Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено Пятница в 17:36 пользователем F2QYQ

[keenet07]

Хм. Я думал мне показалось. Но тоже заметил, что раньше роутер пытался выйти на сервера обновлений только когда ты находился на странице Параметры системы или на дашборде, потому-что там это было необходимо для проверки обновлений. А теперь он туда лезет независимо от того в каком меню ты находишься. Весь лог забило сообщением Core::Ndss: [22557] cannot connect to the server. потому-что доступ закрыт. Что-то для чего-то изменилось.

Автообновление у меня отключено. 

В самом конфиге, тоже всё нормально

components
    auto-update disable

@Le ecureuil Не подскажите почему так?

PS: Внесу поправку и дополнение к своим словам выше. Оказалось, что единожды перейдя на дашборд или на страницу Параметры системы роутер начинает попытки установить соединение с серверами обновлений. И т.к. сервера не отвечают (блокирую их, когда они мне не нужны), то роутер каждые 10 сек пытается повторно установить соединение и также каждые 10 сек пишет об ошибке в журнал. Раньше достаточно было перейти со страницы Параметры системы или с дашборда перейдя на другую страницу интерфейса и попытки полностью прекращались. А теперь, не уверен точно с какой версии прошивки, роутер не останавливает этот процесс, а продолжает попытки каждые 10 сек. И просто забивает этим весь журнал событий.

Отмечу, что если перезагрузить роутер и не заходить на дашборд и в Параметры системы, а зайти с какой-то другой страницы, то процесс обращения к серверам сам не начинается. Во всяком случае 2 дня у меня, судя по логу, роутер продержался без этих попыток. Как только вышел на дашборт, снова начались попытки коннекта и сообщения в журнал.

Я и раньше просил как-то сделать этот процесс отключающимся и даже уже приспособился просто по долгу не находиться ни на дашборде ни в параметрах, возможно это ещё так же касается и страницы Приложения, но теперь с этим изменением у меня и выбора вообще никакого не осталось. Выход один, перезагружать устройство. Крайне не удобно.

@Anna_

А решение есть. На дашборде в настройках плиток можно добавить пункт с галочкой отключения "Автоматическая проверка обновлений" для самого дашборда, а на самой плитке "О системе" там где версия добавить кнопку-ссылку "Проверить обновление" в случае когда эта галочка снята.

В параметрах системы, тоже  в блоке "Обновление и компоненты KeeneticOS" добавить кнопку "Проверить обновление". В Приложениях тоже что-то придумать.

Я понимаю, что всё это слишком геморно для внедрения. Автоматическая проверка удобна для интерфейса. Но вот, как видите, тоже создает большие неудобства. 

Просто чем меньше роутер лезет куда не просят и когда не нужно сам, тем лучше и спокойнее. Подобные вещи должны отключаться. Просьба обсудить и как-то пересмотреть этот функционал.

Изменено вчера в 20:47 пользователем keenet07
дополнено

[Migel]

10 минут назад, F2QYQ сказал:

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на оборудование другого вендора

Уточните на каких конкретно устройствах это произошло и с какой на какую прошивку обновились устройства.

[F2QYQ]

Вот отсюда вверх и вниз:
https://t.me/Netcraze/1077114

 

Изменено Пятница в 17:45 пользователем F2QYQ

[antialt]

100% репутацию вы свою подмочили, шаг мягко говоря странный. А в свете всяких списков, блокировок и слежек, так вообще "во время"... 

[krass]

8 часов назад, keenet07 сказал:

Хм. Я думал мне показалось.

Не показалось. 
Я бы написал в этой теме всё, что думаю по этому поводу...но пока пережду пока перестанет бомбить...( иначе забанят)

Надеюсь разработчики пояснят . А пока это выглядит очень-очень некрасиво!

[mesb]

Сам факт что владельцев ткнули носом что галка обновления на самом деле не влияет ниначто - удручает.

Что там ещё в таком режиме нас ждёт большой вопрос сразу возникает.

И ладно бы если заявили свои железки как облачную сосню, но тут-то зачем так поступать.

