Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Кинетиковод]

49 минут назад, hoaxisr сказал:

Ну лично мое мнение, что негоже без ведома пользователя ему что-то обновлять. Какими бы "благородными" мотивами это не было обусловлено.

А уж каналов коммуникации с нерадивыми пользователями более чем достаточно

Среди владельцев миллионов роутеров отделить "победителей конкурса талантов" от сисадминов и энтузиастов не представляется возможным, поэтому обновили принудительно всех. Вроде бы сисадмины и энтузиасты от данного шага не пострадали, а особо одарённым с учёткой admin:12345678 выставленной наружу задницу прикрыли. Приходится думать за себя и за того парня, ничего тут не поделать.     

[dartraiden]

4 часа назад, keenet07 сказал:

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Если, как указано у ASUS, это требование регулятора (вероятно, европейского), то, возможно, переложить ответственность на пользователя недопустимо, даже если пользователь очень хочет. Грубо говоря, если в законе сказано, что производитель обязан иметь возможность в одностороннем порядке закрывать уязвимости, то либо он такую возможность заложит, либо ему сделают больно.

Изменено 18 ноября пользователем dartraiden

[dartraiden]

2 часа назад, hoaxisr сказал:

почему нельзя изменить гвоздями прибитого admin?

Это не поможет в обсуждаемом случае.

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин.
Кроме того, никто не запрещает хоть сейчас создать другого пользователя, а admin-у урезать все права. Но этой возможностью никто из пострадавших, разумеется, не воспользовался. потому что пострадавшим плевать на безопасность. А если бы им было не плевать, у них был бы стойкий пароль, и тогда всё равно, какой там логин, их бы не взломали.

Изменено 18 ноября пользователем dartraiden

[keenet07]

1 минуту назад, dartraiden сказал:

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин

А если поменяет, то на vanya:12345

[krass]

7 минут назад, dartraiden сказал:

Это не поможет в обсуждаемом случае.

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин.
Кроме того, никто не запрещает хоть сейчас создать другого пользователя, а admin-у урезать все права. Но этой возможностью никто из пострадавших, разумеется, не воспользовался. потому что пострадавшим плевать на безопасность.

Так можно и договориться до " а давайте запретим свободный и анонимный интернет/ножи/органы/голову..."

Роутер как автомобиль, купил и используешь -- будь добр ,соблюдай правила.

Ради заботы о солнышках ( видео " современное абразавание") готовы роутеры превратить в "нечто".
 

Изменено 18 ноября пользователем krass

[dartraiden]

3 минуты назад, krass сказал:

будь добр, соблюдай правила

А некоторые люди не хотят  быть добрыми. 

В идеальном мире требование к сложности пароля было бы ненужным, ведь все ответственно бы относились к безопасности.

В нашем неидеальном мире я встречал даже таких, которые говорили "ну вирусы у меня на ПК, ну и пусть, мне не мешают". То, что их машины потом создают проблемы остальным, рассылая спам и участвуя в ддос-атаках, этих людей не волновало. Аналогичного подхода, к слову, придерживаются антиваксеры - для них существует лишь "лично мне это не нужно".

Изменено 18 ноября пользователем dartraiden

[krass]

4 минуты назад, dartraiden сказал:

А некоторые люди не хотят  быть добрыми. 

В идеальном мире требование к сложности пароля было бы ненужным, ведь все ответственно бы относились к безопасности.

В нашем неидеальном мире я встречал даже таких, которые говорили "ну вирусы у меня на ПК, ну и пусть, мне не мешают". То, что их машины потом создают проблемы остальным, рассылая спам и участвуя в ддос-атаках, этих людей не волновало. Аналогичного подхода, к слову, придерживаются антиваксеры - для них существует лишь "лично мне это не нужно".

Как компромисс, можно же хотя бы оставить спецкоманду через cli по ssh ?
Такой вариант вас бы устроил: когда в админке роутера не будет выбора, а в cli будет ряд команд дающих ПОЛНУЮ ФАКТИЧЕСКУЮ ОКОНЧАТЕЛЬНУЮ ВОЗМОЖНОСТЬ запрета автообновления с предупреждением опытного пользователя ?

