Tysiące ruterów Asusa udostępniają prywatne pliki użytkowników
Czasem użytkownicy nieświadomie udostępniają w sieci swoje prywatne pliki z powodu własnej niewiedzy lub głupoty. Czasem jednak współwinnym jest producent sprzętu lub oprogramowania, którego domyślne ustawienia powodują taką sytuację.
Niektóre modele domowych ruterów Asusa umożliwiają udostępnianie w sieci lokalnej podłączonych do nich dysków USB. Niestety wielu użytkowników (w tym ponad 300 Polaków) nie zwraca uwagi na fakt, że pliki udostępniane są przy okazji całemu światu.
Pokaż moje pliki
Szwedzki serwis TechWorld opisał problem z konfigurację ruterów Asusa. Niektóre modele posiadają funkcję AiDisk, która umożliwia łatwe udostępnienie plików z podłączonego do urządzenia dysku USB w sieci lokalnej. Udostępnienie następuje za pomocą protokołu FTP – ruter otwiera port 21 i serwuje pliki z dysku. Problem polega jednak na tym, że domyślnie sugerowana konfiguracja usługi otwiera port 21 nie tylko dla sieci lokalnej, ale od razu dla całego internetu i pozwala na logowanie bez hasła użytkownikowi anonymous.
Domyślnie aktywna opcja „limitless” (źródło: Security Affairs)
Kto powinien sprawdzić swoje ustawienia
Według serwisu Security Affairs takie ustawienia można spotkać w następujących modelach Asusa:
- RT-N66U
- RT-N56U
- RT-N15U
- RT-N65U
- RT-AC66U
- DSL-N55U
- RT-N16
Niewykluczone, że podobny problem może występować również w innych modelach, w tym RT-N10U, RT-N13U, RT-N14U i RT-AC68U. Serwis ShodanHQ z łatwością wyszukał nam ponad 300 podatnych urządzeń w Polsce i ponad 20 000 na całym świecie.
Podatne urządzenia w Polsce
Czyja to wina i co z tym zrobić
Nie da się ukryć, że problem leży zarówno po stronie użytkowników, którzy nie czytając lub nie rozumiejąc ustawień uruchomili usługę, jak i po stronie producenta oprogramowania, który wybrał jako domyślną najmniej bezpieczną opcję. Trzeba jednak mieć na uwadze fakt, że użytkownicy nie muszą mieć pojęcia o bezpieczeństwie komputerowym, podczas kiedy producent ruterów powinien zdawać sobie sprawę z tego, że nie każdy jego klient jest informatykiem. Asus obiecał już wydanie poprawki oprogramowania, jednak lepiej nie czekajcie i sprawdzicie rutery swoje i rodziny. Wystarczy wyłączyć anonimowy dostęp po FTP.
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
Pierwszy Polski router a tam m.in. cv Specjalisty ds. ochrony danych osobowych i mnostwo poufnych informacji. Jak ktos kto nie potrafi wlasnego routeraz zabezpieczyc moze sie zajmowac bezpieczenstwem innych??
I dlatego po zakupie zanim podłączyłem do sieci, najpierw wrzuciłem ddwrt :-)
I dlatego po zakupie zanim podłączyłem do sieci, najpierw wywaliłem oryginalne śmieci i wrzuciłem ddwrt :-)
Zadzwoniłem do kilku osób, które miały bardziej wrażliwe dane na podmountowanych nośnikach (u niemal wszystkich w dokumentach były conajmniej CV z kompletem danyh osobowych i często skany dowodu osobistego).
Zachęcam do tego również innych czytelników, dobrze by było poinformować możliwie jak najwięcej zagrożonych osób zanim informacja trafi na mainstreamowe serwisy i do tematu zabierze się demolkowa „młodzież”.
Trudno winić nietechnicznych użytkowników za to, że domyślna konfiguracja urządzenia woła o pomstę do nieba…
Tak, a potem jakiś Janusz wytoczy dzwoniącemu proces.
Panie Piotrze, proszę nie mierzyć wszystkich swoją miarą. Wszystkie osoby do których dzwoniłem wczoraj grzecznie dziękowały za informację i nie usłyszałem ani jednego złego słowa.
„Wytoczy proces”? Co właściwie ma Pan na myśli? Że użytkownik wniesie pozew cywilny przeciw informującemu? Byłby to pomysł dość karkołomny w tej sytuacji.
Śmiem również twierdzić, że w tej sytuacji i nasze pozostawiające wiele do życzenia prawo karne ciężko byłoby nagiąć, tak by skazać informującego. Orzecznictwo jeśli chodzi o 267 §1 KK jest jasne – jeśli nie ma zabezpieczenia (logowanie bez hasła) to działanie nie wyczerpuje znamion czynu zabronionego.
Poważnie Panowie, bądźmy ludźmi i oszczędźmy nieroztropnym osobom problemów. Karma odpłaci.
Trochę przesadzony i rozdmuchany ten news. Tak samo bohaterska postawa obrońców prywatności na siłę. Wystarczy wpisać odpowiednio skonstruowaną frazę w shodanhq i mamy dostęp do prywatnych plików przez urządzenia prawie wszystkich producentów. Rozumiem, że tu jest takie ustawienie domyślne, ale niestety zawsze najsłabszym ogniwem jest człowiek.
pozdrawiam i polecam trochę rozsądku i dystansu.
ps. z ciekawości spojrzalem na parę polskich asusów w sieci i wszędzie pozostawione info o tym aby zablokować dostęp. Jak pisałem wyżej, to trochę walka z wiatrakami, ale jak się komuś chce pisać i dzwonić do wszystkich kto udostępnia nieświadomie pliki to mogę koledze zapodać kilka tysięcy ip-ków z shodana. Jeśli kolega się nudzi to jak znalazł na długie zimowe wieczory;)
ja bym nie informował – nawet firmy mają pirackie filmy na swoich „dyskach”
niech ich tez ktos „okradnie”
Niesamowite, na kilku dyskach takie cuda: http://i.imgur.com/oa0WIfF.png