[bigpu]

8 часов назад, mesb сказал:

ткнули носом что галка обновления на самом деле не влияет ниначто

кейс любопытный, но где почитать за подобные погоны на плечи? 

[krass]

18 минут назад, bigpu сказал:

кейс любопытный, но где почитать за подобные погоны на плечи? 

https://t.me/Netcraze/1076907

https://t.me/Netcraze/1076893

В телеграме. Там несколько сообщений было...если их не удалили.

P.S. Вот что быстро нашлось....

Спойлер

Добрый день, подскажите, стояла версия прошивки 4.1.7 сейчас сам роутер обновился до версии 4.3.6.3. Автообновление отключено. Почему он сам обнову поставил?

Такая же история. Обновился сам до 4.3.6.3, хотя стоит запрет на авто обновление

 

 

Изменено Суббота в 18:05 пользователем krass

[bigpu]

19 минут назад, krass сказал:

В телеграме. Там несколько сообщений было...если их не удалили.

Спасибо, глянул, возможно и удалили, но не увидел именно "ткнули носом что галка обновления на самом деле не влияет ниначто"

Хотите сказать, вместо извинений и объяснений, отморозились и только?

[krass]

22 минуты назад, bigpu сказал:

Спасибо, глянул, возможно и удалили, но не увидел именно "ткнули носом что галка обновления на самом деле не влияет ниначто"

Хотите сказать, вместо извинений и объяснений, отморозились и только?

Ух...у меня много сейчас мыслей вертится.
Но предлагаю дождаться ответа от разрабов здесь. А в телеграме я пролистал -- нету пояснений...лишь ссылка на  https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43

Вот если нас заигнорят...вот тогда ,думается, всем станет понятно...что и как.
 

[VadimS]

Я так понимаю, что кроме ответа выше мне в телеге больше ответа от компании не будет. Или это было сбоем (что тоже не радует совсем) или принудительное обновление остановили, поняв, что так делать всё-таки нельзя и скандал будет еще сильнее.

Доверия, конечно, больше нет.

[White_Dragon]

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

[Namenloss]

1 час назад, White_Dragon сказал:

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

"Не нравится, не держим, неблагодарные, мы тут про безопасность думаем, при включении мобильного приложения тащим к себе все в облако, а после спустя 2 года публикуем про бреши в системе, что еще надо? А тут обновили принудительно ради безопасности, и не довольны. И так не подходит и так не подходит, Вам что TOTP/2FA сделать? Так у нас устройства не умеют время "держать", зайти не сможете потом еще"....

""Это наша заправка"(с) и мы ее обновляем как нам захочется..."

[gaaronk]

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

[krass]

16 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

"Ваше устройство уже вам не принадлежит".
А сколько применений маркетинговых этому есть, даже если отставить параноидальные опасения.

P.S. отвечая на ваш вопрос --скорей всего нет. А зачем?

Изменено вчера в 15:17 пользователем krass

[krass]

39 минут назад, gaaronk сказал:

Надеюсь они следовали своим же рекомендациям и сохранили резервную копию прошивки и конфига переде обновлением. Нужен сайт где свои резервные копии можно скачать.

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

Изменено вчера в 15:40 пользователем krass

[and0r]

5 часов назад, krass сказал:

Тут надо было не обновлять насильно, а сделать анонс на сайте/форуме/телеграме/rmm/еще где-то
оповещение о данной проблеме.
 

А тут отношение как к младенцу или не дееспособному, когда за него решают что делать!

Перефразируя: Люди, которые ради безопасности отказываются от свободы -- теряют и свободу и безопасность.

 

P.S. до официального подробного объяснения этой ситуации --сменил роутер на другой с ,естественно, другой прошивкой. 

P.P.S. Закупки и рекомендации продукции keenetic/netcraze также временно приостановлены. ( да, это "капля в океане", но если так сделают многие -- нас могут услышать)

P.P.P.S. С уже имеющейся продукцией --будем применять костыли для недопущения таких сюрпризов.