[hoaxisr]

16 минут назад, dartraiden сказал:

Если, как указано у ASUS, это требование регулятора (вероятно, европейского), то, возможно, переложить ответственность на пользователя недопустимо, даже если пользователь очень хочет. Грубо говоря, если в законе сказано, что производитель обязан иметь возможность в одностороннем порядке закрывать уязвимости, то либо он такую возможность заложит, либо ему сделают больно.

Только если у этого производителя прямо сказано о таком поведении ползунка "автообновления", то у Кинетик об этом не сказано в этом разделе. Я веду речь о том, что неплохо было бы доносить информацию о функциях и возможностях и поведении устройства полностью. Это называется открытостью. Вызывает больше доверия и уважения, когда производитель не скрывает (или недосказывает) о наличии программных особенностей, как например неплохо было бы рассказать, что КинДНС ни разу не имплементация Dynamic DNS, а вполне себе полноценный туннель до роутера и его локалки. Это ведь тоже как бы известно, но как бы не раскрывается напрямую. 

[Илья Хрупалов]

2 часа назад, krass сказал:

А еще лучше за неделю-две

А, то есть у вас всё открывается? Или вы не в РФ?

Вы же (все присутствовавшие) видели посты в телеграм-канале, где поддержка с пятницы приводила эту ссылку. Так вот, этот документ первоначально был выложен там 3 ноября. Сегодня его, насколько я могу судить как внимательный читатель, дополнили. 

[Илья Хрупалов]

2 часа назад, hoaxisr сказал:

из РФ эта страница не открывается

4 часа назад, hoaxisr сказал:

2 года прошло до пресс релиза

То есть тот опоздавший пресс-релиз, многократно упоминаемый вами, вы прочитали, а этот, который лежит следом, не шмогли?

[hoaxisr]

1 минуту назад, Илья Хрупалов сказал:

То есть тот опоздавший пресс-релиз, многократно упоминаемый вами, вы прочитали, а этот, который лежит следом, не шмогли?

Когда-нибудь представители российско-китайских компаний осознают, что менторский тон и пассивно-агрессивное поведение в публичных пространствах наносят больше врда , чем удовлетворяют эго и тогда компании будут больше заботиться о своей репутации и силе бренда. А пока, имеем, что имеем. Критика воспринимается как личное оскорбление, а сил извиниться за недостаточную прозрачность и отсутствие внятных коммуникаций с клиентами недостаточно. 

Успехов, вам и процветания. 

[Илья Хрупалов]

1 час назад, keenet07 сказал:

И всё это вероятно относится к обязательной системе сертификации средств связи в РФ.

Насколько я знаю, Keenetic начал заниматься TR-069/098 только несколько лет назад по настойчивым запросами и в сотрудничестве с европейскими провайдерами. В РФ проектов нет. 

[krass]

2 минуты назад, Илья Хрупалов сказал:

А, то есть у вас всё открывается? Или вы не в РФ?

Вы же (все присутствовавшие) видели посты в телеграм-канале, где поддержка с пятницы приводила эту ссылку. Так вот, этот документ первоначально был выложен там 3 ноября. Сегодня его, насколько я могу судить как внимательный читатель, дополнили. 

В закрепе телеграм канала не увидел. А если это был просто пост в чате то ,возможно, он затерялся в потоке сообщений.
Ну и такое ( я считаю) серьезное мероприятие желательно было начинать с оповещения на сайте/форуме/ в закрепе телеграм каналов netcraze info & keenetic | netcraze.

[Илья Хрупалов]

1 минуту назад, hoaxisr сказал:

менторский тон и пассивно-агрессивное поведение

Я рекомендую вам почаще к зеркалу подходить. Я задал простые нейтральные вопросы, в том числе вашими же словами, без эмоциональных простыней; так сказать, попытался быть с вами на одной волне. Ответов по существу не будет?

[hoaxisr]

10 минут назад, Илья Хрупалов сказал:

Ответов по существу не будет?

От вас так же не было ответов по существу. Ни на один из вопросов. 

Как впрочем и вопросов по существу, на которые вы ждёте каких-то ответов.

Так что про зеркало рекомендую начать с себя.

А по существу, отвечать на вопрос когда я брошу пить коньяк по утрам не вижу возможности.

 

Изменено 18 ноября пользователем hoaxisr

[Илья Хрупалов]

2 часа назад, hoaxisr сказал:

дайте такое же уведомление на сайте Netcraze

Действуйте, пожалуйста, сначала подумав, и только потом пишите, чтобы не нужно было искать ваши кривляния в прошлом.

