Joyn Silver

Вобщем я тут пошумел, подумал, и решил. Что всем частникам я теперь буду рекомендовать туполинк или любую другую китайскую фигню, а в работе буду использовать либо микроты, либо то, на что можно накатить свободные прошивки. Почему я принял такое решение - во первых, мне не нравиться когда кто-то лезет со своими обновами ко мне без предупреждения, мне не нравиться когда кто-то меня тролит, как это было (смотрите на тех, кто мне отвечал и у кого тысячи сообщений на этом форуме). Не нравится что после последнего моего поста, мне так никто и не написал. Считаю что моя писанина здесь ничего не стоит. Мой тест в топку! Бесполезная трата времени, всем удачи! Пишите письма )))

Ну вот, наконец-то хоть что-то сдвинулось. Найти рекомендации по исправлению уязвимости не сложно в интернете. Но я конечно пришлю. Нужно же подготовить. Вообще спать хочу. Завтра еще тесты буду тестировать, у меня теперь есть свободный роутер после ваших обновлений )).

Ну возможно и правда, я же сразу оговорку сделал, что не проверял. Но есть пару выходных. А факт заключается в том что вы не исправили уязвимость, никак. Хотите пришлю меры по исправлению, там не много, всего несколько обязательных пунктов. Но не сегодня к сожалению, поздно, спать пойду. На будущее - это только начало, дальше будет хуже. Я проходил такое, все совершают ошибки, главное их вовремя признать.

Всем привет! Я тут немного шумел на форуме, возможно не по делу, но то что я писал, тоже важно. А теперь по делу. Заявленная критическая уязвимость CWE-521, ради которой нас тут всех принудительно обновили, предполагает что пользователь может создать любой пароль в интерфейсе и интерфейс это никак не контролирует (ну или слабо контролирует). Ок, да, так оно и было. Я мог свободно сделать логин и пароль admin/admin. Что мы теперь имеем по факту: 1. Всем принудительно обновили прошивку и исправили уязвимость CWE-521. 2. При простой проверке, оказалось что ничего не исправлено. Я как и раньше могу задать очень и очень слабый пароль. Кому интересно, можете погуглить какие требования к паролям должны быть после исправления такой уязвимости. В результате получаем, что принудительное обновление не решило ровным счетом ничего. Выводы все сами сделаете, и не надо на меня нападать, я уже заранее знаю что мне будут писать про то что с таким паролем не будет работать удаленный доступ (я не проверял, но это не долго проверить), и это не моя вина. Записал тут скринкаст, как я меняю пароли на обновленном принудительно роутере. А вообще можете сами у себя проверить. Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все! И еще, у меня тут выходные нарисовались, так что продолжение следует... keenetic-2025-11-29_01.58.59.mp4

К стати про счетчик голосований, просто это не счетчик в классическом понимании. Нужно ставить лайки, сам не сразу догадался и думаю многие не понимают.

Мне не нужны милиарды прошивок модифицированных на ротурах пользователей, я говорю про ОФИЦИАЛЬНЫЕ прошивки выложенные на сайте. Читайте внимательней. Конкретно в ветке /KN-2610/5.00/ выложено всего 24 прошивки, и вот для них где хеши, почему их нет? В чем проблема?

Вам посчитать сколько прошивок выложено официально? Да и зачем, можно начать с чистого листа, и для каждой прошивки хеш сделать.

Ну наконец то вернулись к тому с чего я начал все это. Это даст мне контроль, я буду уверен что никакой хакер или еще кто не подменил прошивку в роутере так что версия в вебморде осталась такой как и была. Если коротко, это чуть больше контроля за тем что происходит в роутере с прошивками. Тут вопрос не в нравиться или не нравиться, вопрос безопасности.

Хеш это не цифровая подпись, погуглите.

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно. Заняло это времени меньше секунды. И даже мой файловый менеджер предлагает сравнить хеш что указан на сайте, но его НЕТ!

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то. 2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

Сделали всем принудительно? Просто взяли обновили микроты удаленно?

Да там не микрот скорее прославился, а сам ржд.

Это никак их не оправдывает, не успокаивает меня и не отменяет возможности сделать то о чем я пишу. Да пусть что хотят делают, мне вообще уже пофиг.

Вот а потом будет другой разговор. Но пока и этого нет. Можно хеши и для компонентов сделать, но это можно и потом ))). И как говорит мой друг, потом, по японски - никогда )))

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители.

Это вопрос не ко мне, а к тем кто эти прошивки делает. Может такое уже и случалось, я же не могу проверить. Вот если бы выкладывали хеши вместе с прошивками, и при желании я мог бы сравнить хеш прошивки в моем роутере с хешем на сайте, тогда вопросов было бы меньше.

Да, все так и есть. Мне вчера прилетело. Я свои выводы сделал. Вопрос с кенетиком закрыт для меня. Пока не появиться чтото свободное для него, брать больше не буду. А вывод для меня такой: если они могут принудительно обновлять, то это очень плохо, ни чуть не лучше чем если его взломают хакеры. Так как в прошивку можно накидать чего угодно, организовать любой доступ и при этом можно сделать так что никто и не заметит, увы.

Я уж тут писал немного раньше. Хочу предложить предложение )). Проставьте пожалуйста хэши прошивок официальных. Объясню зачем лично мне это нужно. Вдруг кто-то сменит прошивку удаленно. Тогда я смогу выгрузить свою прошивку, прочитать ее хэш, и сравнить этот хэш с официальной. И если все ок, тогда и вопросов не будет. Так многие делают. Как мне кажется это норм. А то "седня" вы обновили, а завтра не известно кто.

Добавлю и свои 5 копеек по поводу случившегося. Два года назад у асуса была похожая проблема. Поэтому когда стал выбор купить новый роутер, решил купить кенетик. Видимо ошибся с выбором. Сейчас опять встает выбор, в другом месте и это не будет ни асус ни кенетик. Уточню что в важном для меня месте автобновление не произошло. Но в одном из офисов обновился, без последствий. Теперь по существу. Сказать что меня настораживает такое поведение вендора - ничего не сказать. И самое важное что бы я мог пожелать производителю, уберите эту возможность раз и на всегда. Иначе то что может случится, обязательно случиться. А случится может вот что. В один прекрасный день (ну или ночь), злобные хакеры сломают не пользователей вашего оборудования, а вашу систему обновлений, и вот тогда начнется самое веселье! Вспомните еще мои слова.