Asus har routrar för hemmabruk som man kan köpa i närmaste köplada. De är hyfsat lätta att få igång för vanliga användare. De har USB-portar där man enkelt kan koppla in en USB-hårddisk för att skapa en gemensam disk för hemmets enheter.
Problemet är att många av fabriksinställningarna är fullständigt osäkra. T ex finns det en inbyggd FTP-server som accepterar anonym inloggning från omvärlden och därmed ger vem som helst tillgång till din hårddisk. Andra delar där Asus helt ignorerat konceptet säkerhet finner man i funktionen AiCloud som ger användaren möjlighet att nå sin hemmadisk från t ex en smartphone. Även när användaren skapat ett lösenord för AiCloud så går det okrypterade lösenordet att läsa från utsidan…
Det här är inga nyheter, flera av de här problemen har varit kända sedan förra våren. Asus har släppt firmwareuppgraderingar till vissa modeller, men de flesta som köper såna här produkter håller inte koll på sånt. Inte heller tycks Asus ha ansträngt sig för att informera sina kunder.
Det gör att det finns mängder med Asus-routrar på nätet som bjuder på oändlig underhållning för fjuniga hacker-wannabees eller vanliga nyfikna. Att hitta dem är inte särskilt svårt, ett par sökningar via Shodan räcker långt.
I går släppte en hackergrupp en jättefil innehållande listor med adresser till öppna routrar, loginuppgifter till AiCloud samt exempel på fillistor från användares hårddiskar. Det är ingen rolig läsning. Jag greppade filerna efter olika svenska ord och hittade direkt filnamn som tyder på svenska användare. Dokument för Skatteverket. Bokföringsfiler. Katastrofplaner(!). Privata Word-dokument. Löneunderlag. Samt förstås en ziljon digitalbilder, videofilmer och andra privata filer. Om det inte vore illa nog att utomstående kan läsa de här filerna så ska man komma ihåg att de också har skrivrättigheter och kan ändra i dem…
Jag är inte så förtjust i den här typen av full disclosure, det är vanliga användare som hängs ut. Men, kanske genererar det tillräckligt med publicitet för att folk som har en Asus-router ska fundera över valet av utrustning. Kanske lär sig Asus och andra tillverkare att göra rätt i framtiden.
[box] Om du använder en Asus-router, kolla att du har senaste versionen av firmware, byt alla lösenord och se till att FTP-tjänsten antingen är avstängd eller försedd med ett bra lösenord.[/box]
Min egen rekommendation för hemma-router är förstås något av de mjukvarualternativ som har öppen källkod istället för öppna nätverksportar. OpenWRT eller Tomato är tex bra alternativ, om än inte riktigt lika enkla att få igång.