AfterDawn: IT-alan uutiset

Käytätkö Asuksen reititintä? Tiedostosi saattavat näkyä kaikille netin käyttäjille (päivitetty: Asuksen kommentti)

Kirjoittaja Manu Pitkänen (Google+) @ 18.2.2014 15:38 Kommentteja (11)

Käytätkö Asuksen reititintä? Tiedostosi saattavat näkyä kaikille netin käyttäjille (päivitetty: Asuksen kommentti) Hakkeriryhmä on julkaissut verkossa noin 13 000 IP-osoitetta, jotka kuuluvat Asuksen reitittimien omistajille. Asuksen reitittimissä olevien tietoturva-aukkojen ansiosta näitä IP-osoitteita käyttämällä kuka tahansa voi päästä käsiksi tiedostoihin, jotka on tallennettu reitittimen takana olevalle ulkoiselle kovalevylle.
Tietoturvatutkija Kyle Lovett kertoi viime kesänä julkisuudelle useita Asuksen reitittimiä koskevista tietoturva-aukoista. Hän oli yhteydessä Asukseen ennen julkista avautumistaan, mutta yhtiö ei tuntunut olevan kovinkaan vakavissaan Lovettin havainnoista. Korjauksia julkaistiin lopulta Lovettin kerrottua tietoturva-aukoista julkisuudelle.

Hakkereiden mukaan AiCloudin käyttäjätunnus ja salasana tallennetaan selväkielisenä tiedostoon, johon pääsee käsiksi ilman kirjautumista. Reitittimissä on lisäksi oletuksena päällä valinta, jonka ansiosta reitittimeen kytkettyyn ulkoiseen kovalevyyn pääsee käsiksi ilman kirjautumistietoja (salasanaa). Tiedostojen lukemiseen riittää vain se, että kirjoittaa selaimen osoiteriville ftp://*IP-osoite*.

Haavoittuvuudet koskevat ainakin seuraavia malleja: RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16 ja RT-N16R. Jos omistat jonkun näistä, niin firmwaren päivittäminen on enemmän kuin suositeltavaa. Asus julkaisi vähän aika sitten korjauspäivityksen RT-N66U:lle, RT-N66R:lle ja RT-N66W:lle. IP-osoitteet julkaistiin Pastebin-palvelussa 4. helmikuuta.

Haavoittuvan Asus-reitittimen omistaja saattaa löytää ulkoiselta kovalevyltään WARNING_YOU_ARE_VULNERABLE.txt-tiedoston, jonka hakkerit ovat tallentaneet sinne varoittaakseen tietoturva-aukoista. Tiedostossa neuvotaan käyttäjiä ottamaan FTP- ja AiCloud-toiminnot kokonaan pos päältä.

Päivitys (19.2.2014). Saimme Asukselta seuraavanlaisen kommentin tapaukseen liittyen.

"Nämä ongelmat on ratkaistu kaikille reitittimille uuden firmwaren kautta. Uusi Firmware korjaa aiemmat ongelmat AiCloudiin liittyen ja tekee FTP/AiDisk-asennuksesta huomattavasti selkeämpää. Viimeisimmässä firmwaressa laite lähettää myös varoitusviestin käyttöliittymässä, mikäli sinulla on turvaluokaltaan riittämättömäksi katsotut asetukset.

ASUS on ottanut tämän asian erittäin vakavasti, päivittänyt firmwaren, lähettänyt viestin rekisteröityneille käyttäjille, informoinut sosiaalisessa mediassa ja keskustellut myös median kanssa."

Tägit: Asus
Edellinen Seuraava  

11 kommenttia

118.2.2014 15:43

Onneks just myin omani pois :D


Win 8.1 | Intel i7 4790k 4.00GHZ | GTX 980 | 16GB DDR3 | 256GB SSD + 3TB HDD

218.2.2014 15:56

Eipä ole reitittimen takana kiintolevyä, mutta helvetin hyvä tietää...

318.2.2014 16:08

Lainaus:
yhtiö ei tuntunut olevan kovinkaan vakavissaan Lovettin havainnoista. Korjauksia julkaistiin lopulta Lovettin kerrottua tietoturva-aukoista julkisuudelle.

Miksi aina näin? Eikö ko. yrityksille voisi asettaa uhkasakon, ellei tietoturva-aukkoja korjata.

