問:家用路由器的安全問題,一直都引起相當關注。德國有研究機構發現,多款常見牌子的家用無線路由器,都有各式各樣的漏洞,其中有一款中國牌子,歐洲售價接近二千港幣的型號,居然有三十二種不同類型的漏洞。其實家用路由器,為何會成為漏洞的溫床?
李建軍:企業級的路由器,廠商有專人根據企業的需要開發作業系統以及相關軟件,無論售前或售後的保安都更有保障。但家用路由器的利潤其實相當低,扣除處理器、發射器、天線等成本後,其實邊際利潤不大。所以這類路由器,一般會使用通用的Linux作業系統為基礎。而他們派出作保安支援的資源,亦會少得多。因此,家用路由器變成網絡保安一大問題殊不為奇,並不會因為你買貴一些的路由器,你的路由器保安就必然會更好更安全一些,這一切都視乎廠商的態度,以及你自己使用家用路由器時,有否作出額外的防護,令你上網上得更安全。
德國相關研究機構,只不過取得路由器的作業系統軟件,作自動化測試,都找出大堆漏洞,相信有實物在手時,能夠發現的漏洞數目就更誇張。換言之,家用路由器隱匿的漏洞,其實比我們現在知道的會有更多。
問:家用路由器現時發現最多的問題是甚麼?用家在使用習慣上留意甚麼,才能增加保障?要選擇相對安全的家用路由器,又應該留意甚麼?
李建軍:首先,盡量避免選擇中國品牌仍然是減少保安問題的最佳方法,這次針對德國市場的測試中,撇除電訊公司向客戶提供的路由器,如果以德國市面上買到的家用路由器而言,台灣和德國品牌相對安全一些,中國品牌的漏洞程度是最誇張。因此,買台灣、美國等國的品牌會安全一些,例外是一些已經由中國廠商控制的外國品牌——例如某些法國品牌其實是中國某大電視機廠的產品。購買前,最好先對品牌的背景和控制權多作研究,會比較安全。
另一方面,應該先看看不同測試報告,特別要參考海外保安機構的測試報告,這些測試報告會全面評估不同品牌路由器的問題,相對客觀一些。至於中國的測試報告,以中國現時缺乏言論及新聞自由的情況,其實參考作用不大,評論隨時會基於政治需要,明明知道保安問題超多,甚至有裝設木馬的路由器型號,都講到十分安全,這種情況相當普遍。因此,要研究路由器安全,其實都要翻牆,道理也在這裡。
至於使用習慣,最基本的動作就是重設個人密碼。家用路由器預設密碼往往是admin或123456之類簡易密碼,這類密碼完全起不到保密效果。因此當你將路由器帶回家開始投入使用時,都應另改密碼,以策安全。除此以外,預設自動更新軟件,也是必須做法,因為正常用戶,並不會經常瀏覽生產商的網站,自行手動安裝最新版的路由器軟件,但有時候,路由器軟件有必要盡快更新,否則將會有嚴重保安問題,最常見是Linux核心出現漏洞,或晶片設計出現漏洞,需要緊急用軟件來修補的問題。假如你選購的路由器無自動軟件更新功能,以現代的標準而言,這樣的設計其實是相當有問題。
問:我自己懂得安裝軟件,並且長期用VPN來翻牆上網。既然我能為路由器安裝VPN上網用的路由器軟件,我對家用路由器的保安要求是否就相對減低了?
李建軍:如果你的路由器可以自己換軟件,其實用VPN翻牆上網的路由器軟件,有可能比原裝的路由器作業系統更安全,因為有部分廠商為節省成本,使用過時的Linux核心,或未有及時更新部分驅動程式軟件,都是問題根源,而用作VPN上網用的路由器軟件,反過來更新更頻密,會安全一些。
不過,就算你會換上自己的路由器軟件,都不要選擇中國品牌的路由器,因為中國品牌的路由器,有可能不只軟件有問題,有可能硬件同時都有問題,為免自己的資料落入當局手中懵然不知,或令翻牆失敗,購買海外牌子的路由器仍是比較有保障。