Miljoenen routers liggen onder vuur

Cisco-dochter Linksys publiceerde onlangs voor een van de getroffen apparaten een nieuwe versie van de besturingssoftware. Die update is uitzonderlijk, vertelt woordvoerder Ivar Beljaars. "Normaal wachten we tot we meerdere bugs kunnen fixen en nieuwe features kunnen meeleveren." In dit geval lopen echter miljoenen draadloze routers risico. Getroffen zijn onder meer de WRT54GS en de varianten daarvan. "Van dat type verschepen we er per maand 1,5 miljoen. Dat maakt de schaal van het probleem duidelijk." Voorlopig heeft het Californische bedrijf alleen de op Linux draaiende WRT54G gerepareerd; andere apparaten volgen. Een andere fabrikant, Zyxel, is volgens Hemel ook bezig met het repareren van het gat. Deze fabrikant zet UPnP standaard uit, weet hij. "Dat zegt echter niets. Consumenten vinden het juist makkelijk als het aanstaat. Dan werkt bijvoorbeeld MSN beter." Zombies Hemel stuitte bij toeval op het lek tijdens het ombouwen van een embedded Linux-file server. "Met een netwerksniffer zag ik deze UPnP-pakketjes voorbijkomen. Ik bestudeerde de specificaties van dat protocol en het bleek op een Linksys-router simpel om wat parameters aan te passen en daarmee de boel in het honderd te sturen." Volgens Hemel zijn vijf of zes regels Python-code en enkele libraries, verstopt in spyware of phishing-software, genoeg om het gat te misbruiken. De student zal op Sane dergelijke code tonen. De getroffen apparatuur wordt vooral ingezet door consumenten en het MKB. Juist die routers worden volgens Hemel ingezet voor zombie-netwerken en phishing. Ook kunnen er makkelijk websites mee worden omgeleid. "Dat is voor een beheerder veel lastiger op te sporen dan een virus op een pc." Bij Microsoft, grondlegger van het protocol, demonstreerde Hamel het probleem in januari. Technici oordeelden dat het lek zich slechts zou voordoen bij verkeerd geconfigureerde apparaten, aldus Hemel. Volgens een woordvoerder van Microsoft bestudeert het bedrijf het probleem op dit moment nog.