Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[KeyYerS]

10 часов назад, Илья Хрупалов сказал:

...Обновляют, согласно заявлению и объективным фактам, только устройства с прошивками ниже 4.3....

1213. Вчера в 18.46 (+5GMT) с 4.3.6.2 САМОобновление до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

1211. Вчера в 19.35 (+5GMT) САМОобновление с 4.1.7 до 4.3.6.3 при отключенном "автообновлении", и при отлучённом от вебки встроенном админе.

Изменено вчера в 07:38 пользователем KeyYerS
орфо

[KeyYerS]

9 часов назад, Илья Хрупалов сказал:

...К слову, пример ASUS, на который было бы так удобно сослаться....

К слову, раз уж на то пошло, производители видеорегистраторов/камер на платформе XM полностью исключили с 2023 года использование служебки "admin" - нет более неубиваемого встроенного админа от вендора, что юзер создал - тем и пользуется... 

[MDP]

По правильному надо делать вход от обычной УЗ...а потом уже вход только в привилегированный режим.

Естественно УЗ с высокими привилегиями исключить вход по сети.

Изменено вчера в 07:47 пользователем MDP

[Shidla]

10 часов назад, Илья Хрупалов сказал:

Вас лично обновили? Напишите мне в личку сервис-теги, я попробую проверить через коллег.

Аналогичная ситуация с KN-3811. Сегодня в ночь самостоятельно обновился с версии 4.3.6 до актуальной релизной, не смотря на то, что переключатель автообновления был выключен.
Пароль - 16 символов (буквы, цифры)

Если нужны сервисные данные - пожалуйста, напишите об этом - вышлю (вечером по МСК)

Изменено вчера в 08:43 пользователем Shidla
Дополнение про пароль

[Slackwarist]

12 часов назад, keenet07 сказал:

А если поменяет, то на vanya:12345

Но этот ваня все равно будет разный, а это уже профит - злоумнышленнику будет в разы сложнее с первого тычка что-то подобрать.

[Илья Хрупалов]

6 часов назад, C-M сказал:

наличие управляющего механизма, который был заложен заранее, без явных упоминаний - да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Принудительное обновление никак не использует этот механизм.

[C-M]

51 minutes ago, Илья Хрупалов said:

Принудительное обновление никак не использует этот механизм.

Понятно, спасибо за информацию.

Но это же и куда более печально, что даже не упомянули о добавлении механизма управления устройством без ведома владельца😢

[Илья Хрупалов]

59 минут назад, C-M сказал:

даже не упомянули о добавлении механизма управления устройством без ведома владельца

8 часов назад, C-M сказал:

да, release notes всегда читаю, и про TR-098, TR‑069 писали, но подавалось как фишка "на заказ", никаких упониманий про её включение не было

Вот никаких включений ее в массовые устройства и нет до сих пор, она включается только в проектных устройствах.

[Илья Хрупалов]

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

[C-M]

54 minutes ago, Илья Хрупалов said:

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

Да ну как бы вреда устройству не было, и не сказать что тут есть повод для извинений за само обновление. Тут другая проблема.


Через какой-то же механизм 4.* обновляется в обход мнения владельца устройства?
И очень похоже, что в 3.* этого механизма нет.

Однако и в истории изменений такой фичи нет.

Что приводт к вопросу "а почему это скрыли", и нормальный админ, как профессиональный параноик, начинает думать о всяком нехорошем. И сложно что-то с собой поделать - работа такая.

Да, такой вектор атаки (что у устройства есть backdoor от производителя) и ранее предполагался, но благодаря репутации разработчиков, рассматривался как хоть и опасный, но крайне маловероятный.

Теперь же случилось подтверждение, что этот риск реализован. А это значит, что его уже нельзя игнорировать, надо закрывать реализованный риск.

Но и тут опять включается непонятная политика "сокрытия" - нет полноценной информации, куда подключается роутер - какие внешние соединения, к каким адресам и с какими конкретными возможностями. Статья на сайте есть, но для этих целей уровень деталей в ней недостаточный.

На явные запросы полноценных ответов тоже нет, максимум что было получено "Мы не раскрываем точный список адресов и имен, поскольку они могут и будут меняться в зависимости от наших внутренних потребностей". Хотя там список то на 10 позиций максимум, его вряд ли сложно собрать и обновить. Это уже идёт как "противодействие".

Т.е. в итоге мы имеет - не только реализованный риск, но ещё и пару каноничных "красных флагов".

И выходит, что у админа выбор не велик - или скрыть инцидент, или закрывать его, либо внешними средствами либо сменой оборудования.

К чему тут извинения? Просто гемор, просто работа. Просто не ожидал

Изменено вчера в 14:36 пользователем C-M

[Илья Хрупалов]

1 час назад, C-M сказал:

Через какой-то же механизм 4.* обновляется в обход мнения владельца устройства?
И очень похоже, что в 3.* этого механизма нет.

