כשל אבטחה באחד מהחלקים של המערכת שלא פתוחים בפניך (שזה כמעט כל המערכת), לך אין מה לעשות בקשר לחור הזה, רק אז מייקרוסופט חייבים לעשות את זה בשבילך. אם הייתה לך אפשרות לשמור על האבטחה בעצמך, אני מבטיח לך שמייקרוסופט לא היו טורחים להוציא טלאים שיעשו את זה בשבילך (מלבד אולי במקרים קיצוניים שתולעת או וירוס השתמשו בכשל האבטחה הזה והתפרצו כ"כ מהר וחזק שמייקרוסופט מבינים שאם הם לא יתערבו זה לא ייגמר).

דוגמא מהעבר השני: כשאתה משאיר את הדלת שלך פתוחה בלילה, וגנב בא ומרוקן לך את הבית, האם זאת אשמתה של יצרנית הדלת? האם אפשר להפיל את האחריות עליהם שהם לא ייצרו מנגנון מיוחד שפותח את הדלת רק כשהוא מזהה את טביעת הרשתית בעין שלך ברגע שאתה מתקרב לדלת? שוב, די ברור שהתשובה היא לא. כשהיצרנית נותנת לך את האפשרות לבחור אם לשמור על אבטחה או לא, זה כבר לא אחריות שלהם לדאוג שאתה תשמור על האבטחה. בדוגמא הזאת, האחריות הייתה נופלת עליהם, למשל, אם הם היו מייצרים את הדלתות עם חומר שניתן לשבירה בקלות. לך אין אפשרות לשנות את זה, ולכן זוהי אשמתם.

כך גם עם הנתבים. ברגע שהם נתנו לך את האפשרות אם להגדיר סיסמא או לא, זאת לא אחריות של יצרני הנתבים לדאוג לכך שתשים סיסמא. והרי ברור לך שאף אחד מהיצרניות (נתבים או דלתות, אם מתייחסים לדוגמא) לא תשקיע הון עתק על בניית מערכות שיחייבו את המשתמשים לשמור על עצמם ועל רכושם, כשניתנה למשתמשים האופציה לשמור על עצמם והם בוחרים לא לעשות זאת.

עכשיו אתה יכול לשאול: "אז למה מלכתחילה ניתנה לנו האפשרות להגדיר סיסמא או לא? למה לא הביאו לנו מההתחלה את העובדה שיש סיסמא על הנתב כאכסיומה מבלי לשאול אותנו? הרי כך בטוח יהיו סיסמאות על כל הנתבים וזהו."

אז כאן רק אפשר להגיד שהיצרנים לא יכולים להכריח את המשתמשים לשים סיסמא על הנתבים. יש אוכלוסיה לא קטנה של אנשים שאין להם סיסמא על הנתב לא מכיוון שהם לא מודעים לחשיבות של זה, אלא מכיוון שהם פשוט לא רוצים סיסמא. יכול להיות שמשיקולים שלהם, סיסמא על הנתב היא לא דבר נוח בשבילם.

אני עכשיו רואה שרשמתי די הרבה, ויכול להיות שזה דווקא לרעתי כי אתה תקרא את זה ותפספס את הנקודה שלי. אבל בכל מקרה, אני מקווה שכל ההודעה הזאת עזרה לך סוף סוף להבין שהכשל פה הוא לא של היצרניות, אלא של המשתמשים בלבד.

אני עכשיו רואה שרשמתי די הרבה, ויכול להיות שזה דווקא לרעתי כי אתה תקרא את זה ותפספס את הנקודה שלי. אבל בכל מקרה, אני מקווה שכל ההודעה הזאת עזרה לך סוף סוף להבין שהכשל פה הוא לא של היצרניות, אלא של המשתמשים בלבד.

מבלי להיכנס פה יותר מדי לנושא האחריות וכל זה (מעניין בפני עצמו), למיטב הבנתי יש פה חור באבטחה, וזה הוא שבחלק מהנתבים (כמו אלו שהוא אמר פה ואחרים), ב DEFAULT CONFIGURATION (ואולי בכלל), אפשר לגשת מרשת חיצונית (האינטרנט), לתוך הגדרות ה ROUTER/MODEM שזה מחדל אבטחה שהם כן צריכים לתקן.. שהרי הגיוני שרק מהרשת הפינימית (LOCAL LAN בבית/משרד) יהיה אפשר לגשת להגדרות המכשיר...

אם אי אפשר לגשת מבחוץ להגדרות גם ככה, אז כל נושא הסיסמא לא משנה.. ולכן לפי דעתי מדובר (לפחות בחלק מהמכשירים) בבעיה שעל אחריות היצרן לתקן אותה.

אני מסכים עם icebreak,

כברירת מחדל, הגישה החיצונית לנתב צריכה להיות מבוטלת! אף אחד לא צריך את זה, בטח אחד שלא גאון גדול במחשבים.