Марка Netcraze ко всему этому никакого отношения не имеет, потому что изначально выходила на прошивках не ниже 4.3. Я понятно изъясняюсь? Мой ответ у вас нормально открывается? Без обходных путей?

 

2 часа назад, hoaxisr сказал:

Кинетик какое отношение имеет к операциям в ЕАЭС? Сами же недавно пресс-релиз выпустили, что Неткрейзи стали. Нет?

Перечитайте до полного понимания, у кого где какие операции, тот пресс-релиз (надеюсь, он выложен без опоздания и у вас есть на это время). Крейзи -- это скорее чье-то состояние, не припоминаю такого в том релизе.

 

2 часа назад, hoaxisr сказал:

Если вы действительно заботитесь о безопасности - почему нельзя изменить гвоздями прибитого admin?

Да, это хорошее замечание, которое нужно в очередной раз эскалировать к разработчикам.

 

2 часа назад, hoaxisr сказал:

Какое отношение законодательство ЕС на которое вы ссылаетесь в этом релизе имеет к пользователям в ЕАЭС?

Вы можете задать этот вопрос по адресу на сайте Keenetic (если сможете его открыть), где выложены те самые бюллетени по безопасности. Я не писал этот стейтмент, но пользователи приобрели устройства у Keenetic (довольно давно, судя по обновляемым версиям), компания продолжает их поддерживать и заботиться об их безопасности так, как считает нужным, нравится это или нет. Уже сто раз прожевано на нескольких площадках, что новость о ботнете из кинетиков была бы ничуть не лучше и с куда более серьезными юридическими последствиями.

[Илья Хрупалов]

2 часа назад, hoaxisr сказал:

в этот раз вам хватило оперативности сообщить о планируемом принудительном обновлении ОС на устройствах всего лишь через 4 дня после его проведения

Рекомендую читать внимательно. Дополнение о принудительном обновлении говорит скорее о том, что оно в процессе. Коллеги из Keenetic приносят извинения тем, кого это задело в рабочее время, и обещают делать по ночам, но часовых поясов весьма много, и алгоритм обновления не знает, какое локальное время на роутере (наверное, потому, что он не бэкдор, но это уже отдельная осенняя тема). 

[Илья Хрупалов]

Кстати, тому, кто догадается, почему сообщение Keenetic последовало с явно запланированной задержкой, я обещаю приз от компании Netcraze.

[hoaxisr]

8 минут назад, Илья Хрупалов сказал:

Действуйте, пожалуйста, сначала подумав, и только потом пишите, чтобы не нужно было искать ваши кривляния в прошлом.

Желаю вам хорошего настроения, и прекрасного дня. Возможно, когда-нибудь вы научитесь общаться с людьми без привычных пассивно-агрессивных оборотов. Не в первый раз замечаю, что вы не можете признавать ошибок и собственных недоделок. Жаль. На этом я думаю, стоит закончить. Мне неприятны ни вы, ни диалог с вами. Один раз вы нахамили мне в другой теме, и так и не смогли признать, что были неправы. Так и сейчас продолжаете общение в том же духе.

Скажу только, что путей как можно было донести информацию у компании было предостаточно, выбранный путь явно не соответствует возможностям, а все еще продолжать это отрицать выглядит по меньшей мере глупо. 

Но поскольку вы ни разу ни в одном вопросе непогрешим, то и обсуждать тут нечего. 

Еще раз успехов. 

И уж сначала заявить, что все было сделано заранее, а потом через несколько постов написать о запланированной задержке. Простите. 

Изменено 18 ноября пользователем hoaxisr

[Илья Хрупалов]

1 час назад, Кинетиковод сказал:

поэтому обновили принудительно всех

Я бы еще обратил внимание, что ошибочно писать "всех", "принудительно обновил все устройства" (как в новости на Хабре, хотя, кстати, ссылка на стейтмент была уже там и ни у кого не возникло вопросов с ее открытием). Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3. Причем, насколько мне известно, алгоритм (весьма простой по сути) не проверяет открытый доступ и сложность пароля.

[keenet07]

13 минут назад, Илья Хрупалов сказал:

Кстати, тому, кто догадается, почему сообщение Keenetic последовало с явно запланированной задержкой, я обещаю приз от компании Netcraze.