418.2.2014 16:32

http://code.google.com/p/rt-n56u/


Asus P8Z68-V PRO/GEN3 | 2500K + H2O | 8GB Vengeance | HD6870 + H2O | Samsung 830 SSD | Antec P180 + NeoHE 550W | Samsung SyncMaster 2333SW

518.2.2014 17:20

Lainaus:
Miksi aina näin? Eikö ko. yrityksille voisi asettaa uhkasakon, ellei tietoturva-aukkoja korjata.

Samaa minä olen ihmetellyt jo vuosia eli miksi yritykset eivät joudu vastuuseen törkeistä tietoturva laiminlyönneistä? Yleensä yritykselle riittää "Oho korjataan, pahoittelemme tapahtunutta".

Luulen että päättäjien kielet on mustana...
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.2.2014 @ 17:20

618.2.2014 18:14

Anteeksiantamatonta toimintaa yrityseltä, kun se ei ryhtynyt toimenpiteisiin heti kuultuaan turva-aukosta, vaan vasta sitten, kun asiasta oli kerrottu julkisuuteenkin.

718.2.2014 19:08

Ja tämäkin haavoittuvuus ollut ties kuinka kauan olemassa...

Aikas major luokan haavoittuvuus kyseessä...

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.2.2014 @ 19:10

818.2.2014 21:54

Lainaus, alkuperäisen viestin kirjoitti johtaja59:
Lainaus:
yhtiö ei tuntunut olevan kovinkaan vakavissaan Lovettin havainnoista. Korjauksia julkaistiin lopulta Lovettin kerrottua tietoturva-aukoista julkisuudelle.

Miksi aina näin? Eikö ko. yrityksille voisi asettaa uhkasakon, ellei tietoturva-aukkoja korjata.

Aukkojen korjaaminen maksaa ja korjauksella myönnetään, että omassa tuotteessa on ollut puutteita ja virheitä.

Sitten vielä kun suuri yleisö (tekniikasta tietämättömät kuluttajat) eivät asiasta meteliä nosta, niin miksi korjata? Ja toisekseen, vanha vitsi on että halpa ja hyvä ovat kaksi eri asiaa. Halpojahan nuo tusinaroutterit on, niin niistä sitten löytyy kaikenlaisia "ominaisuuksia". Ei koske vain Asusta vaan ihan yleisestikin laitevalmistajia.

Itsellä ollu jo vuosia systeemi, että sisäverkossa sijaitseviin koneisiin ja laitteisiin pääsee kiinni vain SSH:lla. Ei FTP:llä eikä varsinkaan millään routterivalmistajan paskasysteemillä.

EDIT: Randomilla kokeilin neljää IP-osoitetta listalta, ja jokainen vastasi ja pääsi katselemaan, mitä levyllä on.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.2.2014 @ 22:11

919.2.2014 10:23

Lainaus, alkuperäisen viestin kirjoitti 1pertti:
Anteeksiantamatonta toimintaa yrityseltä, kun se ei ryhtynyt toimenpiteisiin heti kuultuaan turva-aukosta, vaan vasta sitten, kun asiasta oli kerrottu julkisuuteenkin.
Sans sama microsoftille. Eivätkä korjaa reikäjuustoaan välttämättä sittenkään.

Eppäilen että syy miksi reikiä jää, on seuraavanlainen:
Halvalla pitää tehdä ja systeemi pitää saada mahtumaan mahdollisimman pieneen tilaan ja toimimaan mahdollisimman pienellä prosessorilla joten softasta pitää tehdä mahdollisimman yksinkertainen ja kevyt.
Paremmat suojaukset varmuudenvuoksi kasvattavat koodia ja vaativat ehkä hivenen enemmän prosessoritehoa ja se isompi muistipiiri ja tehokkaampi prosessori maksaa enemmän ja syö maksimaalista voittoa.


No, ittelle ei tulisi pieneen mieleenkään käyttää mitään pilvipaskaa, kun kaikki mikä näkyy verkosta ulospäin tai sijaitsee omien seinien ulkopuolella on helpommin ulkopuolisten saatavilla ja murrettavissa. Varmuuskopiokin ulkopuoliselle kovalevylle (jota ei ole kytketty nettiin) on tietoturvallisempi kuin mihinkään nettipalveluun.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 19.2.2014 @ 10:25

1019.2.2014 22:14

Itse uskon että osa näistä rei'istä on tahallisia eli ihan tarkoituksella jätettyjä. Yritykset tekee välillä asioita seläntakana ja luottavat että eivät jää kiinni. Osa niistä on ihan sitä että ihmiset eivät ymmärrä tai välitä tietoturvasta hevonpaskaa. Osa on puhdasta osaamattomuutta ja tietämättömyyttä eli palkataan tai ostetaan asioita halvalla, jolloin tietoturva asiat jää usein hoitamatta. Miten tahansa asiaa katsoo niin kyse on törkeästä huolimattomuudesta.

Vaikka on järkyttävää että yritysten tietoturva asiat on täysin perseellään ja niitä hakkeroidaan vähän väliä. Niin vielä pahempaa on se että kuntien ja valtioiden asioista päättävillä ei ole mitään hajuakaan tietoturvasta. Etenkin nyt kun monia kansalaisille tarkoitettuja palvelujärjestelmiä on liitetty internettiin, sekä monet säästötoimet ovat ajaneet etsimään halvempia ratkaisuja. En yhtään ihmettelisi jos joku kunnan työntekijä laittaisi kunnan tai asiakkaan tietoja dropboxiin.

1119.2.2014 23:33

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Niin vielä pahempaa on se että kuntien ja valtioiden asioista päättävillä ei ole mitään hajuakaan tietoturvasta. Etenkin nyt kun monia kansalaisille tarkoitettuja palvelujärjestelmiä on liitetty internettiin, sekä monet säästötoimet ovat ajaneet etsimään halvempia ratkaisuja. En yhtään ihmettelisi jos joku kunnan työntekijä laittaisi kunnan tai asiakkaan tietoja dropboxiin.
Itse jo aikani ihmetellyt että minkä h***etin takia esim ydinvoimaloiden ja muiden kriittisten laitosten järjestelmiä yleensäkään pitää kytkeä internetiin, kaikkien hullujen saataville.

Jos itellä olis vaikka nyt joku ydinlaitos niin 100% varmistuksella pitäisin huolen että turvallisuuteen ja laitoksen ohjaukseen liittyvät koneet eivät sisällä minkäänlaista yhteyttä ulkomaailmaan, varsinkaan internetiin jossa niiden turvallisuus olisi tasan yhtä taattu kuin maalitaulun varmuus ettei sitäkohti kukaan koskaan lähetä mitään sille haitallista...

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Applen suoratoistopalvelu myöhästelee pahasti – Syynä yhtiön konservatiivisuus Applen suoratoistopalvelu myöhästelee pahasti – Syynä yhtiön konservatiivisuus (23.9.2018 12:19)
Apple on PR-kuvaltaan varsin liberaali yhtiö, mutta yhtiön sisäinen ohjenuora on kuitenkin melko konservatiivinen ja varovainen. Teknologiajätti esimerkiksi kieltäytyy levittämästä App Storessa ....
Magic Leap -lasit saivat vakuuttavan tukijan – Luvassa hyvää äänentoistoa? Magic Leap -lasit saivat vakuuttavan tukijan – Luvassa hyvää äänentoistoa? (22.9.2018 15:30)
Laadukkaista audiotuotteista tunnettu Sennheiser aloittaa yhteistyön vasta ensimmäisen kaupallisen tuotteensa julkaisseen Magic Leapin kanssa. Magic Leapin tuotekehitys on painottunut laajennettua ....
Piratismi ei tappanutkaan musiikkia – Kasvaa kovaa vauhtia Piratismi ei tappanutkaan musiikkia – Kasvaa kovaa vauhtia (22.9.2018 10:29)
Yhdysvaltojen musiikkiteollisuuden etujärjestö RIAA on julkaissut tilastotietoa millaisessa jamassa ala nykyisin on. Ala on ollut suurten muutosten kourissa, mutta se on kuitenkin päässyt kiinni ....
1 kommentti
iPhone XS purettiin osiin – Sisältä löytyi pieni yllätys iPhone XS purettiin osiin – Sisältä löytyi pieni yllätys (22.9.2018 09:09)
Uusien iPhonien tullessa markkinoille, tietyistä asioista on tullut perinteitä. Puhelimet tulevat myyntiin seuraavan viikon perjantaina, sitä ennen teknologiamediat julkaisevat laitearvostelunsa ....
Keskihintainen älypuhelin hakusessa? Tällaisia ominaisuuksia saa noin 200 eurolla Keskihintainen älypuhelin hakusessa? Tällaisia ominaisuuksia saa noin 200 eurolla (22.9.2018 08:52)
Tällä viikolla Samsungilta putkahti uusi Galaxy A7 -älypuhelin, mutta keskihintaisten puhelimien anti ei jäänyt siihen. Yhtiö nimittäin paljasti uudet J-sarjan Galaxyt, jotka hintansa puolesta ....

Uutisarkisto