Các quy tắc bảo mật router mới của Đức đã bị chỉ trích mạnh mẽ

Văn phòng liên bang về an ninh thông tin của Đức, BSI, đã đưa ra các khuyến nghị trong tài liệu này (PDF), nói rằng họ muốn một "mức độ bảo mật có thể quản lý" và xác định các tính năng bảo mật mà họ tin là phải "sẵn có theo thiết kế và theo mặc định".

Tài liệu đã chỉ ra cách bảo vệ các router gia đình và căn hộ-văn phòng linh hoạt khỏi các cuộc tấn công trực diện trên internet, chi tiết như sau:

• Hạn chế các dịch vụ mặc định LAN/Wi-Fi với DNS, HTTP/HTTPS, DHCP/DHCPv6 và ICMPv6 và một bộ dịch vụ tối thiểu có sẵn trên giao diện công cộng (CWMP cho cấu hình, SIP nếu VoIP được hỗ trợ và ICMPv6);
• Đảm bảo các dịch vụ Wi-Fi khách không có quyền truy cập vào cấu hình thiết bị;
• Cài đặt mã hóa WPA2 làm mặc định tối thiểu với mật khẩu mạnh không bao gồm tên nhận dạng từ nhà sản xuất, kiểu máy hoặc địa chỉ MAC;
• Bảo vệ mật khẩu mạnh trên giao diện cấu hình, bảo vệ bằng HTTPS nếu nó có sẵn trên giao diện WAN;
• Các tính năng tường lửa là bắt buộc;
• Cấu hình từ xa phải được tắt theo mặc định và chỉ có thể truy cập thông qua kết nối được mã hóa và xác thực bởi máy chủ;
• Cập nhật firmware do người dùng kiểm soát với tùy chọn cho cập nhật liên tục theo thời gian thực.

Các hướng dẫn cũng lưu ý rằng khôi phục cài đặt gốc nên đặt router trở lại trạng thái mặc định bảo mật và tất cả dữ liệu cá nhân sẽ bị xóa khỏi thiết bị trong quá trình này.

Ngay lập tức, các quy tắc bảo mật mới đã bị chỉ trích mạnh mẽ.

Cụ thể, vào cuối tuần vừa qua, nhóm OpenWRT và Chaos Computer Club (CCC) đã hợp tác để chỉ ra các thiếu sót của khuyến nghị.

BSI cho biết các hướng dẫn kỹ thuật là kết quả của "hai năm" tư vấn với các nhà cung cấp, các nhà khai thác mạng và nhóm bảo vệ người tiêu dùng. OpenWRT và CCC cho rằng khuyến nghị tập trung quá nhiều nhà cung cấp và ít chú ý đến các mối quan tâm của họ.

OpenWRT đã xác định hai biện pháp bảo vệ người dùng quan trọng được cho là thiếu trong tài liệu của BIS. Nhà cung cấp phải cho người dùng biết họ dự định hỗ trợ các sản phẩm với các bản cập nhật bảo mật trong bao lâu; và khách hàng nên có quyền cài đặt phần mềm tùy chỉnh (như OpenWRT), "ngay cả sau khi hỗ trợ của nhà cung cấp chính thức kết thúc".

CCC cho biết họ tin rằng một kế hoạch được thiết kế để cung cấp cho người dùng "mức bảo mật tối thiểu" đã thất bại: "kế hoạch thực tế chỉ cung cấp mức bảo mật như mong muốn của các nhà sản xuất – chỉ khi họ quyết định tuân thủ chỉ thị".

Chaos lưu ý rằng không rõ chính sách sẽ chống lại các mối đe dọa như Heartbleed, Sambacry, hoặc botnet BCMUPnP được vạch mặt vào đầu tháng này như thế nào.

Hauke ​​Mehrtens từ OpenWRT cho rằng việc không cho phép người dùng tự do cài đặt firmware như OpenWRT "làm dấy lên những nghi ngờ rõ ràng về mức độ nghiêm túc trong ý chí của chính phủ liên bang đối với an ninh CNTT".

Mirko Vogt của CCC cho biết thêm, ông tin rằng các thiết bị giá rẻ và không an toàn có thể được xuất xưởng với một con dấu chứng nhận của BSI.

Tờ The Register cho biết, các sáng kiến ​​như thế từ BSI là đáng được hoan nghênh. Tuy nhiên, các ý kiến từ CCC là phù hợp, người dùng xứng đáng được biết, khi mua hàng, thời gian có khả năng nhận được hỗ trợ của thiết bị - vì điều đó gần như chắc chắn được các nhà cung cấp xem xét khi họ bắt đầu phát triển thiết bị.

Hỗ trợ cho firmware mở được cho là một sự xem xét thích hợp vào lúc này, và một trong những lý do để chặn nó trên các thiết bị không còn được hỗ trợ là để bảo vệ cơ hội của nhà cung cấp trong việc bán các bản nâng cấp mới.

“Chúng tôi cho rằng đã đến lúc các cơ quan tiêu chuẩn lập pháp nên tham gia vào lĩnh vực bảo mật. Không nên để các tổ chức quốc gia phải cố gắng một mình trong việc cải thiện an ninh người dùng.” Người phát ngôn chính thức của OpenWRT nhấn mạnh.