Zero
Linksys WRT32X, il router che ha segnato il più alto del Cyber-ITL sicurezza incentrato caso di studio.
Immagine: Linksys
Molti dei più popolari e migliori modelli di router non sfruttare a pieno le caratteristiche di sicurezza che vengono con il sistema operativo Linux, che molti di loro usano come base per il loro firmware.
Protezione avanzata funzionalità come ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention), RELRO (Rilocazione di sola Lettura), stack e guardie sono stati trovati per essere mancanti in un recente audit di sicurezza di 28 popolari router di casa.
Gli esperti di sicurezza di Cyber Indipendente di Test di Laboratorio (Cyber-ITL) ha analizzato i firmware di questi router e mappato la percentuale di codice del firmware era protetta da quattro caratteristiche di sicurezza sopra elencati.
“L’assenza di queste caratteristiche di sicurezza, è imperdonabile”, ha detto Parker Thompson e Sarah Zatko, i due Cyber-ITL ricercatori dietro lo studio.
“Le caratteristiche descritte in questo rapporto sono facili da adottare, non sono aspetti negativi, e sono procedure standard in altri segmenti di mercato (come ad esempio software desktop e mobile),” due aggiunti.
Mentre alcuni router avuto il 100% di copertura per una caratteristica, nessuno implementato tutti e quattro. Inoltre, i ricercatori hanno anche rilevato delle incongruenze nell’applicazione delle quattro funzioni di sicurezza all’interno della stessa marca, con alcuni modelli di router da un vendor rating molto alto, mentre altri avevano praticamente alcuna protezione.
Secondo il team di ricercatori, del 28 firmware del router immagini sono stati analizzati, il Linksys WRT32X modello ha ottenuto il massimo con il 100% di DEP copertura per tutti i firmware binari, il 95 per cento RELRO copertura, l ‘ 82% dello stack guardia di copertura, ma con un misero 4% di protezione ASLR.
I risultati completi per ogni modello di router sono disponibili di seguito. I ricercatori guardato dieci router di casa consigliato da Consumer Reports (tabella 1), ma poi ampliato la loro ricerca anche di altri modelli di router consigliati da altri giornali come CNET, PCMag, e TrustCompass (tabella 2).
Risultati del Test di Consumer Reports raccomanda router
Risultati del Test di CNET, PCMag, TrustCompass raccomandato router
Secondaria conclusione di questo studio, i risultati hanno anche dimostrato che le limitate risorse hardware presenti nei piccoli router di casa non sono una valida scusa per non aver nave firmware del router senza più la protezione avanzata funzionalità come ASLR, DEP, e altri.
È chiaro che alcune aziende possono nave router con fissati correttamente il firmware e il router sono in grado di beneficiare di un sistema operativo nella stessa tempra caratteristiche che Linux fornisce alle versioni desktop e server.
Ultimo ma non meno importante, lo studio ha anche mostrato una debolezza insita nel router che uso un MIPS kernel di Linux. Il Cyber-ITL team dice che durante la loro analisi del 28 firmware immagini (di cui dieci corse MIPS Linux e di cui 18 corse BRACCIO Linux) hanno anche scoperto una debolezza di sicurezza in MIPS versioni del kernel Linux dal 2001 al 2016.
“Il problema dal 2001 al 2016 portato a stack di esecuzione in base venga attivato su tutti i processi,” i ricercatori ha detto, problema che ha reso protezione della funzionalità impossibile.
Il 2016 MIPS patch per il kernel Linux ri-attivata la protezione esecuzione programmi per Linux MIPS, i ricercatori hanno detto, ma ha introdotto anche un altro bug che permette a un utente malintenzionato di ignorare sia DEP e ASLR protezioni. I ricercatori dettagliato questa MIPS Linux bug più in dettaglio in un separato documento di ricerca disponibili qui.
Più sicurezza informatica notizie:
Gli hacker di eseguire il dump dei dati di centinaia di politici tedeschi su TwitterSecurity ricercatore crepe di Google Widevine DRM (L3)Nuova ReiKey app in grado di rilevare macOS keyloggersGoogle Chrome difetto patchato tre anni dopo l’iniziale reportHacking attacchi sul router: Perché il peggio deve ancora comeUSB di Tipo C, si ottiene l’autenticazione per proteggere contro i pericolosi devicesWhy router basato su attacchi potrebbe essere la prossima grande tendenza per la sicurezza informatica TechRepublic
I ricercatori di sicurezza di trovare difetti in chip utilizzati in ospedali, fabbriche e negozi di CNET
Argomenti Correlati:
Hardware
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0