Bezpečnost | Router | Heslo

Bezpečnostní katastrofa: Domácí Wi-Fi routery mají i po letech tragická hesla

  • Eset analyzoval tisíce německých Wi-Fi routerů
  • Hromada z nich měla tovární hesla
  • Třeba admin, password a 1234

Uživatelská hesla a jejich (ne)bezpečnost je odvěký evergreen, který se přes veškerou snahu za ty roky změnil jen částečně a mnozí stále volí taková, která jsou buď krátká, anebo zcela nezapamatovatelná, takže si je nakonec stejně napíšou na nějaký ten papírek.

Přitom, pokud si spočítáme veškeré náklady (bezpečnostní, UX apod.) na používání hesel 1P8_Ts5w9:u13#1Kl3Q a Brutalne.Plesaty.Klobouk5687##, to druhé z tohoto srovnání vyjde jako jednoznačný vítěz. Je totiž dostatečně dlouhé, znakově pestré, ale přitom zapamatovatelné, což se o tom prvním, byť ještě mnohem náhodnější povahy, nedá říci, ani kdybyste trpěli fotografickou pamětí.

Stará hesla, kam se podíváš

Následující desetiletí nás snad klasických znakových hesel postupně zbaví a osobní autentizaci vyřešíme nějakou novou technologií, do té doby se však nebudeme potýkat jen se současnými hesly, ale mnohdy i těmi deset let starými.

Typickým případem jsou domácí Wi-Fi routery, které v nejedné domácností slouží dlouhé roky a svoji funkci plní i nadále kupodivu dobře. Přece jen, ruku na srdce, ne každý potřebuje Wi-Fi 6 a podstatná část surfařů si doma v klidu vystačí i s Wi-Fi 4 (802.11n).

Klepněte pro větší obrázek
Podobných starých a jednodušších routerů najdete v českých domácnostech tisíce. Tento funguje už skoro deset let, tak proč jej vyhazovat, když nepohání náročný herní počítač aj.

Zatímco novější routery už často přepracovaly autentizaci své konfigurace, takže má každý kus od výroby jiný a unikátní klíč, ty starší, které stále straší napříč světem, používají společné výchozí heslo a přihlašovací jméno. A jelikož nebezpečně vysoké procento domácích správců Wi-Fi sítě stále používá toto tovární heslo správce, stačí se jen do takové sítě dostat a zvesela ji překonfigurovat.

Heslo do správy Wi-Fi routeru?  Často 1234

Výchozí heslo správce je z principu jednoduché, aby každého trklo, že jej musí při úvodním nastavení změnit, nicméně jak dokládá průzkum bezpečnostních expertů z Esetu, realita je trošku jiná. Antivirový výrobce prozkoumal na 100 000 německých Wi-Fi routerů, přičemž tisíce z nich měly v přístupu do administrace opravdu výchozí heslo.

Klepněte pro větší obrázek
Vstup do webové administrace starého WiFi routeru. Mnozí domácí uživatelé ji často použili jen při prvotním nastavení a heslo raději ani neměnili, aby jim fungovalo to z návodu. 

Tím to ale nekončilo. Pokud už uživatel přece jen nastavil nějaké jiné, stále to nebyla v mnoha případech žádná výhra. Eset známá hesla spočítal a sestavil desítku těch nejčastějších a zároveň nejslabších:

  1. admin
  2. root
  3. 1234
  4. guest
  5. password
  6. 12345
  7. support
  8. super
  9. Admin
  10. pass

Vítěz, tedy heslo admin, bude jedno z výchozích, společně s password totiž patří k těm nejčastějším továrním. Opět, ve své době to mělo smysl, stačilo totiž router fyzicky resetovat a přihlásit se s tímto provařeným heslem k administraci, výrobce síťových prvků ale tehdy nejspíše vůbec nenapadlo, že by si toto heslo některý z uživatelů okamžitě nezměnil.

S výchozím heslem zahoďte i výchozí SSID

Zájem nejen útočníků, ale mnohdy i zvídavějších a technicky zdatnějších sousedů podnítí také název sítě. Stručně řečeno, když bude odkudsi z bytu za panelovou příčkou zářit dostatečně silná Wi-Fi s názvem NETGEAR, TP-LINK, ASUS nebo třeba default, docela často to znamená, že majitel takové sítě vůbec netuší, co je to SSID.

Klepněte pro větší obrázek
Nejčastější názvy Wi-Fi (SSID) podle experimentu Wifileaks, který díky několika tisícům dobrovolníků zmapoval tuzemské bezdrátové sítě.

Pokud je název sítě od výroby stále stejný, je tu poměrně vysoká pravděpodobnost, že stejně pitomé bude i heslo k síti samotné a nakonec i do administrace routeru.

Klepněte pro větší obrázek
Tady to vypadá docela dobře. V okolí nesvítí žádná síť s továrním názvem, takže lze předpokládat, že když už správce změnil SSID, asi nastavil i korektní hesla. 

