12:09
27/11/2018

Czy prawo powinno zabraniać stosowania prostych domyślnych haseł? Jakie standardy powinny domyślnie spełniać domowe routery? O takich rzeczach już dyskutuje się za granicą i tworzone są pierwsze wytyczne lub nawet przepisy prawa.

Powiedzmy szczerze – w Polsce wciąż wiele jest do zrobienia w temacie prawa odnoszącego się do bezpieczeństwa IT. Doczekaliśmy się co prawda ustawy o Krajowym Systemie Cyberbezpieczeństwa, ale ten akt definiuje pewne kwestie ogólne związane z reakcją na incydenty i współpracą pomiędzy instytucjami. Tymczasem w innych krajach pojawiają się propozycje tworzenia takich aktów prawnych lub wytycznych, które podniosą bezpieczeństwo na poziomie zwykłego obywatela.

Wytyczne bezpieczeństwa dla routerów

W Niemczech rządowa agencja BSI (Bundesamt für Sicherheit in der Informationstechnik) opracowała wytyczne dla routerów instalowanych w domach i małych firmach. Dokument jest dostępny po angielsku, bo jego adresatami mają być producenci tych urządzeń. Nie będą oni zmuszani do przestrzegania wszystkich zaleceń, ale jeśli się na to zdecydują, będą mogli reklamować swoje produkty jako zgodne wytycznymi.

Nie ma sensu przepisywać do artykułu wszystkich wytycznych. Oto niektóre z nich.

  • Fabryczne hasła do WiFi powinny mieć minimum 20 cyfr i nie powinny mieć związku z modelem, producentem czy adresem MAC urządzenia. Również ESSID nie powinien nawiązywać do tych informacji.
  • Użytkownik musi mieć możliwość zmiany hasła do Wi-Fi czy panelu konfiguracji.
  • Hasła do panelu konfiguracji powinny być co najmniej 8-znakowe i powinny spełniać przynajmniej dwa warunki takie jak warunek zastosowania dużych i małych znaków, znaków specjalnych lub cyfr.
  • Router ma wspierać WPA2 i domyślnie z niego korzystać.
  • Zakres usług dostępnych przez LAN i WiFi powinien być ograniczony do DNS, HTTP, HTTPS, DHCP, DHCPv6 oraz ICMPv6.
  • Dostęp do interfejsu WAN powinien być ograniczony do (CWMP) TR-069, SIP, SIPS oraz ICMPv6.
  • Jeśli router daje możliwość udostępnienia gościnnej sieci WiFi to gość nie powinien mieć dostępu do konfiguracji routera.
  • Router powinien prezentować użytkownikowi m.in. status firmware’u (tzn. czy jest aktualny), status firewalla (czy aktywny), informacje o podłączonych urządzeniach i status opcji zdalnej konfiguracji.
  • Router nie może mieć backdoora w postaci konta, o którym nie wspomniano w dokumentacji (por. Hasła “backdoory” do rejestratorów kamer monitoringu CCTV).

To tylko wybrane wymagania, a wszystkie znajdziecie w dość czytelnym i nie bardzo długim dokumencie BSI.

CCC: Mogło być lepiej gdyby nie lobbing!

Jeśli coś wzbudza wasze zastrzeżenia to wiedzcie, że nie jesteście jedynymi. Znane stowarzyszenie hackerów – Chaos Computer Club – skrytykowało projekt wytycznych BSI, zwłaszcza za brak dwóch wymagań, które mogłyby wiele zmienić.

  1. Zdaniem CCC routery powinny być opatrzone “datą ważności” firmware’u i ta informacja powinna być widoczna dla nabywcy w momencie zakupu.
    Nawiasem mówiąc podobne propozycje padały już w odniesieniu do całego tzw. internetu przedmiotów (IOT). Producenci i sprzedawcy nie chcą tego z oczywistych przyczyn.
  2.  Sprzedawca, który zakończył wsparcie dla firmware’u, powinien umożliwić instalowanie na urządzeniu  alternatywnego oprogramowania, takiego jak OpenWrt.