Он точно такой же, я не хочу повторять чужие слова, и официального описания тоже не будет по причинам той же безопасности, но многие комментаторы за последние дни совершенно верно трактовали, как работает механизм обновления прошивки, просто в данном исключительном случае он осознанно игнорирует запрет (но может не пройти по другим причинам: недостаточно места, нет более свежей прошивки в природе и тп).
Всё, что вы говорите с точки зрения админа, -- принято и доведено как реакция и пожелание до тех, кто принимал это решение, и тех, кто уже занимается разработкой бизнес-линейки Netcraze, чтобы ни в коем случае такое не повторить.

[F2QYQ]

34 минуты назад, Илья Хрупалов сказал:

механизм обновления прошивки

34 минуты назад, Илья Хрупалов сказал:

игнорирует запрет

Такой механизм не нужен, как и вся "машина" в которой на педали жмёт чужой дядя.

[MDP]

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

[bigpu]

12 минут назад, MDP сказал:

Не надо было вообще ничего предпринимать 

Дурная голова ногам покоя не даёт

[Denis P]

22 минуты назад, MDP сказал:

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

вы же не знаете масштаба "трагедии"
сомневаюсь что компания пошла на это только потому, что им больше нечем заняться

[F2QYQ]

19 минут назад, Denis P сказал:

вы же не знаете масштаба "трагедии"

Теперь знаем - кнопка отключения автообновления фейковая.

[AndyU]

20 hours ago, Илья Хрупалов said:

Марка Netcraze ко всему этому никакого отношения не имеет, потому что изначально выходила на прошивках не ниже 4.3.

Ой ли? Хотелось бы напомнить, что все роутеры Keenetic с регионом EAEU были переведены на российское облако просто сменой IP у ea.master.keenetic.cloud. Раньше это была Hetzner, как и у eu.master.keenetic.cloud, нынче Selectel (СПб). Мобильное приложение Keenetic для таких роутеров работать перестало, владельцам пришлось переходить на Netcraze. И анонсировало все это именно фирма Netcraze. IP eu.master.keenetic.cloud в РФ нынче заблокирован. Т.е. недокументированные команды на обновление для роутеров с регионом EAEU идут именно из РФ.

Также уже есть случаи обновления с прошивки 4.3.6.1. Именно с EAEU. У меня EU/4.3.6.2. Наблюдаю.

[AndyU]

21 hours ago, Илья Хрупалов said:

наверное, потому, что он не бэкдор, но это уже отдельная осенняя тема

Эээ, а удаленное изменение региона роутера с EAEU на EU тех.поддержкой роутера весной это что было? Собщил CID'ы, тех.поддержка сказала, что все поменяно, перезагрузите роутеры. Я ожидал, что пришлют спец.прошивку, потом придется все перенастраивать с нуля... И о терминологии - наличие недокументированных команд, с помощью которых производитель может воздействовать на пользовательское устройство, и называется вендорским backdoor'ом.

[VVS]

1 час назад, MDP сказал:

проблема выросла из ничего...зачем вообще это всё взбудоражили?  Не надо было вообще ничего предпринимать 

А почему Вы считаете, что из ничего?

Может быть фирма решила, что дешевле "рассердить" несколько сотен пользователей типа тех, кто тут возмущается, чем потом оправдываться перед всем миром за ботнет из нескольких десятков тысяч устройств?

[Deegreez]

Ситуация крайне неоднозначная.

Получается важнее понять мотивацию разработчиков. Что скрыто за этой заботой о пользователях.

Что могло быть еще в таком принудительном обновлении.

Возможно, теперь Кинетики тоже станут "ловить даже на парковке". И потом атоматически предоставлять логи всего тов. майору ))) Но только после принятия закона об ответственности за использование VPN.

Изменено 23 часа назад пользователем Deegreez

[Илья Хрупалов]

16 минут назад, Deegreez сказал:

Что могло быть еще в таком принудительном обновлении.

Я понимаю, что вы зарегистрировались на форуме лишь десять минут назад и еще, наверное, не смогли прочесть все ответы этой, в общем-то, не такой уж длинной темы. Так вот, если не принимать их логику во внимание, то "ловить на парковке" давно уже должно у огромной массы пользователей с включенным автообновлением, а также у тех, кто давно поставил себе, например, 5-ю версию.

[Илья Хрупалов]

43 минуты назад, AndyU сказал:

Хотелось бы напомнить

Хотелось бы напомнить, что в моей цитате речь про оборудование под маркой Netcraze. Это оно вас обновляет?

 

44 минуты назад, AndyU сказал:

Также уже есть случаи обновления с прошивки 4.3.6.1. Именно с EAEU. У меня EU/4.3.6.2.