Továrním heslům občas podlehnou i profíci

Na stranu druhou, když jsme se před pár týdny věnovali tzv. ATM jackpottingu, tedy útokům na bankomaty skrze skrytý USB konektor, i v tomto případě hromada malwaru umožnila výdej peněz bez jakékoliv autorizace jednoduše proto, že správce bankomatu nezměnil tovární heslo od výrobce zařízení, čehož umně využil útočník. Nutno podotknout, že při tak flagrantním porušení bezpečnostních praktik si ty peníze zloději snad i zasloužili.

Čili, pokud tu a tam narazíme na nedostatečně zabezpečené bankomaty, asi bychom měli mít pochopení i po nezabezpečené domácnosti běžných smrtelníků. Jenže, v kalendáři se už nepíše rok 2007.

Router otevírá cestu i k desítkám zařízení

Současná domácí síť už k internetu nepřipojuje pouze jeden, dva počítače, ale i v menší domácnosti často až desítky zařízení. Po počítačích přibyly laptopy, pak samozřejmě mobily, tablety, televizory, nejrůznější televizní, herní nebo filmové set-top-boxy, chytré žárovky, robotické vysavače a případná další elektronika chytré domácnosti.

Klepněte pro větší obrázek
I v malé domácnosti je dnes díky mobilům a nejrůznější elektronice připojeno k síti docela velké množství zařízení

Slabé heslo správce v domácím routeru tedy případnému útočníkovi umožní kompletní vstup a organizaci tohoto malého domácího internetu věcí, jeho sledování a v nejhorším případě i další útoky, což se může rovnat katastrofě.

Co byste měli udělat s routerem podle Esetu

Eset za tímto účelem vydal i sérii doporučení, jak provést alespoň triviální zabezpečení routeru. Jistě ty relativně obecné body všichni znáte, ale přesto je připomeneme s tím, že bychom z fleku doplnili několik dalších.

Doporučení pro bezpečný provoz routeru:

  1. Aktualizujte firmware: Aktualizace přinášejí nové funkce a opravy bezpečnostních slabin. Pokud je to možné, nastavte si v nabídce routeru upozornění na dostupnost nové aktualizace.
  2. Deaktivujte možnost přístupu k webovému rozhraní routeru z internetu. Namísto toho si pro účely vzdálené správy zařízení nakonfigurujte na zařízení VPN přístup.
  3. Nastavte kvalitní heslo pro Wi-Fi: Podobně kvalitní heslo jako pro zabezpečení správy by měli uživatelé využívat i pro připojení k bezdrátové síti. Experti nedoporučují využívat jednoduchá slova nebo fráze, které by mohlo jít uhodnout.
  4. Deaktivujte funkci WPS s ověřením pomocí PIN kódu: „Wi-Fi Protected Setup“ (WPS) je standard pro snadné připojení se k šifrované Wi-Fi síti. Novému žadateli o připojení stačí znát pouze 8 místný PIN. Ten je ale možné buď přečíst přímo na zařízení nebo ho prolomit tzv. hrubou silou.
  5. Změňte název sítě: Uživatelé by měli své Wi-Fi síti dát nový název (tzv. SSID), protože přednastavený název často obsahuje název výrobce a typ zařízení. Útočníci tak mohou přímo podle názvu bezdrátové sítě zkontrolovat, zda daný typ routeru obsahuje nějaké známé zranitelnosti a pokusit se je zneužít.
Diskuze (71) Další článek: Tesla v režimu Autopilot nabourala policejní auto. Řidič se místo sledování provozu díval na film

Témata článku: Internet, Bezpečnost, Asus, Router, Wi-Fi, VPN, Heslo, TP-Link, ESET, Netgear, WPS, Katastrofa, Wi-fi síť, Typ zařízení, Password, Bezdrátová síť, Wi-fi Protected Setup, Bankomat, SSID


Určitě si přečtěte

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

** Apple dnes představuje novinky ** Tradiční keynote v rámci konference WWDC probíhá jen online ** Nové operační systémy, ale i něco navíc

David Polesný | 109

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

** Která klasická webová mapa se vám líbí nejvíce? ** Srovnali jsme šest velkých služeb v několika situacích ** Hlasujte v anketě

Jakub Čížek | 78

20 let nám vědci slibují revoluční baterie, ale revoluce se pořád nekoná

20 let nám vědci slibují revoluční baterie, ale revoluce se pořád nekoná

** Technologie baterií se stále zlepšuje, ale žádné revoluce se nekonají ** Nejpopulárnějším typem baterií je Li-ion ** Efektivní baterie se stávají důležitější s příchodem elektromobilů

Karel Javůrek | 95


Aktuální číslo časopisu Computer

Megatest mobilů do 8 000 Kč

Test bezdrátových headsetů

Linux i pro začátečníky

Jak surfovat anonymně