Useamman tunnetun valmistajan laitteiden firmiksissä oli kovakoodattu salasana. 50 havaittua laitetta 127 testatusta eli aika suuresta osuudesta puhutaan. Linksysin osalta tilanne oli pahin siinä mielessä, että käytetyt salasanat oli yleisesti tunnettuja.
Kiitos, yrtin vilasta.
Listaa laitteista ei ollut, 49 laitetta ei ollut vuoteen (tuolloin) saanut tietoturvapäivitystä, tiedä sitten osuiko moni ongelma noihin vai ei.
Mutta kovakoodatuista salasanoista mainitsivat eritysiesti Netgear RAX40 , joka ymmärtääkseni on edelleen myynnissä , sitä en kaivellut onko miten päivitelty.
Pikaluvulla jäi vähän epäselvi oliko riskitasoilla eroja, tai oli, mutta siis oliko kaikki oleellisesti riski.
Edit, mainitsivat että pitävät riskinä, olivat ymmärtääkseni ladanneet firmiksen ja koneellisesti sen käyneet läpi, tunnistettu "salasana" ei suoranaisesti tarkoita että käytössä, mutta miksi olisi jätetty, jos ei käytössä.
Ja sitä tuotu esille, että jos tarvitaan "kovakoodattua" pääsyä, niin pitäisi käyttää menetelmiä joissa itse firmiksessä ei olisi sellaisia tekijöitä joiden perusteella voisi päästä muihin saman firmiksen laitteisiin. No tämä kai tänäpäivänä perusjuttu, mutta joo, ei ole. Ja minkäs valmistaja tekee jos asiakas vaatii.
Tuohan totta, että yleensä oletuksena pääsy sisään on vain sisäverkon puolelta, tosin tätä tilannetta pahentaa käyttäjien tapa laittaa jokin helppo salasana wifi-verkolle. Nykyään onneksi oletus wifi-verkon salasana on jokin satunnaismerkkijono painettuna laitteen pohjaan.
Ymmärtääkseni tunnettuihin sisäverkon puolella oleviin haavoittuvuuksiin hyökätään, sisäverkon laitteiden kautta, esim PC selain.
Siis jos laitteessa jokin sopiva vahva palvelu sisäverkkoon, jossa kovakoodatut salasanat, jotka kaikissa sama tai helposti laskettavissa esim MAC osoitteesta tai muusta luettavasta, niin aika paha.
Ja helpommin, monia koti/pientoimisto reittimiä käytetään verkoissa joissa voi olla luvalla enemmän tai vähemmän vihamielisiä käyttäjiä.
Tuosta yhdestä tunnuksesta tuli mieleen, että jos laitteessa jokin kevyesti suojattu palvelu, joka ei ole vaarallinen, niin kovakoodaus, niin onko vaarallinen, no ainakin käyttäjän pitäisi sellaisen olemassa olosta tietää.