Vlákno názorů k článku
Velká Británie bude udělovat pokuty za výchozí hesla v zařízeních od Petr Soukup - Pokud je ale webové rozhraní routeru přístupné jen...

Pokud je ale webové rozhraní routeru přístupné jen z vnitřní sítě, není nastavení hesla tak podstatné. Bohužel ale politik takové drobnosti zjevně nedovede odlišit. Ještě jsem se nesetkal se zneužitím nějakým anonymním útočníkem internetu. Oni prostě skenují jen to co je dostupné z internetu přímo. To že se někam dostane útočník řeším v podstatě každý měsíc a vždy se tam dostane přímo z internetu.

Na druhou stranu může útočník např. podstrčit nějakého trojského koně (apliakce pro PC nebo mobil), který se do routeru nebo jiného zařízení (VoIP) telefonu. Tenhle způsob ale zatím útočníky vůbec nenapadl a nenapadl třeba ani bezpečnostní experty google, kteří takové použití stále nepovažují za rizikové.

To samozřejmě není pravda, takové útoky zevnitř sítě jsou velmi staré a používají se. Krásně to zefektivnila třeba metoda DNS rebind, která umožňuje díky spolupracujícímu DNS serveru kontaktovat router z JavaScriptu v prohlížeči. Takže vám pak stačí otevřít webovou stránku, ta se vám připojí k domácímu routeru (tiskárně, diskovému poli, telefonu…) a pokud máte výchozí heslo, tak si s ním může udělat cokoliv.

Že to jde dělat v některých případech i pomocí Javasciptu, co běží ve webových prohlížečich je chyba a ostuda těch co mají nastarosti bezpečnost v těch prohlížečích. Tomu ale je a bylo možné zabránit vhodnou úpravou politiky a funkce. V každém případě útočit na někoho takto není úplně jednoduché a má to hodně omezení. Javascript ve webovém prohlížeči např. neumí otevřít libovolný raw TCP port ani UDP port. Umí jen websocket a http.
Javascript navíc může komunikovat jen s vlastní doménou a doménami, které mu to výslovně povolí. Aby se to obešlo používá se DNS rebind, ale je to dost komplikace. To si ale vývojáři prohlížečů mohli snadno pohlídat a nedovolit náhlou změnu ip adresy z veřejné na neveřejnou.

Pro útočníka je mnohem lepší uživatele přimět aby spustil nějakou běžnou aplikaci, Java aplikaci, nebo aplikaci do mobilního telefonu. Tam se to nikdo ani zakázat nesnaží a nikdo to nehlídá. A útočník si může v lokální síti dělat co chce celé měsíce bez jakéhokoli omezení a to nepozorovaně a bez aktivity uživatele. Může tak třeba i zkoušet heslo hádat. Vůbec se nijak nepovoluje aplikacím přístup do lokální sítě. Získá jej každá aplikace !!!!

Že by někdo ale takto útočil jsem ale v praxi ještě neviděl. Alespoň co se týče VoIP stále to prostě není módní trend. Ale je otázka času kdy to přijde do módy. Obávám se že google zareaguje tak, že google play vyhodí velké množství užitečných a neškodných aplikací, které do lokální sítě přistupují ze známých a legitimních důvodů. Prostě google je tak trochu extremista.

Je ale pravda, že dávat rozumná hesla má smysl i v lokální síti, protože je jen otázka času, kdy podobné útoky budou více v módě.

26. 11. 2021, 12:04 editováno autorem komentáře

To je důvod, proč jsem to doma rozsekal na WLANy - třeba tiskárna je ve VLANě, která je řístupná jenom z vnitřních sítí.

Potencíální útočník k ní nemá přístup, takže by měl hodně těžký ji nějak upravit. I kdyby se mu to povedlo, vidí jenom pár zařízení se stejným osudem (např. starou telku s přístupem na starý NAS po DLNA s rodinnýma fotkama), který ale nemá jak poslat ven, protože nevidí na net.

Ale pro BFU je to aktuálně neřešitelný