Я бачу ви без сумніву дивна людина, раз говорите такі нісенітниці . Бо захищати уразливості, в тому числі в мережевих пристроях, і списувати їх на фічі (доволі поширене явище у виробників ПЗ, а ви в даному випадку виступаєте як користувач таких пристроїв з таким ПЗ), захищати виробників-диродєлів та потурати їх багаторічному ігноруванню проблем безпеки - це дуже дивна позиція. Це стосується уразливостей в усіх веб додатках.

І нерозуміння тих чи інших уразливостей у веб додатках, в точу числі з WASC TC, до яких відноситься й адмінка мережевих пристроїв - це ваші проблеми, які варто вирішувати. Щоб не писати мені подібні нісенітниці. Й не потурати жодним виробникам дірявого ПЗ, будь то мережеві пристрої з адмінками, веб додатки чи інше ПЗ.

Вважати вразливістю пристрою його стандартну IP-адресу та лоджін/пароль при заводських налаштуваннях

Про уразливості класу Predictable Resource Location (WASC-34), які дуже давно відомі, ви можете почитати у відповідній документації та літературі. PRL відносяться як до адмінок веб додатків, так і адмінок пристроїв. Дуже мало на цей час є публічних веб додатків, що надають можливість (в тому числі під час інсталяції) змінити шлях до адмінки зі стандартного. Це найбільш забиваєма розробниками уразливість і при наявності авторизації та захисту від Brute Force це взагалі не проблема (тобто це лише додатковий елемент захисту, хоча іноді він може бути основним).

В мережевих пристроях те саме, тільки в основному пристрої дозволяють змінити його IP в адмінці (що дещо захистить від CSRF-атак, але не від локальних атак, де можуть просканувати різні IP), плюс ця опція доступна лише після інсталяції й особливо не використовується. Наявність стандартних логіна й пароля (це не PRL, але я відніс сюди, щоб “в купі” описати цю проблему), які не змінені, також розповсюджено - а для роботи пристрою це не потрібно, тому їх часто не змінюють. І так само наявність можливості змінити їх лише після заходу в адмінку, по бажанню, є ненадійним засобом - бо часто ігнорується. Тому потрібно, щоб була примусова зміна паролю після першої авторизації - як це вже зробив D-Link в DAP 1150, тобто до них нарешті вже дійшло.

Якщо стандартні логіни - це звичайна ситуація, то стандартні паролі не повинні використовуватися. Скільки ви знаєте веб сайтів з паролями по замовчуванню? Таких ви особливо не знайдете - тому що ще з кінця 90-х початку 2000-х всі CMS надають можливість змінити пароль адміна (а найбільш просунуті й логін). З чого ви взяли, що виробники мережевих пристроїв повинні мати адмінки на рівних веб додатків 90-х років, особливо коли зараз 2011 рік. Ось такі виробники “живуть на місяці”, а також ті дивні люди, що їм потурають.

А захист від атак “Brute Force” на пристроях такого (домашнього) класу…

Дірок бути не повинно, клас пристрою і його ціна - це не аргументи (для відмазки). Ще десь з початку 2000-х були безкоштовні опенсорсні CMS без BF уразливостей (захист був або вбудований, або через плагіни). Хто вам сказав, що пристрої які коштують гроші (й нормальні) повинні мати дірки, яких немає в безкоштовних веб додатках. При тому, що жодних дірок взагалі бути не повинно. При цьому собівартість розробки нормального не дірявого ПЗ для пристрою невисока, а при використанні його в мільйонах пристроїв (а якщо взяти різні моделі, де м.б. використане те саме ПЗ, то і в мільярдах) - взагалі нульова. І це при тому, що виробники пристроїв, як в даному випадку D-Link, не забувають додати вбудований Firewall та IPS в свої пристрої, в тому числі дешевого класу.

А ось наявність дефолтних паролів та Brute Force призводить до можливості занесення трояну у роутер, як в той же DSL-500T (про що розповідається в даній статті 2010 року). І цей аспект зовсім ігнорують виробники мережевих пристроїв.

Та ще й для пристрою, який було розроблено приблизно років вісім тому…

Цей пристрій 2005 року. По даним прошивки в цьому модемі. Тобто лише шість років. І вік пристрою не має значення, що тоді, що зараз таких дірок бути в пристроях не повинно. В 2011 році D-Link вже почала розбиратися з дефолтним паролем (тільки треба дещо покращити), як я вже писав. Тепер справа за виправленням Brute Force та CSRF.

Такі зауваження можна штампувати сотнями на день для всього обладнання класу SOHO

Такі дірки є і в пристроях більш дорогого класу й вони регулярно знаходяться і оприлюднюються. Хто сказав, що тільки дорогі пристрої варті, щоб про їхні дірки (в тому числі таких класів) писали - всі пристрої варті уваги, як і всі веб додатки, що в пристроях, що на веб сайтах, без виключень.