TP-link router ITsec olcsóság van!Amikor valaki azt kérdezi tőlem, hogy milyen routert érdemes venni otthonra, mindig azt mondom, hogy szinte mindegy, csak ne valamilyen néhány ezer forintos fröccsöntött kínait. Igazából legfeljebb annyit tudok óvatosan mondani, hogy mennyi lehet az az összeg, amennyi fölött szabad otthonra vagy irodába routert venni.

A manapság használt routereket szokásosan már next-next-finish-tematika alapján gyakorlatilag egy perc alatt be lehet üzemelni, bármiféle szaktudás nélkül, hiszen érthető módon a hálózati eszközök gyártóinak egyik elemi érdeke, hogy a vásárlónak csak ki kelljen vennie az eszközt a dobozból, majd kapásból működjön is.

Ha a routerben valamit be kell állítani, általában a böngésző címsorába beütve a 192.168.0.1-es címet máris egy pofás kis webes kezelőfelületre jutunk a belépést követően, de erre az átlag felhasználónak csak a beüzemeléskor van szüksége. Hát persze, hogy voltak gyártók, akik jó ötletnek gondolták, hogy a felhasználónak még csak ne is IP-címet, hanem egy hosztnevet kelljen nyájasan begépelni, mert az hülyebiztosabb. Így tett a TP-Link is, amelyik de facto standarddá tette a saját routerei esetén, hogy a beállítópanel a tplinklogin.net címen legyen elérhető. Fél fokkal növelt user experience, hol itt a probléma?

A tplinklogin.net hosztnév persze nem csak egy belső, routernek szóló név, hanem egy, a weben is létező szabályos domain név, amire ha valaki ellátogatott, TP-Link felhasználóként átirányította a böngésző a saját routere beállítópaneljének bejelentkező oldalára. Még egyszer: routerek milliói működnek így!

Erre olyan történt, amit olvasva néhány másodpercig csak néztem ki a fejemből: egyenlőre nem világos, hogy hogyan, de a nagy és okos TP-Link elfelejtette meghosszabbítani a tplinklogin.net domain nevet! Amire persze rögtön le is csapott egy domainbróker cég, de arról kicsit később.

Mit is jelent ez a gyakorlatban? A domain-lopás vagy domain-eltérítés az elképzelhető incidensek közül az egyik legpusztítóbb, hiszen ha valaki tudja módosítani például az example.org domain név DNS-rekordjait, a mögötte lévő webszerverhez, levelezéshez, minden szolgáltatáshoz hozzáférhet és módosíthat, ami az adott domain alá van bekötve. Ezért is nagyon fontos, hogy például magáncélra megbízható domain regisztrátort és névszerver szolgáltatót válasszunk. Míg egy olyan incidens esetén, amikor a domainnév egy adott nemzeti legfelső szintű domainnév alá tartozik, az adott országban könnyebb lépéseket tenni az elhappolt domain visszaszerzésére, ún. generic TLD-k esetén ez gyakorlatilag esélytelen nemzetközi vizeken.

Az Arstechnica néhány nappal ezelőtt számolt be arról a lehetséges forgatókönyvről, hogy a tplinklogin.net domaint ha olyan vásárolja meg, aki egy adathalász oldalt tákol mögé, a mit sem sejtő TP-Link felhasználók millióinak bejelentkezési adatait és beállításait lophatja el, ezt követően pedig ha átirányítja őket a router valódi bejelentkező felületére, hogy mindez ne legyen feltűnő. Ha első olvasásra annyira nem tűnne problémásnak, hogy valaki hozzáfér más nethozzáférési adataihoz, nos, írom, hogy innentől kezdve bármit megtehet az ügyfél nevében egy kis trükkel.

Viszont nem valószínű, hogy egy adathalász venné meg az elévülését követően azonnal felvásárolhatóvá vált domaint, mivel arra már lecsapott a SEDO domainbróker cég, amelyik a hírek szerint nem kevesebb, mint 2-3 millió dollárért árulja a nevet. A dolog pikantériája, hogy a SEDO-nál nem sok nagyobb féreg van a netes cégek világában, mivel kimondottan arra szakosodott, hogy olyan domainek tulajdonjogát szerzik meg, amik van éppen lejártak és várhatóan a valódi tulajdonosuk jelentkezni fog érte, ezen kívül olyan domainneveket is tulajdonolnak, amik esetleg nem is voltak használatban, viszont valószínűsíthető, hogy egy cég nemzetközi piacra lépése esetén levédené a saját nevét, amit ugyancsak a SEDO-n keresztül tudna majd megvásárolni. Persze annyiért, amennyit a SEDO kér érte.  

Hogy a domain brókerek világánál nem igazán van aljasabb a neten, ami még nem ütközik törvénybe, jól mutatja, hogy a domain brókerekhez általában eleve regisztrációs díj befizetése után lehet bejelentkezni, az ajánlattételhez plusz összeget kell fizetni, amit ugyancsak nem térítenek vissza, majd ezt követően mondják meg a tényleges árat, ráadásul gyáva módon, fedett identitással.

Visszatérve a TP-Linkre, nem világos, hogy egy ekkora cég hogyan lehetett annyira ostoba, hogy hagyta a nevet elévülni, mivel a regisztrátor a nevek lejárta előtt több figyelmeztetést is küld a domain név tulajdonosának. A TP-Link alighanem kénytelen lesz fizetni, de nem 10 USD-t, amennyibe kerülne egy éves hosszabbítás, hanem annyit, amennyit a SEDO kér tőlük.

Abban az esetben, ha egy adathalász szerezné meg a nevet, olyan esetben, ha valaki egy TP-Link routert beállításakor a tplinklogin.net címen lépne be, az történne, amit fentebb már ismertettem, csak akkor irányítódna át a normál bejelentkező felületre, ha a router még nincs csatlakoztatva a nethez, ilyen módon a tplinklogin.net adathalász oldal nem érhető el, mivel a router netkapcsolat nélkül nem tudná feloldani a címet.

Csak érzékeltetésképpen: mivel az ún. generic legfelsőbb szintű domainvégződésekre nem vonatkoznak olyan korlátozások, mint több nemzeti, adott ország domain-felügyelete alatt álló domainvégződésre, így számos nevet még a net hőskorában lefoglalták, majd egészen elképesztő összegekért adták tovább a tulajdonosoknak.

Ami a TP-Linket illeti, belegondolni is rossz, hogy az eszközök firmware-jeik mennyire lehetnek biztonságosak, ha ilyen előfordulhat. „Megbízható választás”, mit ne mondjak.