Trzeba tu uściślić, że wytyczne BSI zawierają rekomendację dotyczące informowania konsumenta o dostępności krytycznych aktualizacji. Jednak BSI nie będzie wymagać tych informacji na opakowaniu. Te informacje mogą znajdować się na stronie producenta i mogą (ale nie muszą) znajdować się w interfejsie konfiguracji. Jest też wzmianka o tym, że producent powinien informować o zakończeniu wsparcia. CCC uważa, że powinniśmy pójść dalej i opatrzyć urządzenia dosłownie datą ważności, aby klient od razu wiedział co kupuje.

CCC przekonuje, że wytyczne BSI są “farsą” i nie będą skuteczne. Można się w tym dopatrzeć nieco przesady, ale z jednym trzeba się zgodzić. Wytyczne nie są tak mocne jak mogłyby być.

Propozycje CCC dotyczące “daty ważności” powinny być punktem wyjścia do dalszej dyskusji na temat informacji umieszczanych na opakowaniach. Tak samo jak dajemy daty ważności i tabelki z cukrami na kupowanej żywności, tak samo moglibyśmy mieć przejrzystą informację o poziomie bezpieczeństwa produktu. Owszem, informacja o uzyskaniu takiego lub innego certyfikatu to już krok do przodu, ale czy nie lepsza będzie pełniejsza, przejrzysta informacja?

Przykład konfiguracji bezpiecznej, ale mającej pewne subtelne wady

Wcześniej w Kalifornii

Niemcy nie są jedynym krajem, który chce coś zrobić z bezpieczeństwem urządzeń konsumenckich podłączanych do sieci. We wrześniu tego roku stan Kalifornia przyjął lokalne prawo, które wymaga od producentów urządzeń podłączonych do sieci zastosowanie unikalnego pierwszego hasła (tzn. hasło ma być unikalne dla każdego egzemplarza, a nie tylko modelu). Ewentualnie urządzenie powinno wymuszać nadanie hasła użytkownika przy pierwszym użyciu.

Jeśli wszystko pójdzie zgodnie z planem, od stycznia 2020 roku w Kalifornii nie będą sprzedawane urządzenia z hasłami w rodzaju admin123 albo password.

Nowe kalifornijskie prawo nie jest może tak szczegółowe jak wytyczne BSI, ale po pierwsze jest prawem, a nie tylko zestawem rekomendacji. Po drugie rozciąga się ono na wszelkie konsumenckie urządzenia podłączone do internetu. Pomysł Kalifornijczyków jest – szczerze powiedziawszy – godny skopiowania.

Prawo do naprawiania?

W kontekście prawa dotyczącego urządzeń wypada jeszcze wspomnieć o “prawie do naprawiania”. Idea pojawiła się w USA już w roku 2016, a jej promowaniem zajęło się stowarzyszenie o nazwie  The Repair Association. Później w Europie niektórzy europosłowie proponowali wprowadzenie “prawa do naprawiania” wraz z prawem ograniczającym tzw. planowe postarzanie. Mówiąc ogólnie chodziło o to, aby prawo zobowiązywało producentów do stosowania pewnych standardów i udostępniania dokumentacji pozwalających na dokonywanie napraw amatorom i niezależnym serwisom.

To nie jest ściśle związane z bezpieczeństwem, ale przy okazji dyskusji na ten temat w Parlamencie Europejskim podnoszono kwestię żywotności oprogramowania. Proponowano zdefiniowanie okresu, w jakim twórca systemu lub urządzenia musiałby dostarczać łatki bezpieczeństwa. Poza tym prawo do naprawiania można łączyć z bezpieczeństwem, gdyż brak wsparcia może skłaniać rzesze konsumentów do korzystania z przestarzałych produktów lub sięgania po różne innowacje przedłużające życie produktu.

Co robić? Jak żyć?

Nikomu tutaj nie trzeba tłumaczyć, że bezpieczeństwo routera ma ogromny wpływ na bezpieczeństwo jego użytkowników. Ostatnio przypominaliśmy o tym przy okazji Backdoora w urządzeniach Alcatel Lucent, który  spowodował olbrzymie straty u wielu operatorów. W ogóle bardzo dużo pisaliśmy o routerach, ale dziś nawet szczoteczkę do zębów można hackować.

