【零壹易悟】言卂隱士｜應對路由器安全風險｜大紀元時報香港

資訊安全怱略了路由器

資訊安全是一個極不對等的遊戲，要贏必須守住所有環節，任何一環缺失，你便輸了。可惜很多人對有多少個環亦未搞清楚。當大部份人將資訊安全精力集中在電腦上，卻忽略了路由器（Router）的安全。路由器是你家中裝置與互聯網溝通的「中間人」，角色極為重要。有人將它比喻成兩個不同語言的人在溝通，路由器擔當著翻譯者的角色。今時今日大部份用家使用的都是有Wi-Fi功能的路由器，它額外擔當了無線通訊保密的角色。這個「中間人」不稱職又或被人控制，你可能在毫不知情下被出賣。路由器絕非一個簡單的晶片盒子，其內藏核心作業系統及軟體，幾本上是一台電腦。以往路由器是一件專業的裝置，但隨着互聯網普及化已變成一般消費品，便宜的兩三百元有交易兼附送Wi-Fi，互聯網服務商亦大多向用戶送贈路由器。普及化亦同時帶來使用簡單化，例如「一插即用」，一按「WPS」鍵將範圍內裝置簡單加入網絡，一按「Reset」鍵可重設，又可插入儲存裝置方便內聯網分享資料等等。方便往往與風險對立，方便了用家之餘同時亦方便了不法之徒。

安全漏洞多不勝數

不可或缺的家用路由器有甚麼風險？簡單來說就是安全漏洞百出，實可稱之為黑客恩物。讀者只要上網查一查便一目了然。路由器消費品化後，製造商面對價值衝突，一方面希望客戶常常購買新型號，另一方面卻要維繫舊有裝置，選擇已明顯不過。德國通訊協會研究指九成路由器核心是使用Linux系統，Linux系統不斷修補漏洞，但製造商對更新核心系統毫不積極，標準低下。去年12月，德國IT老牌雜誌CHIP測試九大牌子的熱門Wi-Fi路由器，共發現226個安全風險漏洞，最多的一個是TPLink某型號，有多達32個。所有測試的路由器都有嚴重安全弱點可讓黑客入侵，有些漏洞更可令黑客抽取加密鎖匙。部份製造商在被告之安全漏洞後，提供更新但仍無法修補所有漏洞。

另一方面是用家不積極管理風險。有統計指超過一半人從來沒有登入路由器並檢視設定，超過七成用家從來不更新路由器韌體，連最基本的管理人登入沿用原廠設定。路由器「中門大開」，除了個人私隱及資料安全受到威脅之外，還間接助長黑客活動。去年法國國家資訊安全部公佈中國黑客組織ATP 31利用安全漏洞挾持家用路由器成為「殭屍網絡」（botnets）進行網絡攻擊。截稿時美國安全部剛剛公佈中共支持的黑客組織利用路由器軟件漏洞入侵數家大型通訊商，同時警告網絡安全維繫者不要忽視相關裝置。

更換及設定以控風險

所以用家必須採取積極行動管控風險，尤其是有Wi-Fi的路由器。對於私隱及資訊安全要求較高的用家，最好選擇商用級別路由器，但價錢較昂貴，同時需要有相關技術知識才可設計定及管理。一般用家可以採取以下步驟。首先登入路由器嘗試刷新韌體，若最新的韌體已超過兩年，基本上這個路由器已經過期，建議更換，更換前應查找目標型號最新的韌體日期。用家應定期檢查並更新韌體。將管理人預設名稱更改，並重新設定一個強密碼。設定網絡名稱（SSID）不能透露任何資料，最好是隱藏SSID不廣播。任何裝置登入網絡必須要求密碼，小微企業用戶必須定期更改密碼，若有任何員工離開必須即時更改，並啟動記錄所有登入。路由器應放置於安全的地方，不讓任何人輕易接觸重設及WPS鍵。有需要應設定需要密碼登入的訪客網絡，訪客網絡與內聯網絡分開，減低資訊洩漏風險。若路由器支援，應選擇最新的WPA3加密標準。Wi-Fi 訊號最好只覆蓋使用範圍，盡可能安放於可阻隔外界偵測網絡的範圍，盡量使用5GHz波段，除了速度高外範圍亦較集中且容易被阻隔。避免路由器24小時長開，不使用時應關掉路由器，尤其是晚凌晨至早上是不法分子活躍的時段。抄下你所有要使用Wi-Fi的裝置的MAC並設置白名單，將路由器設定為只容許白名單使用。未來有大量物聯網裝置要連上Wi-Fi，這些裝置大多安全性不高，在可行的情況下應使用訪客網絡。

還有一些更高級別的控制風險手法例如使用VPN路由器，將韌體更換成開源版本，利用網上軟件測試路由器風險漏洞等。篇幅所限，這裏只能涵蓋一些基本，希望引起大眾對家中路由器安全的關注。有興趣的讀者可上網查找更多資訊。◇