Потому-что проблему нужно сначала устранить, а потом можно и отчитаться. Чтоб не предупредить злоумышленников, которые зная об этом заранее могли наломать дров.

Изменено 18 ноября пользователем keenet07

[Илья Хрупалов]

10 минут назад, keenet07 сказал:

Чтоб не предупредить злоумышленников

Ну, бинго. Приятно, когда люди вдумываются и пытаются понять ситуацию без поспешных выводов. Спишемся в личке.

[Aleksman4o]

19 минут назад, Илья Хрупалов сказал:

Кстати, тому, кто догадается, почему сообщение Keenetic последовало с явно запланированной задержкой, я обещаю приз от компании Netcraze.

чтобы на взломанных роутерах пароль на более сложный не успели поменять? ))

[antialt]

2 минуты назад, Илья Хрупалов сказал:

Я бы еще обратил внимание, что ошибочно писать "всех", "принудительно обновил все устройства" (как в новости на Хабре, хотя, кстати, ссылка на стейтмент была уже там и ни у кого не возникло вопросов с ее открытием). Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3. Причем, насколько мне известно, алгоритм (весьма простой по сути) не проверяет открытый доступ и сложность пароля.

нестыковочка, обновляют и 4.3.6 > 4.3.6.3

https://t.me/Netcraze/1080313

Лично я не против обновлений. Но этот процесс должен быть интимным и контролируемым, особенно когда железка является "окном в мир". И где гарантия, что условная версия 5.x.x снова не принесёт каких-нибудь сюрпризов, и процесс "спасения" не начнётся по новой, в самый неожиданный момент?

Даже Windows даёт время на завершение рабочих процессов, не говоря уже о *nix-системах.

В общем, мировоззрение вы моё подпортили. А так хотелось переползти с Падавана на что-то ламповое, родное :)…

[Илья Хрупалов]

Только что, antialt сказал:

нестыковочка, обновляют и 4.3.6 > 4.3.6.3

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

[Илья Хрупалов]

7 минут назад, Aleksman4o сказал:

чтобы на взломанных роутерах пароль на более сложный не успели поменять? ))

тепло, но не бинго, потому что бинго случилось раньше, а кроме того, как мне объяснили, алгоритму обновления все равно, какой там пароль. но злоумышленники могут прикрыть захваченные устройства от обновления другими способами  

[krass]

Только что, Илья Хрупалов сказал:

тепло, но не бинго, потому что бинго случилось раньше, а кроме того, как мне объяснили, алгоритму обновления все равно, какой там пароль. но злоумышленники могут прикрыть захваченные устройства от обновления другими способами  

Пожалуйста, дайте подробности ( насколько это возможно, не нарушая NDA) .
Здесь : https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43  ну очень мало информации.

[Илья Хрупалов]

17 минут назад, antialt сказал:

Лично я не против обновлений. Но этот процесс должен быть интимным и контролируемым, особенно когда железка является "окном в мир". И где гарантия, что условная версия 5.x.x снова не принесёт каких-нибудь сюрпризов, и процесс "спасения" не начнётся по новой, в самый неожиданный момент?

Даже Windows даёт время на завершение рабочих процессов, не говоря уже о *nix-системах.

Мы в Netcraze, наблюдая за ситуацией, приняли это к сведению и уже запланировали проработать необходимые функции и политики. К слову, пример ASUS, на который было бы так удобно сослаться, тоже не идеальный с точки зрения западного рынка. Там есть разные чуть ли не противоречащие друг другу директивы, и кругом будет виноват производитель. Посмотрим на итоговый опыт Keenetic, постараемся выбрать лучшее для Netcraze. 

[Илья Хрупалов]

2 минуты назад, krass сказал:

ну очень мало информации

Я не могу давать информацию за Keenetic. Напишите им, но уверен, что там каждое слово выверено. Довольно четко, мне кажется, изложено в статье уважаемого @dartraiden на Хабре.

[Илья Хрупалов]

1 час назад, antialt сказал:

А так хотелось переползти с Падавана на что-то ламповое, родное

И Падаван здесь, и ламповое, и родное встречается, переползайте. У вас же вроде уже в профиле NC-1812 🙂. Можете делать бэкапы, это удобно и никто не запрещает.