Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[C-M]

8 hours ago, keenet07 said:

Раньше некоторые служебные домены упоминались вот в этой статье.

https://help.keenetic.com/hc/ru/articles/360002426860-Служебный-трафик

Сейчас этой информации там нет, их можно найти в теме в которой мы воевали за отключение телеметрии "Возможность отключения диагностического модуля"

Но знание домена это только начало пути.

спасибо!

Ту статью посмотрел, но к сожалению даже в web.archive она изначально без ссылок. Возможно, что была по другому адресу.

В теме про диагностичесй модуль нашёл только ndss.keenetic.ndmsystems.com (а сейчас есть ещё ndss.keenetic.ndmsystems.ru).

Ну и из уже известного ndss.keenetic.com / ndss.keenetic.net / ndss.netcraze.ru

Буду признателен, если сможете что-то ещё подсказать. 

 

PS: ещё знаком с неувядающей классикой "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей" ... видимо такой большой список, что надо куда больше усилий, чем фильтровать регулярные release notes 🤣

Изменено 18 ноября пользователем C-M

[krass]

https://habr.com/ru/news/967370/

 

Производитель роутеров Keenetic принудительно обновил все устройства из-за массовых взломов.

 

 

[keenet07]

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

• Реализован виртуальный сетевой интерфейс Dummy для задач маршрутизации, управляемых провайдером, а также для моделирования, тестирования и других целей. [NDM-3958]

 

Если это ставится и присутствует по умолчанию, то лучше бы чтоб была возможность удаления и отключения этих вещей.

Изменено 18 ноября пользователем keenet07

[krass]

Только что, keenet07 сказал:

Вот не через этот ли функционал это было сделано?

• Мы расширяем нашу программу поддержки интернет-провайдеров, реализовав поддержку модели данных TR‑098 в рамках протокола CPE WAN Management Protocol (CWMP). Эта функция доступна по запросу. Обратитесь в нашу службу поддержки (help@keenetic.ru) для получения дополнительной информации. [NDM-3870]

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

[hoaxisr]

1 час назад, krass сказал:

Вполне возможно.
Меня больше "удивляет" молчание сотрудников кинетика...

https://habr.com/ru/news/967370/

 

Комментариев от производителя традиционно не ожидается. Возможно через пару лет придумают какой-то пресс-релиз. 

[AlexHomeUser]

20 часов назад, White_Dragon сказал:

Голосую за отключение автоматического обновления. Я покупал за оверпрайс оборудование не для того, чтобы кто-то его удалённо обновлял без моего ведома. И так с каждым обновлением кучу всего наметили, что приходится сидеть на старых версиях.

Поддерживаю. Если бы мне было пофиг, что производитель делает с моим девайсом, я бы купил ноунейм с Али за три копейки.

Когда выбирал устройство, подкупило наличие базы знаний, сообщества, продуманная прошивка и неплохая техподдержка. Не жалко было денег! Если бы знал про такие бэкдоры - купил бы что-то другое.

[Leoo]

Прилетело обновление на устройство с выключенным авто обновлением =))))))
Ultra (KN-1810)» с «4.3.6» до «4.3.6.3». Сложный пароль, вход извне закрыт.

Я не просил об этом.

[Vladr]

5 часов назад, AlexHomeUser сказал:

бы купил ноунейм с Али за три копейки.

О да! Там никаких бэкдоров конечно не будет, как и хоть каких-то вменяемых инстументов рулить роутером, кроме как самый самы минимум на уровне dir-300

[drugold]

А вот, что ASUS пишут:

[krass]

3 минуты назад, drugold сказал:

ASUS

На ASUS уже давно ставят форки от Merlin и Gnuton!!!
там есть решение.
Я думаю найдут управу и на кинетик/неткрейзик.

P.S. А вообще ,странный аргумент : " а вот они, а вот у них".
P.P.S. Когда ломанули микроты, они не стали всем обновлять прошивку, а максимально оповестили на различных ресурсах о проблеме.
Кинетики же считают своих пользователей за "идиотов" ( в лучшем случае).

Изменено 18 ноября пользователем krass

[Vladr]

2 минуты назад, drugold сказал:

А вот, что ASUS пишут:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Вот что так явно не написали предупреждение, чтобы прикрыться от подобного негатива, да, косяк. Думаю, по Вашей подсказке поправят, чтобы не было в будущем подобного шума

[hoaxisr]

1 минуту назад, drugold сказал:

А вот, что ASUS пишут

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему, а потом провести уже закрытие дырок и у людей ничего бы не подгорело. Но как часто бывает - "нишмогла".

 

А уж у секты правоверных так вообще все отлично, им куколдизм помогает верить в непогрешимый гений производителя, который за столько лет не сподобился имя привилегированного пользователя научиться изменять. 

[Vladr]

2 минуты назад, krass сказал:

На ASUS уже давно ставят форки от Merlin и Gnuton!!!

а на другие ставят снапшоты кинетика. На них тоже управу ищут? Причем тут это?

[hoaxisr]

1 минуту назад, Vladr сказал:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

🤔

[keenet07]

А лучше сделать выбор между тремя режимами.

1. Автоматическое обновление включено

2. Только критически важные обновления (по умолчанию)

3. Автоматическое обновление отключено.

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Основная масса даже не зайдет в эту настройку и у них останется пункт 2.

