Český router Turris Omnia uspěl na crowdfundingovém serveru Indiegogo už v roce 2015. Místo požadovaných 100 tisíc dolarů vybralo sdružení CZ.NIC přes milion dolarů a projekt se stal nejúspěšnějším českým počinem na této platformě. Během akce CES Unveiled, která se v říjnu 2016 konala v Praze, byl router poprvé oficiálně představen i veřejnosti.
Turris Omnia - nový český router jde do světa.
Router, který se učí
V současnosti jej používají dva tisíce testerů v České republice a byla zahájena distribuce finálních výrobků přispěvovatelům z Indiegogo do celého světa. Nejvíce zájemců se zatím našlo v USA, Německu a pochopitelně u nás.
Během vývoje finální verze routeru probíhal a stále probíhá výzkumný program Turris. Do něj se může zapojit každý majitel Turrisu Omnia. Stačí, když k tomu dá při instalaci souhlas. Za to dostane diagnostiku provozu jeho sítě a případné okamžité, a tedy včasné odhalení anomálií, za kterými by se mohl skrývat nějaký útok. Ostatní uživatelé požívají plody tohoto nonstop výzkumu v podobě neustálého zdokonalování funkcí a záplatování děr, které dobrovolníci odhalí.
Stávající dva tisíce testovacích zařízení poskytly výsledky, které lze interpretovat jako varující. Přestože první routery vlastní především velmi pokročilí uživatelé a IT odborníci, bylo nutné během jednoho roku (většinou úspěšně) vyřešit několik desítek nákaz malwarem. Mezi napadenými zařízeními byly jak domácí počítače, tak mobilní telefony a NAS zařízení. Úspěšně napadeny byla až tři procenta účastníků výzkumu. Podle Bedřicha Košaty z CZ.NIC se tedy dá odhadnout, že „pokud jsou v ČR přibližně tři miliony domácích přípojek k internetu, je zde minimálně 30 tisíc domácností s nějakou formou nákazy. Spíše to však bude daleko více.“
Fakt, že v době internetu věcí (IoT) jen instalace antiviru nestačí, je zjevný. Stačí se ohlédnout za pátečním DDoS útokem, který částečně ochromil provoz na internetu nejen ve Spojených státech. Podle odborníků přitom útočila právě zařízení, která patří do takzvaného internetu věcí - televizní set-top boxy i webové kamery. Byl to historicky první takto masivní útok, který fyzicky neprovedly infikované počítače, ale spotřební elektronika.
Proč útočníci zneužili výkon právě těchto zařízení, je také nasnadě - neumí se bránit. Do chytrého termostatu nebo webkamerky antivir nenainstalujete. Útočníci přitom do svého botnetu dokážou zotročit samozřejmě i samotný router. Pokud používáte od výrobce nastavené vstupní údaje, nemají to ani nijak složité.
Bez hesla ...Počty zařízení v ČR se slabým heslem podle výzkumu Turris (nejde tedy o čísla pro celou ČR)
Část služeb je legitimně používaná pro přístup, ale velmi často jsou tyto přístupné z internetu omylem bez vědomí uživatele kvůli špatnému nastavení z výroby. Navíc se často jedná právě o domácí routery. Některé služby (jako třeba SMB a uPnP) by měly být určeny výhradně pro interní provoz, pro přístup z internetu se standardně nepoužívají. |
Každou hodinu útok
O zotročení IoT prvků se podle bezpečnostních expertů mohl postarat nedávno zveřejněný škodlivý kód Mirai. Během ročního testování v rámci výzkumu Turris napočítali vývojáři desítky tisíc zařízení a spojení se slabým, nebo žádným heslem.