Osoby świadome technicznie mogą w dużej mierze zadbać o bezpieczeństwo swoich urządzeń (oraz urządzeń swoich bliskich). Osoby mniej techniczne często polegają na ustawieniach producenta oraz na dostarczonych przez niego informacjach. Dlatego właśnie niemieckie rekomendacje, mimo iż skrytykowane przez CCC, trzeba uznać za krok w dobrym kierunku. Prawo zabraniające stosowania przewidywalnych domyślnych haseł to również ciekawy pomysł. Wiemy, że czytają nas osoby mające wpływ na prawo w tym kraju, więc może ktoś się zainspiruje?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

54 komentarzy

Dodaj komentarz
  1. Wymóg kompatybilności z OpenWrt najbardziej mi się podoba :)

    • Raczej nie do zrealizowania, potrzeba zmiany podejścia producentów. W celu oszczędności (pozornej) tworzą zamkniętą strukturę z ograniczonymi zasobami, na których działa (ledwo) ich mizerny system.

    • Ale przecież można by prawnie zmusić producentów, żeby na swoich produktach oprócz daty ważności musieli podać, jakie oprogramowanie można zainstalować po ustaniu obowiązku opieki nad produktem. W tym wypadku każdy konsument miałby jasny wybór, albo kupuje droższy z dostępem do openWRT, albo tanie gówno co 2 lata. Sprawy były by łatwiejsze dla laików. Sam mam ASUSa który od początku nie miał żadnego wsparcia oraz jest w tytkę bezpieczny bo ciągle trzeba go rebootować na twardo.

    • @Tokkotai
      Już większej głupoty dawno nie czytałem. Niby skąd producent sprzętu ma wiedzieć, czy za 2 lata openwrt będzie obsługiwał openwrt. Są modele routerów, gdzie V1 nie jest obsługiwany, V2 jest, >=V3 znowu nie jest. Myśl człowieku, myśl!

    • Wymagania ze strony openwrt, ddwrt i innych podobnych są dość oczywiste – otwarty system i odpowiednia ilość zasobów. Poza tym zawsze można dopisać na pudełku kilka alternatywnych firmware w jakich wersjach są wspierane. Nikt nie wymaga aby te informacje były aktualne także z nowszymi alternatywami. Dodatkowo producenci nigdy nie umieszczają informacji na jakim systemie to bazuje, jaki procesor jest na pokładzie czy ile pamięci RAM/ROM ma urządzenie. Tylko numer wersji. Są routery, które od początku wypuszczenia dorobiły się już kilkanaście wersji i bądź mądry stojąc jak przysłowiowy osioł w sklepie i zastanawiając się czy V13 można zmodować czy też nie.

    • @Zygmunt
      Litości Przecież na stronie openwrt jest tabela kompatybilnych routerów.

  2. A tymczasem w PL niektórzy operatorzy nie udostępniają użytkownikom haseł do routerów nie mówiąc już o możliwości ich zmiany…

    • Nie „w PL”, bo jest to zjawisko globalne. To raz. Dwa: przecież w takiej sytuacji omawiane wytyczne nie mają zastosowania. Skoro ISP nie daje ci dostępu do modemu/routera, to nie jesteś end-userem.

      Nie ulegaj złudzeniu, że tylko dlatego, że urządzenie stoi przy twoim komputerze i jest zasilane twoją energią, to jest ono twoje lub jakakolwiek szczególna część jego funkcji służy tobie. Nie — ten sprzęt stanowi nie tylko własność ISP, ale też integralną część infrastruktury twojego ISP, która kończy się na granicy obudowy modemu/routera. ISP może, jeśli ma taką wolę, pozwolić ci administrować tą końcową częścią jego infrastruktury, ale to jest jego wola, a nie twoje prawo wynikające z innych norm społecznych.

    • Czasem jest dostęp ale np. nie można zmienić DNS – np. Orange LTE.

    • Przecież wystarczy kupić swój własny router a nie wynajmować od dostawcy internetu. Wtedy możesz zmieniać sobie hasła gdzie tylko chcesz

    • @adro: przecież to nie umożliwia zmiany mapowania portów, kontroli firewalla, „DMZ host” albo przejścia całkowicie w tryb bridge. O ile Grzegorz pomylił się w ocenie sytuacji (patrz mój post wyżej), o tyle własny router nijak nie rozwiązuje problemu przez niego opisanego.