Я про это писал выше и в телеграмм-канале.

[Deegreez]

10 минут назад, Илья Хрупалов сказал:

Я понимаю, что вы зарегистрировались на форуме лишь десять минут назад и еще, наверное, не смогли прочесть все ответы этой, во общем-то, не такой уж длинной темы. Так вот, если не принимать их логику во внимание, то "ловить на парковке" давно уже должно у огромной массы пользователей с включенным автообновлением, а также у тех, кто давно поставил себе, например, 5-ю версию.

 

Да, я зарегистрировался, чтобы выразить свое мнение. Да, я сначала прочитал все 4 страницы.

Да по логике, у всех у кого было автообновление все уже стоит. Но вам, возможно, надо было показать более высокий охват. Это просто с точки зрения логики. Я не утверждаю, что этим вы занесли помимо изменений в создании пароля еще чего-то. Просто констатируюю, что момент выбран мастерски просто. 

И опять же про логику. Вы также не слышите пользователей. Зачем вы доказываете, что обновление никому не помешало. Вам пытаются донести, что дело не в качестве обновления или его работе. Дело в том, что вы в лучшем случае начнете как самсунг показывать рекламу на холодильниках,и продавать маркетинговые предпочтения даже обезличеные. В худшем вы ограничены только вашей фантазией.

Дело в том, что вам действительно доверяли и вы действительно делаете неплохие устройства.

Но принудительноые обновления это вообще как ? Руководствуясь какими правилами и что вы принудительно принесете в мое устройство в следующий раз ? 

Изменено 23 часа назад пользователем Deegreez

[F2QYQ]

12 минут назад, Илья Хрупалов сказал:

Я про это писал выше и в телеграмм-канале.

В каком телеграмм канале? В том где модераторы пишут что они "не сотрудники" или в другом?
Скиньте ссылку на официальный канал.

[Илья Хрупалов]

5 минут назад, Deegreez сказал:

Зачем вы доказываете, что обновление никому не помешало.

Я этого нигде не говорил.

6 минут назад, Deegreez сказал:

в следующий раз

"Следующий раз", скажем, с 2017 года, случился впервые и в будущем в подобном виде уже точно не планируется, потому что компания знает, что ей доверяли, и будет отвоевывать это доверие обратно.

8 минут назад, Deegreez сказал:

В худшем вы ограничены только вашей фантазией.

К сожалению, пока что тут кто угодно кроме производителя не ограничивает свои фантазии.

[Илья Хрупалов]

3 минуты назад, F2QYQ сказал:

Скиньте ссылку

На этой странице выше. И я не называл телеграм-канал официальным. Просто я вижу, что большинство участников этой темы есть и там.

[F2QYQ]

5 минут назад, Илья Хрупалов сказал:

с 2017 года, случился впервые и в будущем в подобном виде уже точно не планируется, потому что компания знает, что ей доверяли, и будет отвоевывать это доверие обратно

На данный момент принудительное автообновление отключено?

[leshin papa]

5 hours ago, Илья Хрупалов said:

Всем, у кого обновилось с версий типа 4.3.6.2 и тому подобных 4.3.x.x: в Keenetic признали, что это было сделано ошибочно, обещали донастроить алгоритм. От имени всех задействованных в этом исполнителей приношу извинения.

Извинения - это конечно хоть что-то, но .... У пользователя admin прав по разрешенному кинетиком мимуму. Только командная строка (ни телнета, ни ssh не стоит). Снять эту галку я не могу, до сих пор не могу понять почему? Вместо admin другой пользователь, с паролем в 20-25 случайных символов. Блокировка от подбора пароля включена. Обычно я меняю пароль у admin с простого, на достаточно хороший, но иногда забываю. Да и как бы не особо важно это. В роутер с admin не попасть. Теперь, где я забыл сменить простой пароль у admin, потерял доступ к роутерам. Роутеры в 1500-2000 км от меня. Роутеров 300+ штук. Пользователи роутеров не особо компьютерно грамотные. Ноутов и компов может не быть.

Внимание, вопрос. Куда мне засунуть Ваши извинения? Я на ровном месте я получил качественный гимор. А почему? У меня роутеры в опасности? Нет. Так какого же.... 

[Илья Хрупалов]

16 минут назад, Deegreez сказал:

Но вам, возможно, надо было показать более высокий охват.

Устройств с включенным автообновлением несоизмеримо больше, чем с выключенным. Хотя для ботнета последних тоже вполне достаточно. 

[Илья Хрупалов]

3 минуты назад, F2QYQ сказал:

На данный момент принудительное автообновление отключено?

Насколько мне известно -- нет. Напротив, со вчера о нем объявлено официально. И поскольку его стараются проводить ночью, то, наверное, еще пара дней понадобится. Могу уточнить завтра.