Nový český router zabrání, aby se váš počítač zapojil do obřího útoku

  15:01aktualizováno  15:01
Na CES Unveiled v Praze měl oficiální premiéru nový český router Turris Omnia. Je unikátní i v tom, že vás nenechá udělat hloupé chyby v nastavení a zjednodušit tak útočníkům práci. Pomůže také zabránit napadení a zneužití přístrojů v rámci domácí sítě. Dokáže odhalit podezřelé datové toky.

Turris Omnia - nový český router jde do světa. | foto: CZ.NIC

Český router Turris Omnia uspěl na crowdfundingovém serveru Indiegogo už v roce 2015. Místo požadovaných 100 tisíc dolarů vybralo sdružení CZ.NIC přes milion dolarů a projekt se stal nejúspěšnějším českým počinem na této platformě. Během akce CES Unveiled, která se v říjnu 2016 konala v Praze, byl router poprvé oficiálně představen i veřejnosti.

Turris Omnia - nový český router jde do světa.

Turris Omnia - nový český router jde do světa.

Router, který se učí

V současnosti jej používají dva tisíce testerů v České republice a byla zahájena distribuce finálních výrobků přispěvovatelům z Indiegogo do celého světa. Nejvíce zájemců se zatím našlo v USA, Německu a pochopitelně u nás.

Během vývoje finální verze routeru probíhal a stále probíhá výzkumný program Turris. Do něj se může zapojit každý majitel Turrisu Omnia. Stačí, když k tomu dá při instalaci souhlas. Za to dostane diagnostiku provozu jeho sítě a případné okamžité, a tedy včasné odhalení anomálií, za kterými by se mohl skrývat nějaký útok. Ostatní uživatelé požívají plody tohoto nonstop výzkumu v podobě neustálého zdokonalování funkcí a záplatování děr, které dobrovolníci odhalí.

Fotogalerie

Stávající dva tisíce testovacích zařízení poskytly výsledky, které lze interpretovat jako varující. Přestože první routery vlastní především velmi pokročilí uživatelé a IT odborníci, bylo nutné během jednoho roku (většinou úspěšně) vyřešit několik desítek nákaz malwarem. Mezi napadenými zařízeními byly jak domácí počítače, tak mobilní telefony a NAS zařízení. Úspěšně napadeny byla až tři procenta účastníků výzkumu. Podle Bedřicha Košaty z CZ.NIC se tedy dá odhadnout, že „pokud jsou v ČR přibližně tři miliony domácích přípojek k internetu, je zde minimálně 30 tisíc domácností s nějakou formou nákazy. Spíše to však bude daleko více.“

Fakt, že v době internetu věcí (IoT) jen instalace antiviru nestačí, je zjevný. Stačí se ohlédnout za pátečním DDoS útokem, který částečně ochromil provoz na internetu nejen ve Spojených státech. Podle odborníků přitom útočila právě zařízení, která patří do takzvaného internetu věcí - televizní set-top boxy i webové kamery. Byl to historicky první takto masivní útok, který fyzicky neprovedly infikované počítače, ale spotřební elektronika.

Proč útočníci zneužili výkon právě těchto zařízení, je také nasnadě - neumí se bránit. Do chytrého termostatu nebo webkamerky antivir nenainstalujete. Útočníci přitom do svého botnetu dokážou zotročit samozřejmě i samotný router. Pokud používáte od výrobce nastavené vstupní údaje, nemají to ani nijak složité.

Bez hesla ...

Počty zařízení v ČR se slabým heslem podle výzkumu Turris (nejde tedy o čísla pro celou ČR)

  • Služba Telnet: 26 326
  • FTP: 30 888
  • SSH: 66 164
  • Sdílení souborů Windows (SMB): 3 318
  • Sdílení souborů uPnP: 82 180

Část služeb je legitimně používaná pro přístup, ale velmi často jsou tyto přístupné z internetu omylem bez vědomí uživatele kvůli špatnému nastavení z výroby. Navíc se často jedná právě o domácí routery. Některé služby (jako třeba SMB a uPnP) by měly být určeny výhradně pro interní provoz, pro přístup z internetu se standardně nepoužívají.

Každou hodinu útok

O zotročení IoT prvků se podle bezpečnostních expertů mohl postarat nedávno zveřejněný škodlivý kód Mirai. Během ročního testování v rámci výzkumu Turris napočítali vývojáři desítky tisíc zařízení a spojení se slabým, nebo žádným heslem.

Na jednom routeru Turris Omnia výzkumníci v průměru naměřili:

  • Jeden útok na Telnet každých deset minut (Telnet je protokol používaný v počítačových sítích, který pomocí stejnojmenné aplikace umožňuje uživateli připojení ke vzdálenému počítači)
  • Čtyři útoky na SSH za den (SSH je zabezpečený komunikační protokol v počítačových sítích, které používají TCP/IP. TCP/IP je hlavním protokolem celosvětové sítě internet)
  • Dva pokusy o neoprávněný přístup na webové rozhraní routeru za hodinu
  • Tři útoky na FTP za den (FTP je protokol pro přenos souborů mezi počítači pomocí počítačové sítě)
  • Jeden útok na sdílení souborů Windows za hodinu

Podle zástupců CZ.NIC lze z naměřených dat předpokládat, že slabě, nebo jinak špatně nastavené zařízení s výchozím heslem výrobce bude kompromitováno útokem v řádu maximálně hodin. Celosvětové výsledky spojené s botnetem Mirai najdete v tomto článku.

