Wiadomość pochodz z dnia: 16-07-2009Kilka dni temu na łamach Dziennika Internautów ukazał się artykuł pt. Niski poziom bezpieczeństwa routerów oferowanych przez operatorów. Dotyczył on luk znalezionych w urządzeniach:
* Axesstel MV410RS - znajdującego się w ofercie Grupy TP,
* Huawei D100 - oferowanego przez Play.
Dziennik Internautów poprosił o komentarz przedstawicieli obu operatorów. Dzisiaj otrzymaliśmy odpowiedź z Biura Prasowego Grupy TP. Można w niej przeczytać:
Rozwiązania stosowane w urządzeniu Axesstel MV410R w żaden sposób nie odbiegają od standardów spotykanych w routerach bezprzewodowych. Przyczyną takiego stanu rzeczy jest konieczność znalezienia złotego środka zapewniającego użytkownikom routerów dostępność cenową i stosunkowo nieskomplikowaną obsługę. Zastosowanie bardzo zaawansowanych zabezpieczeń spowodowałoby bowiem drastyczny wzrost kosztów produkcji i znaczne skomplikowanie obsługi urządzeń.
Dla standardowych użytkowników oferta tego typu urządzeń stałaby się więc nieatrakcyjna i nieadekwatna do ich potrzeb i wymagań. Zaawansowani użytkownicy mogą oczywiście znaleźć na rynku inne urządzenia, które za znacznie wyższą cenę pełniej zaspokoją ich oczekiwania. Przyjmując jednak kryteria zgłaszającego, żaden router na świecie, łącznie z produktami Cisco, nie może być uznany za bezpieczny, ponieważ przy pierwszym logowaniu nie wymusza zmiany hasła.
Grupa TP podkreśla, że zarządzanie hasłami oraz poprawna konfiguracja urządzenia, po przeprowadzeniu analizy ryzyka i uwzględnieniu zarówno wymagań funkcjonalnych, jak też wymagań bezpieczeństwa, jest podstawowym zadaniem administratora routera. Użytkownicy niezorientowani w zagadnieniach bezpieczeństwa mogą skorzystać z informacji udostępnionych na stronach TP CERT (zespołu reagującego na zagrożenia pojawiające się w sieci).
Mimo przekonania, że znalezione przez Filipa Paliana podatności nie stanowią wielkiego zagrożenia, Grupa TP zdecydowała się podjąć działania, których celem jest zwiększenie poziomu zabezpieczeń sprzętu znajdującego się w ofercie Orange i Telekomunikacji Polskiej. Oto krótki zarys podjętych działań:
- 21 maja 2009 r., nawiązano kontakt z dostawcą sprzętu i przekazano mu uwagi przygotowane przez Centrum Badawczo-Rozwojowe Grupy TP oraz zgłoszone przez klienta. PTK Centertel zwróciła się do dostawcy o wprowadzenie zmian w oprogramowaniu urządzenia.
- 22 czerwca, otrzymaliśmy deklarację dostawcy, że przygotowana zostanie nowa wersja oprogramowania dla urządzeń w obu wersjach sprzętowych (występują dwie), co nastąpić miało do 4 lipca.
- 3 lipca, nowa wersja oprogramowania dla nowszej wersji sprzętowej urządzenia została dostarczona do PTK i przekazana do wewnętrznych testów.
- 13 lipca, została dostarczona nowa wersja oprogramowania dla urządzeń w starszej wersji sprzętowej. Oprogramowanie zostało skierowane do testów przy współudziale Departamentu Bezpieczeństwa.
- Szacowany termin zakończenia testów został wyznaczony na 24 lipca 2009. Po pomyślnym zakończeniu testów nowe oprogramowanie zostanie udostępnione użytkownikom.
Źródło: Dziennik Internautów
Biuletyn bezpieczeństwa Filipa Paliana (SecurityFocus)
Wynika z tego, że nowy Firmware do modemu już powinien być w fazie końcowej testów; chyba, że został już wypuszczony w sieć, co jest wątpliwe, bo od takiego eventu już by wrzało na tym forum.
Poza tym uznałem tego newsa za interesującego choćby z tego powodu, że sam niedługo planuję zakupić usługę razem z modemem i każda informacja na ten temat jest dla mnie ważna.