А те кому нужно могут отключить принудительное обновление.

Изменено 18 ноября пользователем keenet07

[Vladr]

2 минуты назад, hoaxisr сказал:

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему

и где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

[hoaxisr]

2 минуты назад, Vladr сказал:

 

 

 

Только что, Vladr сказал:

где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

[Илья Хрупалов]

1 час назад, hoaxisr сказал:

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

2 часа назад, hoaxisr сказал:

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

[hoaxisr]

30 минут назад, Илья Хрупалов сказал:

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

А никакой.

Первое. У меня из РФ эта страница не открывается. Необходимо использовать обходные пути. 

Второе. Кинетик какое отношение имеет к операциям в ЕАЭС? Сами же недавно пресс-релиз выпустили, что Неткрейзи стали. Нет?

Третье. Если вы действительно заботитесь о безопасности - почему нельзя изменить гвоздями прибитого admin?

Четвертое. Какое отношение законодательство ЕС на которое вы ссылаетесь в этом релизе имеет к пользователям в ЕАЭС?

Пятое. Действуйте, пожалуйста, последовательно. Разделились - дайте такое же уведомление на сайте Netcraze. Это быстро и снимает все предыдущие вопросы.

 

UPD.: Смог открыть ссылку, действительно в этот раз вам хватило оперативности сообщить о планируемом принудительном обновлении ОС на устройствах всего лишь через 4 дня после его проведения. Действительно, существенный прогресс, в этот раз вам не потребовалось 2 года, значит возможно в следующий раз вы сможете это сделать до фактического проведения акции. 

Изменено 18 ноября пользователем hoaxisr

[krass]

28 минут назад, Илья Хрупалов сказал:

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

А Вы не находите , что это несколько поздновато: 18-11-2025 ? А ЧП случилось 14.11.2025 !
Имхо, надо было хотя бы за пару дней сделать анонс. А еще лучше за неделю-две.

Спойлер

 

 

Изменено 18 ноября пользователем krass

[Кинетиковод]

9 минут назад, krass сказал:

А ЧП случилось

А что за ЧП случилось? Можете подробнее расписать? Есть пострадавшие? Вас с 2.16 принудительно на 4.3 перекинуло что ли? 

[FLK]

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

[hoaxisr]

36 минут назад, FLK сказал:

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

Ну лично мое мнение, что негоже без ведома пользователя ему что-то обновлять. Какими бы "благородными" мотивами это не было обусловлено.

А уж каналов коммуникации с нерадивыми пользователями более чем достаточно. 

И еще не сильно нравится, когда бренд и его представители ссылаются, что они коммуницировали, но не до, а после. И считают это достаточным. 

 

UPD: Выше был пример плашки около ползунка автообновления у конкурента, аналогичная плашка или информация под знаком вопросика в морде Кинетик сняла бы многие вопросы. Все бы прекрасно видели, что производитель считает пользователей неразумными детьми и будет действовать по своему разумению. А уж жить с этим или как-то "противодействовать" выбор пользователя, но явно буггурта на ровном месте было бы меньше. 

Изменено 18 ноября пользователем hoaxisr

[slomblobov]

37 minutes ago, hoaxisr said:

почему нельзя изменить гвоздями прибитого admin?

Вот тут плюсану

[FLK]

2 минуты назад, slomblobov сказал:

Вот тут плюсану

Согласен, давно тоже хотел задать этот вопрос, но то забывал, то забивал)

[hoaxisr]

3 минуты назад, slomblobov сказал:

Вот тут плюсану

Причем это можно сделать принудительно, если доступ открывается извне в морду роутера - пользователь должен быть не admin. 

[FLK]

1 минуту назад, hoaxisr сказал:

Причем это можно сделать принудительно, если доступ открывается извне в морду роутера - пользователь должен быть не admin. 

Ну нее, тут не соглашусь. Принудительно лишнее. Но сделать отключение admin вполне было бы неплохо, если есть другой пользователь с полными правами

В общем право выбора я считаю надо бы оставить)

[keenet07]

52 минуты назад, hoaxisr сказал:

почему нельзя изменить гвоздями прибитого admin?

Возможно это связано с требованиями  модели данных для удаленного управления TR-098, TR‑069 (CWMP). Там много стандартизировано, в том числе пользователь admin.

И всё это вероятно относится к обязательной системе сертификации средств связи в РФ.

[hoaxisr]

4 минуты назад, keenet07 сказал:

Возможно это связано с требованиями  модели данных для удаленного управления TR-098, TR‑069 (CWMP). Там много стандартизировано, в том числе пользователь admin.

И всё это вероятно относится к обязательной системе сертификации средств связи в РФ.

Не буду утверждать обратное, но замечу, что есть устройств а, в том числе поставляемые провайдерами с именами отличными от admin. А есть сертифицированные роутеры вообще без имени пользователя, только с паролем. 

Плюс никто не мешает сделать такую настройку, что пользователь с этим именем не может войти в морду из WAN. 

Изменено 18 ноября пользователем hoaxisr

[keenet07]

14 минут назад, hoaxisr сказал:

Плюс никто не мешает сделать такую настройку, что пользователь с этим именем не может войти в морду из WAN. 

Вот это как раз эти случаи, когда учетка admin просто скрыта от пользователя, а для провайдера видна.