    • Takich ISP już się “rozpracowało” lub w niedługim czasie się to zrobi – wystarczy śledzić branżowe fora albo elkę, na której oprócz licznych tematów zamkniętych za nieużywanie funkcji “szukaj” znajduje się cała masa merytorycznych informacji, jak na konkretnym modelu routera uzyskać wejście w config :)

  3. Mają rację geeki z CCC – w obecnej wersji to farsa. Uśmiałem się z wymogów co do haseł – mandatory xkcd (jeden z moich ulubionych w ogóle, zrobiłem nawet amatorską wersję z tłumaczeniem do “wykładania” laikom):
    https://xkcd.com/936/

    • W jaki sposób ten 20-znakowy ciąg jest słaby? XKCD#396 dotyczy haseł zapamiętywalnych przez ludzi — nie wartoci, które spokojnie mogą być [pseudo]losowym ciągiem znaków. Nawet przy ograniczeniu do cyfr jest ponad 66 bitów entropii, a przy użyciu AZaz09: 119. Trochę niższe są wymagania co do domyślnego hasła do konfiguracji, ale ta nie jest dostępna publicznie.

    • Czyli 4 losowe, bez żadnych zmian w zapisie (przesunięć, podmian itp.) są dużo trudniejsze do złamania niż to przekombinowane jedno?

    • Toć mówię, że co do haseł , 20-znakowy passphrase (tak, wiem – też hasło, ale nie do zapamiętywania) do WPA2 ani grzeje, ani ziębi, bo postulowany brak uzależnienia od ESSID czy numeru seryjnego urządzenia to raczej łatanie ogromnej luki w zabezpieczeniach, niż poprawienie czegoś z dobrych chęci.

    • @Zygmunt
      Tak, pokazuje to rozbicie na ilość bitów entropii.

  4. Byłoby miło, gdyby wprowadzono podobne przepisy, szczególnie z uwzględnieniem możliwości instalacji OpenWrt/dd-wrt, a zwłaszcza “daty ważności”. Niestety trudno mi to sobie wyobrazić przy dzisiejszym podejściu producentów.

    • Czy w 2018 będące w wiecznej becie dd-wrt ma jakikolwiek sens? Pałowałem sie z nim przez tydzień, żeby skonfigurować sieć w orange z pominięciem funboxa (udało mi się wywalczyć od operatora oddzielne ONT), ciagle coś nie działało, konfiguracja tagged VLANów na WANie była niemożliwa z poziomu panelu a z poziomu CLI nie była udokumentowana. Zainstalowałem OpenWRT, wszystko działało OotB po 5 minutowej konfiguracji.

    • W przypadku produktów spożywczych „data ważności” jest jedynie informacją o własności produktu. W przypadku „daty ważności” routera/modemu jest to zobowiązanie do wspierania produktu przez określony czas. To oznacza koszty. I nie mówię tutaj o bezpośrednich kosztach samego wsparcia, chociaż te też są istotne.

      Przede wszystkim jednak przez wiele lat jakaś część zasobów albo będzie musiała leżeć odłogiem, albo będzie mogła być alokowana tylko w projekty bez jakiejkolwiek gwarancji stabilności dla klientów. Jakby tego było mało, najmniej uczciwi producenci będą wchodzili w agresywne i ryzykowne metody prowadzenia biznesu, żeby coś ugrać. To szkodzi populacji tak bezpośrednio, przez szkody związane z upadkami firm, jak i pośrednio, ponieważ tworzy dodatkowe narzędzia dla mniej uczciwych graczy, by wygrywali z bardziej uczciwymi producentami.

      Tak więc zamiast mówić o „dzisiejszym podejściu producentów”, ja wolę zapytać: czy po to, by mieć „daty ważności”, jesteś gotów zapłacić wyższe podatki i więcej za sprzęt, czy jesteś gotowy powiedzieć części znajomych, że nie będą mieli pracy lub ją stracą, czy przy braku faktycznej możliwości weryfikacji produktów godzisz się na pogarszanie jakości części z nich? Ja nie jestem. Trzeba poszukać innych rozwiązań.

    • U mnie znowu na odwrót, usprawniałem starszego D-Linka, i tu poszedł “od strzała” dd-wrt, za to openWRT nie chciał działać bo, poważnie, nie miał rzekomo do drivera dolinkowanego modułu do LEDa od wifi. Taką wiadomość dostałem na syslog. Wygląda na to, że różne sprzęty są po prostu różnie wspierane.

