För den tyska regeringen kom droppen i slutet av 2016 då den brittiske hackern med pseudonymen BestBuy försökte ta över Deutsche Telekoms routrar, men på grund av en klantig uppdatering av den inbyggda mjukvaran på kuppen lyckades sänka nästan en miljon routrar i hela Tyskland.

Som ett svar på problematiken kring dåligt konfigurerade routrar har regeringen i Tyskland, via myndigheten Bundesamt für Sicherheit in der Informationstechnik (BSI), lagt fram ett förslag på grundinställningar och konfigurationsmöjligheter som alla routrar som i framtiden kommer säljas i Tyskland måste uppfylla. Kraven ska gälla alla så kallade soho-routrar, alltså bredbandsroutrar för småföretag och hemmakontor, skriver ZDNet.

Listan på krav är lång, den kompletta listan på föreslagna regler finns här, men ett utdrag av de viktigaste kraven finns i slutet på denna artikel.

Reglerna har tagits fram i samarbete med routerleverantörer, tyska bredbandsleverantörer och den tyska hårdvaruindustrin, men har redan stött på kritik från den tyska hackerorganisationen Chaos Computer Club (CCC). I ett blogginlägg (på tyska) menar CCC att förslaget är "en fars”.

Enligt CCC deltog de i möten som ledde fram till kravlistan tillsammans med medlemmar ur utvecklingsgruppen kring den öppna routermjukvaran OpenWRT, men menar att lobbygrupper som representerar telekomindustrin har lagt avsevärd energi på att sabotera regelverket. De krav som CCC och OpenWRT hade velat se på kravlistan, som de anser vara mycket viktiga, togs inte med.

Det ena av dessa krav säger att det ska framgå på förpackningen av routern när den inbyggda mjukvaran går ut, alltså ett slags bäst-före-datum, och det andra kravet gällde att användarna ska få tillåtelse att installera alternativa mjukvaror om den ursprungliga leverantören slutar stödja produkten med nya uppdateringar, eller överger den helt och hållet, så kallad End-of-Life (EoL).

Diskussionerna kring kravlistan kommer att fortsätta innan den slås fast. I oktober införde Kalifornien ett lagkrav på starka inloggningsuppgifter i grundinställningarna för IoT-enheter, vilket innefattar bredbandsroutrar.

Ett utdrag av de viktigaste kraven BSI ställer på nya routrar är följande:

  • Endast tjänster som dns, http, https, dhcp, dhcpv6 och icmpv6 bör vara tillgängliga på lan- och wifi-gränssnitten.
  • Om routerns wifi har ett gästnät får detta inte tillåta tillgång till konfigurationen.
  • ESSID bör inte innehålla information om själva routern, som leverantörsnamn eller routermodell.
  • Routern måste stödja WPA2-protokollet som grundinställning.
  • Wifi-lösenordet måste vara minst 20 tecken långt.
  • Wifi-lösenordet får inte innehålla information om själva routern, som tillverkare, modell, mac-adress och liknande).
  • Routern måste tillåta att autentiserade användare får ändra wifi-lösenordet.
  • Inställningarna för wifi-lösenord ska inte visa en mätare för styrkan på lösenordet eller tvinga användaren att använda vissa tecken.
  • Efter den initiala konfigurationen får routern inte tillåta trafik på wan-sidan annat än för protokollen cwmp tr-069, sip, sips och icmpv6.
  • Routrar får endast öppna för cwmp om bredbandsleverantören har möjlighet att konfigurera routern på distans.
  • Lösenordet till konfigurationspanelen måste vara minst åtta tecken långt och ha en viss komplexitet med stora och små bokstäver, specialtecken och siffror.
  • Lösenordet till konfigurationspanelen får inte innehålla information om själva routern, som tillverkare, modell, och så vidare.
  • Routern måste tillåta användaren att ändra det medföljande lösenordet.
  • Lösenordsbaserad autentisering måste kunna stå emot lösenordsattacker.
  • Routern får inte levereras med odokumenterade bakdörrar.
  • Som grundinställning får tillgång till konfigurationspanelen endast ske från lan-sidan.
  • Om leverantören vill öppna för konfiguration från wan-sidan, måste detta ske över tls.
  • Användaren måste ges möjlighet att ändra tcp-porten för konfiguration från wan-sidan.
  • Administrationspanelen måste visa den gällande versionen av den inbyggda mjukvaran.
  • Routern måste varna användaren om den inbyggda mjukvaran är för gammal eller inte längre gäller.
  • Routern måste spara och visa loggen för den senaste inloggningen.
  • Routern måste visa status och aktiva regler för brandväggen.
  • Routern måste visa alla aktiva regler per gränssnitt.
  • Routern måste stödja återställning till grundinställningarna.
  • Routern måste stödja dhcp för lan och wifi.

Läs också:
116 modeller av hemmaroutrar i nyupptäckt botnät – här är hela listan
Nytt säkerhetshål: ipv6-paket kan sänka din Linux-server