Na jednom routeru Turris Omnia výzkumníci v průměru naměřili:
- Jeden útok na Telnet každých deset minut (Telnet je protokol používaný v počítačových sítích, který pomocí stejnojmenné aplikace umožňuje uživateli připojení ke vzdálenému počítači)
- Čtyři útoky na SSH za den (SSH je zabezpečený komunikační protokol v počítačových sítích, které používají TCP/IP. TCP/IP je hlavním protokolem celosvětové sítě internet)
- Dva pokusy o neoprávněný přístup na webové rozhraní routeru za hodinu
- Tři útoky na FTP za den (FTP je protokol pro přenos souborů mezi počítači pomocí počítačové sítě)
- Jeden útok na sdílení souborů Windows za hodinu
Podle zástupců CZ.NIC lze z naměřených dat předpokládat, že slabě, nebo jinak špatně nastavené zařízení s výchozím heslem výrobce bude kompromitováno útokem v řádu maximálně hodin. Celosvětové výsledky spojené s botnetem Mirai najdete v tomto článku.
„Z dat, která máme k dispozici, odhadujeme, že v Česku je v tuto chvíli přibližně tři tisíce zařízení součástí botnetu Mirai. Jsou to CCTV kamery i domácí routery a další zařízení,“ říká Košata z CZ.NIC. „Celosvětově jsou to miliony přístrojů.“
Trochu jiný router
Zdá se tedy, že nový český router evidentně přichází na trh v pravou chvíli. Otázkou je, zda skutečně zvládne všechny nástrahy, zda opravdu dokáže uživatelům pomoci s identifikací možných hrozeb (nejen těch stávajících) a jak bude odolný proti vyhlašování falešných poplachů. Ty totiž dříve či později udolají i toho nejpozornějšího uživatele.
Od běžných routerů za pár stokorun se značně odlišuje (a to nejen vyšší cenou, podle verze stojí 7 600 až 8 800 korun). Zatímco „normální“ router stačí zastrčit do zásuvky a můžete na web, Turris vás nejprve provede celým systémem a zabezpečením vaší domácí sítě.
Zajistí například, že jeho operační systém TurrisOS je opravdu aktuální a nikoliv s již objevenými chybami, které už několik měsíců využívají útočníci. Málokdo si totiž uvědomuje, že pokud si zakoupí router (nebo jakýkoliv jiný kus hardwaru), tak od jeho výroby uběhlo klidně i půl roku a firmware, který do něj výrobce tehdy nahrál, je už z pohledu bezpečnostního rizika zastaralý. Turris proto ihned po připojení zkontroluje, zda neexistuje nová verze a tu nainstaluje. Na vývoj není jen sám výrobce, ale pomáhá i oněch zhruba dva tisíce testerů v ČR (a další přibývají po celém světě) v rámci již zmíněného výzkumného programu Turris. Aktuálnost OS pak pravidelně automaticky kontroluje.
Turris Omnia samozřejmě umožňuje vytvářet VPN sítě a šifrovat data, která přes ně prochází. Aby šifra byla neprolomitelná, musí generátor náhodných čísel generovat skutečně náhodná čísla. Proto má v sobě Omnia dedikovaný kryptočip. Běžné routery přitom většinou tento problém řeší jen softwarově, a tedy ne tak dokonale.
Turris Omnia je vybaven aktuálně nejmodernější wi-fi standardu 802.11 ac a je zpětně kompatibilní se staršími verzemi b,g,n,a. Připojení k internetu si můžete „pojistit“ vložením SIM karty (a vložením PCIe modemu). Hardware routeru má modulární konstrukci s PCIe sloty, díky kterým lze Turris kdykoliv v budoucnosti osadit modernějšími komponentami. Skrze SPF modul lze router připojit přímo k optické síti bez nutnosti dalšího externího převodníku.
Router je vybaven dvěma USB 3.0 porty a hybridním mSATA/miniPCIe slotem. Lze jej tak využít i například jako NAS server. Výrobce zároveň slibuje, že rychlost přenosu přes USB není u Turrisu omezena, jak je tomu kvůli nízkému výkonu u „běžných“ routerů.