    • Dodatkowo na dd-wrt (trzeba przyznać kompatybilnym z dużą gamą urządzeń) często gęsto gro funkcji nie działa prawidłowo, często coś przestaje działać po kolejnym upgradzie, zgłaszane błędy często są olewane itd., itp. Na forum wisi sporo zgłoszonych problemów, które po prostu sobie wiszą i będą tak wisieć nadal, zaś na narzekania w tym temacie zawsze jest jedna pewna (i niestety zgodna z rzeczywistością) odpowiedź – nie podoba się? popraw i skompiluj we własnym zakresie. Pamiętam, że też coś poprawiałem, tylko ja zrobiłem korektę na poziomie skryptu i nawet przypięli ten skrypt na forum. Ale zgłoszony problem nie został nawet tknięty.

  5. Podobne, niestety tylko wytyczne, sa juz w UK dla IoT

    https://www.gov.uk/government/publications/secure-by-design/code-of-practice-for-consumer-iot-security

  6. To nie jest takie różowe, jak się wydaje. Wystarczy usunąć jedno zdanie z tej regulacji, by stała się ona niebezpieczną furtką do szybkiego i cichego wprowadzania wymagań zupełnie niezwiązanych z bezpieczeństwem.

    Polska jest daleko w tyle za Niemcami, jeśli chodzi o poziom aktywności politycznej obywateli — przede wszystkim jakościowo, ale też i ilościowo. Za zachodnią granicą mogło się udać przeprowadzić to tak, żeby faktycznie służyło celowi podniesienia bezpieczeństwa. Bo mało komu przyjdzie do głowy próbować to wykorzystywać inaczej, bo siły są zrównoważone, bo aktywiści będą atakowali groźne fragmenty i przepychali istotne. A w Polsce? Jeżeli redakcja Niebezpiecznika — będąca osobami w pozycji i miejscu do wprowadzania takich zmian — pisze „Szkoda, że nie w Polsce” i na tym ucina temat, to daje to mniej więcej obraz tego, czego będzie się można spodziewać przy próbie powtórzenia tego nad Wisłą.

  7. >Czy prawo powinno zabraniać stosowania prostych domyślnych haseł?
    Nie, nic prawu do tego.
    Bo zaraz pojawiają się okropne pomysły typu:
    “Zakres usług dostępnych przez LAN i WiFi powinien być ograniczony do DNS, HTTP, HTTPS, DHCP, DHCPv6 oraz ICMPv6.”

    • No właśnie – a co, jak będę sobie chciał np. postawić na łączu webserwer albo serwer Exchange słuchający na publicznym IPku, tak jak chociażby mam to zrobione teraz? :p

    • Nie jestem zwolennikiem prawnego regulowania szczegółowych kwestii z wielu powodów.
      Potem dochodzi do chociażby takich sytuacji, jak z tymi wkurzającymi komunikatami o cookies na każdej stronie, gdzie się nie wejdzie. Takie komunikaty i tak nie wyczerpują złożoności zagadnień związanych ze śledzeniem (nie tylko poprzez http cookie to następuje) a dla osób nie mających chociażby podstaw technicznych komunikaty te nic nie mówią. Finalnie trzeba potem instalować różne dodatki do przeglądarki, żeby wycinały to badziewie, bo nie da się surfować po internecie. Poza tym prawo zwykle nie nadąża za rozwojem technologii i wprowadzanie sztywnych nakazów/zakazów tylko ogranicza jej rozwój.

  8. Oj przydałoby się… Załatwiłem sobie niedawno “pakiet wifi” u dostawcy i wszystko byłoby fajnie, gdyby nie przykry fakt że nie mogę zmienić praktycznie niczego – z loginem, ale przede wszystkim hasłem włącznie. To jest całkiem spory dostawca, największy albo drugi największy w mieście (miasto wojewódzkie powyżej o,5mln mieszkańców).
    Żenada, gdybym wiedział z góry to bym sobie to zrobił samodzielnie, ale nieee, zachciało mi się zmian i promocji. :|

    • 1) Podłącz się przez WiFi spod nieznanego im urządzenia z losowo spoofowanym, ale prawidłowym adresem MAC i adresem lokalnym (zgodnym z maską swojej sieci WiFi).
      2) Porób skaning portów i swojego komputera, i routera.
      3) Zgłoś, że spod tego adresu ktoś skanuje ci porty i podejrzewasz, że ktoś używa twojego WiFi i prosisz o ustawienie nowego.

      Może zadziała.