„Z dat, která máme k dispozici, odhadujeme, že v Česku je v tuto chvíli přibližně tři tisíce zařízení součástí botnetu Mirai. Jsou to CCTV kamery i domácí routery a další zařízení,“ říká Košata z CZ.NIC. „Celosvětově jsou to miliony přístrojů.“

Trochu jiný router

Zdá se tedy, že nový český router evidentně přichází na trh v pravou chvíli. Otázkou je, zda skutečně zvládne všechny nástrahy, zda opravdu dokáže uživatelům pomoci s identifikací možných hrozeb (nejen těch stávajících) a jak bude odolný proti vyhlašování falešných poplachů. Ty totiž dříve či později udolají i toho nejpozornějšího uživatele.

Od běžných routerů za pár stokorun se značně odlišuje (a to nejen vyšší cenou, podle verze stojí 7 600 až 8 800 korun). Zatímco „normální“ router stačí zastrčit do zásuvky a můžete na web, Turris vás nejprve provede celým systémem a zabezpečením vaší domácí sítě.

Zajistí například, že jeho operační systém TurrisOS je opravdu aktuální a nikoliv s již objevenými chybami, které už několik měsíců využívají útočníci. Málokdo si totiž uvědomuje, že pokud si zakoupí router (nebo jakýkoliv jiný kus hardwaru), tak od jeho výroby uběhlo klidně i půl roku a firmware, který do něj výrobce tehdy nahrál, je už z pohledu bezpečnostního rizika zastaralý. Turris proto ihned po připojení zkontroluje, zda neexistuje nová verze a tu nainstaluje. Na vývoj není jen sám výrobce, ale pomáhá i oněch zhruba dva tisíce testerů v ČR (a další přibývají po celém světě) v rámci již zmíněného výzkumného programu Turris. Aktuálnost OS pak pravidelně automaticky kontroluje.

Turris Omnia samozřejmě umožňuje vytvářet VPN sítě a šifrovat data, která přes ně prochází. Aby šifra byla neprolomitelná, musí generátor náhodných čísel generovat skutečně náhodná čísla. Proto má v sobě Omnia dedikovaný kryptočip. Běžné routery přitom většinou tento problém řeší jen softwarově, a tedy ne tak dokonale.

Turris Omnia je vybaven aktuálně nejmodernější wi-fi standardu 802.11 ac a je zpětně kompatibilní se staršími verzemi b,g,n,a. Připojení k internetu si můžete „pojistit“ vložením SIM karty (a vložením PCIe modemu). Hardware routeru má modulární konstrukci s PCIe sloty, díky kterým lze Turris kdykoliv v budoucnosti osadit modernějšími komponentami. Skrze SPF modul lze router připojit přímo k optické síti bez nutnosti dalšího externího převodníku.

Router je vybaven dvěma USB 3.0 porty a hybridním mSATA/miniPCIe slotem. Lze jej tak využít i například jako NAS server. Výrobce zároveň slibuje, že rychlost přenosu přes USB není u Turrisu omezena, jak je tomu kvůli nízkému výkonu u „běžných“ routerů.

Autor:

50. výročí přistání na Měsící

Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

Téma Apollo 11 v článcích Technet.cz:
O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

Nejčtenější

Chyběl necelý metr. Parašutisté nekopali v kryptě obležené nacisty marně

Radarový průzkum krypty v únoru 2019

Po 77 letech od atentátu na Heydricha se podařilo prokázat existenci průchozí stoky před kostelem sv. Cyrila a Metoděje...

Neudělejte chybu jako Ovčáček. Ověřovací kód nikdy nikomu neposílejte

Pro bezpečí na internetu je důležité nesdělovat soukromé ověřovací kódy, někdo...

Pokud vám přijde zpráva s potvrzujícím kódem, zacházejte s ní jako s tajemstvím. Nepište ji nikam, kam nepatří. Nikomu...

Jsou neskutečně levné a jedovaté. Čínské tonery do tiskáren obsazují trh

Jak vybrat náplň do tiskárny, aby do ní padla jako ulitá? Ne každá je vhodná a...

Především kvůli nízké ceně lidé riskují zdraví a kupují ultralevné tonery do laserových tiskáren od neznámých výrobců....

Proč havarovaly Boeingy 737 Max? Firma spěchala a porušila vlastní zásady

Jak vznikly problémy, které vedly k havárii nejnovějších letadel Boeing 737 MAX

Nejnovější letadla Boeing 737 MAX 8 už tři měsíce nelétají. Při dvou jejich nehodách totiž zemřelo 346 lidí. Stopy...

Nečekaný objev. Našli jsme stopy po posledním boji parašutistů

Stopy po výbuchu granátu, který podle dostupných indícií smrtelně zranil Jana...

Osmnáctého června 1942, ve čtyři hodiny deset minut ráno, začal v Resslově ulici v Praze nerovný boj. Stovky esesmanů...

Další z rubriky

Počítač od Applu má držátka. Stojánek k displeji stojí přes 23 tisíc

Společnost Apple představila na své výroční vývojářské konferenci řadu novinek....

Společnost Apple představila na své výroční vývojářské konferenci řadu novinek. Mezi ty nejzajímavější patří zcela nový...

Abyste se nespálili: hned 17 notebooků se pyšní certifikací RTX Studio

Nálepka na notebooku Quadro RTX Studio

Na náročnější uživatele a zejména tvůrce obsahu míří nová platforma notebooků nazvaná Nvidia RTX Studio. Takto označené...

Unikát od Asusu. Dva displeje v notebooku dávají u ZenBooku smysl

Asus

Hned první notebook představený na veletrhu Computex 2019 v Taipei je dost možná ten nejzajímavější. Asus ZenBook Pro...

Najdete na iDNES.cz