Nul
Linksys WRT32X, router, der scorede de højeste i Cyber-ITL sikkerhed med fokus på case study.
Billede: Linksys
Mange af nutidens mest populære home router-modeller ikke tager fuld fordel af de sikkerhedsfunktioner, der følger med operativsystemet Linux, som mange af dem bruger som grundlag for deres firmware.
Sikkerhed hærdning funktioner, såsom ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention), RELRO (Flytning Read-Only), og stak vagter har vist sig at være mangler i en nylig sikkerhed revision af 28 populære hjemme-routere.
Sikkerheds-eksperter fra Cyber Uafhængige testlaboratorium (Cyber-ITL) analyseret firmware af disse routere og kortlagt den procentdel af firmware-kode, som blev beskyttet af fire sikkerheds funktioner, der er anført ovenfor.
“Fraværet af disse sikkerhedsfunktioner er utilgiveligt,” sagde Parker Thompson og Sarah Zatko, de to Cyber-ITL forskerne bag undersøgelsen.
“De funktioner, der beskrives i denne rapport, er let at træffe, ikke kommer med nogen ulemper, og er standard praksis på de øvrige markedssegmenter (såsom desktop-og mobile-software),” de to tilføjede.
Mens nogle routere havde 100 procent dækning for en funktion, ingen gennemført alle fire. Desuden, forskere også fundet uoverensstemmelser i anvendelsen af de fire sikkerheds funktioner inden for samme mærke, med nogle router-modeller fra én leverandør rating ekstremt høje, mens andre havde stort set ingen beskyttelse.
Ifølge forskerholdet, af 28 router firmware-billeder, som de, der analyseres, Linksys WRT32X model scorede højest med 100 procent dækning af forhindring af datakørsel for alle firmware binære filer, 95 procent RELRO dækning, 82 procent stak vagt dækning, men med en ydmyg 4 procent ASLR beskyttelse.
De fulde resultater for hver router-model er tilgængelig nedenfor. Forskere først set på ti hjemme-routere, der anbefales af Consumer Reports (tabel 1), men da udvidet deres forskning til også at omfatte andre router-modeller, der anbefales af andre nyheder publikationer som CNET, PCMag, og TrustCompass (tabel 2).
Testresultater for Forbrugeren Rapporter anbefalede routere
Testresultater for CNET, PCMag, TrustCompass anbefalet routere
Som en sekundær konklusion af denne undersøgelse, hvis resultater også kommer til at vise, at den begrænsede hardware-ressourcer, der findes på små hjemme-routere er ikke en gyldig undskyldning for ikke at sende router firmware, uden at forbedret sikkerhed hærdning funktioner som ASLR, DEP, og andre.
Det er klart, at nogle virksomheder kan skibet routere med ordentligt fastgjort, firmware og routere, der kan drage fordel af den samme OS hærdning funktioner, der giver Linux til desktop-og server-versioner.
Sidst, men ikke mindst, undersøgelsen viste også en iboende svaghed i routere, der anvender en Linux MIPS-kernen. Cyber-ITL team siger, at der i deres analyse af de 28 firmware-billeder (ti, som kørte Linux MIPS og 18, som løb ARM Linux) de opdagede også en security svaghed i Linux MIPS-kernen versioner fra 2001 til og med 2016.
“Spørgsmålet fra 2001 til 2016 resulterede i stakken baseret på udførelse er aktiveret på userland processer,” siger forskerne –spørgsmål, som stilles forhindring af datakørsel-beskyttelse umuligt.
Den 2016 MIPS Linux kernel patch re-aktiveret forhindring af datakørsel-beskyttelse til Linux MIPS, siger forskerne, men også indført en anden fejl, der gør det muligt for en hacker at omgå både DEP og ASLR beskyttelse. Forskere detaljerede denne MIPS Linux fejl i detaljer i en separat forskning papir til rådighed her.
Mere cybersecurity nyheder:
Hackere dumpe data i flere hundrede tyske politikere på TwitterSecurity forsker revner Googles Widevine DRM (L3)Nye ReiKey app kan registrere macOS keyloggersGoogle Chrome fejl lappet tre år efter første reportHacking angreb på din router: Hvorfor det værste er endnu ikke comeUSB Type-C får godkendelse til at beskytte mod ondsindede devicesWhy router-baserede angreb, kunne være den næste store trend i internetsikkerhed TechRepublic
Sikkerhed forskere finde fejl i chips, der anvendes i hospitaler, fabrikker og butikker CNET
Relaterede Emner:
Hardware
Sikkerhed-TV
Data Management
CXO
Datacentre
0