    • To jest materiał do UOKiK. Natychmiast.

    • Do UOKiK? Z powodu? ;d

    • Umyślnego ograniczania funkcjonalności usługi/warunkowania dostępu do usługi od używania sprzętu niespełniającego norm bezpieczeństwa. Sprawa jest do wygrania, “betonowych” już wielu pękło – klient “techniczny” zawsze powinien mieć możliwość konfiguracji tego, czego potrzebuje.

  9. Bez sensu projekt! Przecież MY dzięki temu że ktoś coś nie wie zarabiamy.

  10. A kto ci broni założyć firmę i produkować routery takie jakieś super? Jak widać z postu znasz się na tym.

  11. Hasło do wifi powinno mieć 3000 znaków a do panelu administracyjnego 2000. Wiara ludzi w zaklęcie i runy, które nazywają przepisami, jest wręcz nieprawdopodobna.

  12. Miałem internet u chyba największego dostawcy internetu w DE i nie mogłem zmienić nawet hasła do wifi… Nie chcieli mi wyłączyć przekierowania na ich cenzurowane dns’y.
    Już nie pamiętam, czy niebezpiecznik czy z3s była blokowana. Tak samo jak sklep redisbad… Teraz mieszka tam moja siostra i ma ten ich router z wifi off, telefon voip + osobny router z openwrt z wyłączonym ipv6,izolacją klijentów i zamkniętym dostępem do panelu www i ssh – hacker fizycznie by musiał router resetować, żeby się do niego dobrać.
    Myślałem, żeby zrobić tam dns po https i obejść tą cenzuę, ale siora się przekonała, że na terror niemieckiej poprawności politycznej najlepszy jest tor browser.

    • Wystarczy pierwszy lepszy VPN. Poza tym szkoda widnieć potem jako węzeł tora w logach, bo np. recaptcha skutecznie odmawia takim potwierdzenia :)

    • Nie wystarczy, U mnie w UK większość VPNów jest natychmiastowo blokowana.
      Cały ten NORD VPN jest tak zablokowany, że nie da się wejść na stronę www.
      Na razie jadę na VPN’ie od Kaspersky’ego i jest ciężko, bo co się ISP – (mam 3) zorientuje, że jadę przez VPN to mi od razu blokuje ruch na łączach i muszę na moment VPN wyłączyć. Masakra jakaś.

    • Dlaczego brytyjscy ISP blokuja VPN-y? Maja takie prawo/obowiazek? Czy mozna wymusic u dostawcy nieblokowanie VPN-ow?
      Czy inne technologie typu proxy czy Tor tez sa blokowane??

    • No masz – a to w Polsce podobno tak źle pod każdym względem…

    • W Niemczech od jakiegoś czasu są przepisy, dzięki którym Twój dostawca musi zapewnić Ci możliwość korzystania z własnego routera. Te ich sprzęty czasami faktycznie są mocno poblokowane i dziurawe, ale właśnie dzięki tym nowym przepisom, nic nie stoi na przeszkodzie żeby korzystać z własnego (bądź też wynajętego od niezależnego dostawcy) sprzętu.

  13. @Borek
    Nie wiem, czy to samo miasto i dostawca, ale brzmi znajomo, z pół roku temu konfigurowałem neta u znajomej, i tam duże białe pudełko, w nim zabite na beton login z hasłem i nadrukowane na nalepce.

  14. “Czy prawo powinno zabraniać stosowania prostych domyślnych haseł?”

    Oczywiscie, im wiecej przepisow tym lepiej. Po prostu nie moge sie doczekac, az policjanci zamiast lapac zlodziei i pedofilow beda zajmowali sie ocena hasel w routerach, a ja za to bede musial placic.

    “w Polsce wciąż wiele jest do zrobienia w temacie prawa odnoszącego się do bezpieczeństwa IT.”

    Ano, a w temacie jezyka polskiego to na chwile obecna mamy taka narracje, ze jest tyle do zrobienia, ze fiu-fiu. Idac wzmiankowanym tropem sugeruje stworzenie odnosnych przepisow, wtedy policja bedzie miala jeszcze wiecej arcypotrzebnych zadan.

    A takze sledzenia zawartosciu cukru w cukrze, to juz wkrotce.