второй Анонс за год делать на тему безопасности - это они  постеснялись..  Лучше втихую,  "по-нашему"   из под куста  )))

А такое  отношение,  как к детям "снисходительно-покровительственное",  я наблюдаю во многих сферах деятельности на просторах  СНГ.   Если   обратился  за услугой , или купил товар  -   автоматически ты пользователь, который  не компетентен в вопросе, и  исполнителю (продавцу)   лучше знать , что  тебе нужно.. 

А право голоса ищущего,  заканчивается сразу после  внесения  денег "в Кассу"

Изменено вчера в 20:35 пользователем and0r

[C-M]

Уважаемые @keenet07 и @krass

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 
 

Изменено вчера в 21:17 пользователем C-M

[keenet07]

57 минут назад, C-M сказал:

подскажите пожалуйста, какие DNS имена надо блокировать чтобы роутер к серверам C&C обновлений не ходил? 

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

[C-M]

8 hours ago, keenet07 said:

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

спасибо!

Ту статью посмотрел, но к сожалению даже в web.archive она изначально без ссылок. Возможно, что была по другому адресу.

В теме про диагностичесй модуль нашёл только ndss.keenetic.ndmsystems.com (а сейчас есть ещё ndss.keenetic.ndmsystems.ru).

Ну и из уже известного ndss.keenetic.com / ndss.keenetic.net / ndss.netcraze.ru

Буду признателен, если сможете что-то ещё подсказать. 

 

PS: ещё знаком с неувядающей классикой "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей" ... видимо такой большой список, что надо куда больше усилий, чем фильтровать регулярные release notes 🤣

Изменено 17 часов назад пользователем C-M

[krass]

https://habr.com/ru/news/967370/

 

Производитель роутеров Keenetic принудительно обновил все устройства из-за массовых взломов.

 

 

[keenet07]

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

• Реализован виртуальный сетевой интерфейс Dummy для задач маршрутизации, управляемых провайдером, а также для моделирования, тестирования и других целей. [NDM-3958]

 

Если это ставится и присутствует по умолчанию, то лучше бы чтоб была возможность удаления и отключения этих вещей.

Изменено 14 часов назад пользователем keenet07

[krass]

Только что, keenet07 сказал:

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

[hoaxisr]

1 час назад, krass сказал:

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

https://habr.com/ru/news/967370/

 

Комментариев от производителя традиционно не ожидается. Возможно через пару лет придумают какой-то пресс-релиз. 

[AlexHomeUser]

20 часов назад, White_Dragon сказал:

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

Поддерживаю. Если бы мне было пофиг, что производитель делает с моим девайсом, я бы купил ноунейм с Али за три копейки.

Когда выбирал устройство, подкупило наличие базы знаний, сообщества, продуманная прошивка и неплохая техподдержка. Не жалко было денег! Если бы знал про такие бэкдоры - купил бы что-то другое.

[Leoo]

Прилетело обновление на устройство с выключенным авто обновлением =))))))
Ultra (KN-1810)» с «4.3.6» до «4.3.6.3». Сложный пароль, вход извне закрыт.

Я не просил об этом.

[Vladr]

5 часов назад, AlexHomeUser сказал:

бы купил ноунейм с Али за три копейки.

О да! Там никаких бэкдоров конечно не будет, как и хоть каких-то вменяемых инстументов рулить роутером, кроме как самый самы минимум на уровне dir-300

[drugold]

А вот, что ASUS пишут:

[krass]

3 минуты назад, drugold сказал:

ASUS

На ASUS уже давно ставят форки от Merlin и Gnuton!!!
там есть решение.
Я думаю найдут управу и на кинетик/неткрейзик.

P.S. А вообще ,странный аргумент : " а вот они, а вот у них".
P.P.S. Когда ломанули микроты, они не стали всем обновлять прошивку, а максимально оповестили на различных ресурсах о проблеме.
Кинетики же считают своих пользователей за "идиотов" ( в лучшем случае).

Изменено 7 часов назад пользователем krass

[Vladr]

2 минуты назад, drugold сказал:

А вот, что ASUS пишут:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Вот что так явно не написали предупреждение, чтобы прикрыться от подобного негатива, да, косяк. Думаю, по Вашей подсказке поправят, чтобы не было в будущем подобного шума