Nemaža dalis mūsų valstybėje interneto tiekimui naudojamų maršrutizatorių yra valdomi per nuotolį – tai leidžia interneto paslaugų tiekėjams (IPT) efektyviai administruoti klientų prieigas bei operatyviai spręsti iškylančias interneto tiekimo problemas. Priėjimui prie įrenginių valdymo, kaip ir įprasta yra naudojami slaptažodžiai, kurie, deja, nėra saugūs.

Nesaugių slaptažodžių naudojimo tinklo įrangoje problema yra žinoma jau seniai – apie tai ir ne tik tai „Critical Security“ kalbėjo ir „Europos tinklų ir informacijos saugumo konferencijoje“, tačiau viešai apie tai prabilti ryžtąsi tik dabar: kompiuterių specialistas Anatolij, iš geranoriškų paskatų ir norėdamas atkreipti visuomenės dėmesį į problemą, kurią būtina nedelsiant spręsti, parašė atvirą laišką didžiausiam Lietuvos interneto paslaugų tiekėjui – „AB TEO LT“, naudojančiam nesudėtingus ir vienodus slaptažodžius daugelyje savo tinklo įrenginių. Ir kalba neina apie namų vartotojus – laiške kalbama apie verslo sektoriaus tinklo įrangą.

Specialisto skaičiavimais, vienodi, jam žinomi, slaptažodžiai gali būti naudojami maždaug 20% aptiktų tinklo įrenginių, bet norint tai išsiaiškinti reiktų atlikti detalesnę analizę. Kitas aspektas yra tas, kad kalbama apie vieno tipo tinklo įrangą – juk kito gamintojo įrangoje gali būti naudojami kitokie, bet irgi vienodi slaptažodžiai ir t.t.

Įsivaizduokime atakos scenarijų: destruktyviai nusiteikę įsilaužėliai gali parinkti arba paprasčiausiai sužinoti vieno maršrutizatoriaus slaptažodį, vėliau mėginti automatizuotu būdu ieškoti kitų įrenginių, kuriems tinka šis slaptažodis – tokiu būdu galima užvaldyti tūkstančius maršrutizatorių. Turint priėjimą prie maršrutizatorių, priklausomai nuo funkcionalumo, įsilaužėliai galėtų nukreipti ar stebėti per juos keliaujantį tinklo srautą, patekti į vidinius Lietuvos kompanijų, bankų, valstybinių institucijų tinklus ir gauti priėjimą prie konfidencialios ar slaptos informacijos.

Papildomai galima sugadinti maršrutizatoriaus konfigūraciją taip, kad norint atstatyti jo darbą būtų reikalingas fizinis priėjimas prie įrenginio, o pasiruošus ir koordinuotai surengus šią ataką prieš keletą didesnių IPT „per vieną naktį“ imtų neveikti neapskaičiuojami kiekiai interneto svetainių, įmonės negalėtų naudotis internetu – praktiškai būtų paralyžiuotas Lietuviško interneto darbas.

Kiek laiko reikėtų norint atstatyti darbą? Kiek žmonių reikėtų norint pašalinti problemas? Kiek visa tai kainuotų? Geriau to nesužinotume, kadangi pernai Estijoje vykusios DDoS atakos, maršrutizatorių kompromitacijos fone, galėtų atrodyti tik kaip „švelnus pakutenimas“.

Apibendrinant norisi pasakyti, jog problema egzistuoja ne vienerius ir ne penkerius metus bei ji liečia beveik kiekvieną IPT. Jos sprendimas irgi yra paprastas: kiekvienas įrenginys turi turėti unikalų, sudėtingą slaptažodį, jie turi būti šifruojami įrenginyje, o papildomai galima apriboti prisijungimą prie tinklo įrangos tik iš tiekėjui priklausančių „patikimų“ IP adresų.