  15. Zaskakująco stwierdzam że WSZYSTKIE konsumenckie routery/modemy Orange spełniają te wymogi. Jedynie jeden oferowany przez Orange router firmowy musi być dostępny zdalnie dla pracownika helpdesku, a wszystkie modemy firmowe mają nawet domyślnie wyłączone WI-FI. Nie podoba mi się jedynie wymuszanie ich DNS’ów które najlepszej wydajności nie mają.

  16. @macias Tu nie chodzi o to, żeby “policja oceniała” hasła w routerach, tylko żeby routery przechodziły testy bezpieczeństwa przed wejściem na rynek.

  17. Ehh u mnie na routerze nie mam mozliwosci zmiany hasla i loginu jest VECTRANET i jakies losowe znaki i liczby i haslo jest 8 znakow od 1 do 8 bez mozliwosci zmiany protokolep WEP. Ehh dzwonilem juz chyba z 10 razy na infolinie aby mi to haslo zmienili a oni przeciz nikt sie panu nie wlamie i przez ebok.vectra tez nie moge zmienic masakra

    • Skarżyć do UOKiK ile wlezie, może w końcu przysolą im taką karę, że się betonowy mur rozwali. TC7200 ma zawalistą adminkę, może nieprzystępną początkującym, ale poweruserom wystarczy aż nadto – kwestia tylko zalogowania się do niej.

  18. Mam prawo do czegoś, czyli można mi coś więcej niż tym, którzy tego prawa nie mają. Ale tak jakoś wyszło, że prawo nie tylko pozwala, lecz także zakazuje. Cóż. Ja jestem za wolnością i za tym, by każdy ponosił odpowiedzialność sam za siebie. Po za tym, nie chciałbym by inni mi czegoś zakazywali, np. jedzenia rzeczy, które lubię, więc ja z tej prostej zasady nie zakazuję innym niczego. Jeśli jakaś firma produkuje wadliwe urządzenia, ludzie po prostu od nich nie kupią, a jak ktoś kupi, powinien mieć możliwość podania takiej firmy do sądu. Tak więc uważam, że prawo powinno umożliwić mi to, co pozwoli mi żądać sprawiedliwości, lecz nie powinno uniemożliwiać innym tworzenie urządzeń wg własnego widzimisię.

    Każdy ma prawo żyć tak jak chce, kochać się jak chce, z kim chce i kiedy chce, jeść, pić i palić co chce i kiedy chce. I niech wolny rynek rozsądza resztę i ludzie, którzy do wolności dorośli.

  19. Taka sytuacja.
    Jeden z większych dostawców w Polsce i jego router u mnie w domu.
    Login i Hasło do panelu administracyjnego to nazwa operatora i nie nie jest to hasło do zmiany to jest zaszyte na sztywno konto do dostępu zdalnego przez operatora. Po długiej walce z operatorem i skargach do odpowiedniego Urzędu uzyskałem informację że wszystko jest ok ponieważ aby dostać się do tego panelu należy najpierw dostać się do sieci rozgłaszanej przez router….tą na szczęście udało się lepiej zabezpieczyć.

  20. Kolejna ustawa która pod przykrywką waszego bezpieczeństwa na służyć głównie decydentom aby było im łatwiej kontrolować internet i obywateli.
    Najciekawsze w tych wypocinach redakcji nebezpiecznika jest to że w ogóle nie zauważają tego problemu i starają się propagować ten kierunek, czyżby już kasa i powiązania z wpływowymi ludźmi zaczęła działać na niebezpiecznika?

  21. “Zakres usług dostępnych przez LAN i WiFi powinien być ograniczony do DNS, HTTP, HTTPS, DHCP, DHCPv6 oraz ICMPv6.”

    Pogieło?

  22. I tym powinno zajmować się ministerstwo cyfryzacji, opracowaniem otwartych standardów i promowaniem ich w gospodarce

  23. […] nad jakimiś prawnymi regulacjami dotyczącymi bezpieczeństwa IoT? Kiedyś opisywaliśmy pewien niemiecki pomysł dotyczący bezpieczeńśtwa routerów i nie wydawał się on bardzo […]

  24. […] złego można powiedzieć o bezpieczeństwie routerów. W Niemczech już w roku 2018 proponowano przyjęcie wytycznych bezpieczeństwa dla domowych routerów. Przy tej okazji pojawiła się propozycja (nigdy nie zrealizowana), aby routerom nadawać […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: