Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Илья Хрупалов]

1 час назад, Razoon сказал:

Или вы залочили и даунгрейд?

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

[Илья Хрупалов]

1 час назад, mva113 сказал:

Через cli что было бы логично что бы Ваши не наглядные домохозяйки не пострадали

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

1 час назад, mva113 сказал:

и нет ли других скрытых функций удалённого использования Наших устройств компанией производителем

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

[mva113]

4 минуты назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

Доказывает ("...Ни кто не вспомнит о заслугах, после небольшой не удачи"), но вызвало не понимания почему не дали внятного разъяснения, что продукт оказался под угрозой и что бы избежать дальнейшего распространения на большую часть устройств было принято не простое решение задействовать экстренный механизм. Ни каких других скрытых возможностей Он не несёт кроме как дать команду на обновление. Понимаем что из за сложной ситуации доставили не удобства некоторым пользователям. В дальнейшем продумаем функционал этого. (Так как говорить о бизнес продуктах с такой функцией не приходится ни кто сознательно не согласится. Только гос заказ или знакомые, где первые будут крайне не довольны если такое не дай Бог произойдёт). Так что надо было просто разъяснить. По факту это закрыло возможность для не сознательных пользователей игнорировать свою же безопасность. Устройства которые пострадали они уже пострадали ведь этот патч слава богу не сбросил все устройства до заводских. Фиг знает как это сделать, но это точно нужно, не хорошие люди всё равно всегда найдут возможность, так как слабое звено это пользователь, а люди которые на этой системе офисы строят они осознают риски и по этому обновляют руками. 

[erig]

Добавлю пять копеек в эту историю:

1. Как on-premise разработчик, я понимаю вашу боль:

Очень хочется понимать, работает ли то, что написал у пользователя, используется ли это вообще. А если есть баги - то сразу "засылать фиксы". А когда я вижу какие-нибудь вчерашние бенчмарки, где указан релиз 5-ти летней давности - хочется  кричать благим матом.

2. Как пользователь поставивший "Без автоматических обновлений",  меня это огорчает:

Я верю, что если начать читать пользовательское соглашение, весь форум Keenetic-а, личную библиотеку Папы Римского, и все стандарты TCP/IP с 89 года всё станет понятно и ясно, в том числе кто убил Кеннеди.

Но вы серьёзно хотите превратится в контору "А ВОТ МЕЛКИМ ШРИФТОМ В ДОКУМЕНТЕ.." ?

3. Как пользователь, железом, которого вы рискнули, я в недоумении:

Если бы роутер кирпичнулся(свет погас, кабель дёргнули) - вы бы мне новый выслали? И за простой готовы были заплатить по моей ставке за трудодень? Или это всё было на "Авось практит?", а на два досудебных решений в год денег хватит?

Специально или нет, но у вы послали сигнал "Мы тут всё переколбасить можем по воле левой пятки и в принудительном порядке".Я вижу это как сигнал к действию "Заблокировать все сервисы Keenetic".

 

[cool]

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

[VVS]

48 минут назад, cool сказал:

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

А кто-нибудь гарантирует, что у других производителей любого "компьютерного" оборудования нет подобного?

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

[bigpu]

5 минут назад, VVS сказал:

при таком подходе

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

[cool]

6 минут назад, VVS сказал:

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

Я сам решу чем пользоваться, без советов.

[VVS]

28 минут назад, bigpu сказал:

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

А лучшие есть?

Вы можете назвать производителя оборудования, для которого Вы могли бы априори гарантировать, что у них подобного нет?

Так на кого ориентироваться?

[VVS]

26 минут назад, cool сказал:

Я сам решу чем пользоваться, без советов.

А я Вам ничего и не советовал, я высказал своё мнение.

Если Вы этого не поняли, то это не моя проблема.

[keenet07]

6 часов назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Если проблема только в том, чтоб удаленный пользователь не смог отключить экстренное обновление, то наверное можно подумать над способом решения этой проблемы. Например, придумать алгоритм валидации такой настройки. Другими словами, предусмотреть возможность правильного сохранения этой настройки в конфиг только при условии зажатия какой-нибудь физической кнопки на устройстве в момент сохранения. Нет зажатия, настройка сохраняется не корректно и не работает. А там уже продумать алгоритм защиты этой настройки, таким образом, чтоб её нельзя было просто изменить заливкой модифицированного конфиг файла в том числе с корректным значением с другого устройства. Т.е. использовать какую-то криптозащиту (не для всего конфига, а только для самой настройки). По этому же принципу можно защитить и другие потенциально опасные настройки.

Можно конечно для этого же использовать и уникальный пин-код который бы присутствовал на наклейке на обратной стороне роутера. Но это вариант чуть замороченнее. 

Изменено 18 часов назад пользователем keenet07

[cool]

7 минут назад, VVS сказал:

Если Вы этого не поняли

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки. Даже не допускаете такой возможности. А судя по произошедшему, вероятность очень приличная.

[VVS]

6 минут назад, cool сказал:

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки.

Не, ну всё-таки постарайтесь читать внимательно то, на что Вы отвечаете.

Я, наоборот, допускаю такую вероятность в прошивке от абсолютно любого производителя.

[Razoon]

6 часов назад, Илья Хрупалов сказал:

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

У меня с этим никогда проблем не было, мои роутеры открывались наружу ещё когда они были zyxel, и ни разу никто ничего не ломал.

[cool]

6 минут назад, VVS сказал:

допускаю такую вероятность в прошивке от абсолютно любого производителя

Очень жаль, что Netcraze/ keenetic это практически подтвердили. А была надежда.. )))

[Aleksman4o]

2 минуты назад, cool сказал:

Netcraze/ keenetic это практически подтвердили

А где бэкдор то в итоге? Кто его подтвердил?

[bigpu]

44 минуты назад, VVS сказал:

А лучшие есть?

44 минуты назад, VVS сказал:

Так на кого ориентироваться?

свечку не держал и не интересовался вопросом, но был шанс у самого Кинетика быть этим самым лучшим, пока этот шанс не слился в унитаз)

[VVS]

3 минуты назад, bigpu сказал:

свечку не держал и не интересовался вопросом, но был шанс у самого Кинетика быть этим самым лучшим

Это, так же, как и обратное, объективно ниоткуда не следует.

А субъективно Вы можете считать, что так оно и было.

[erig]

Если представить, что с помощью доброго волшебника и настоящей магии на всех серверах Keenetic, включая 1С Бухгалтерия\ЗиК, Сервера форума, Базы данных и т.д., выполнится аналог:

Цитата

 

sudo update

sudo upgrade -y

reboot

 

 

Все скажут дружное и громкое "Спасибо, большое! У нас админы никак не могли найти эти команды в интернете. А тут Вы! И сейчас всё такое безопасное стало! Столько CVE закрылось!"

ИЛИ 

Скажут что-то другое, особенно когда часть сервисов не поднимется?

 

[Mamay]

1 час назад, FLK сказал:

Одному мне кажется, что тема уже подходит для Курилки?

@HEcaxap

В курилку нельзя. Курилку могут читать только зарегистрированные пользователи!

Тем более на этот тред ссылается ксакеп.

[krass]

Возможно кинетики хотели избежать такого:
https://www.ixbt.com/live/nw/hakery-vzlomali-desyatki-tysyach-routerov-asus-v-rossii-tayvane-i-ssha.html

https://xakep.ru/2025/11/20/wrthug/

https://www.computerra.ru/329104/masshtabnaya-kiberataka-wrthug-porazila-desyatki-tysyach-routerov-asus/

https://www.buaq.net/go-376628.html

 

Недавно специалисты обнаружили масштабную кампанию, в ходе которой злоумышленники взломали десятки тысяч старых и снятых с поддержки маршрутизаторов ASUS. Больше всего заражённых устройств оказалось на Тайване, в США и России. Все их объединяют в единую сеть.

НО вопросы к кинетику это не снимает! 

Изменено 15 часов назад пользователем krass

[Илья Хрупалов]

6 часов назад, erig сказал:

Если бы роутер кирпичнулся(свет погас, кабель дёргнули) - вы бы мне новый выслали?

Свет погас и кабель совершенно точно не страшны любому кинетику/неткрейзу, потому что для обновления используется двойная флэш-память. Даже если бы что-то необратимо сбойнуло -- выслали ли бы новый. Такое нечасто (и не от обновлений), но бывает.
По поводу простоев и трудодней всё прописано в юридических документах, и не из-за автоматических обновлений.

 

5 часов назад, cool сказал:

Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

Механизм автоматических обновлений существует давным-давно, для этого не нужен никакой бэкдор или сверхновые прошивки. Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

[Denys]

1 minute ago, Илья Хрупалов said:

Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

А с какой целью никто так и не ответил

Случайно или срочное критическое обновление беопасности?

[Илья Хрупалов]

3 часа назад, keenet07 сказал:

Другими словами, предусмотреть возможность правильного сохранения этой настройки в конфиг только при условии зажатия какой-нибудь физической кнопки на устройстве в момент сохранения. Нет зажатия, настройка сохраняется не корректно и не работает.

👏 Вы срываете очередное бинго. Мы как раз вчера с коллегами уже обсуждали подобные идеи. Пока продолжаем их собирать.

[krass]

Только что, Илья Хрупалов сказал:

Игнорированием запрета, выставленного в настройках вручную, воспользовались впервые.

А можно тогда реализовать такой режим как device-mode ? ( как это сделано к примеру у М -- он требует при настройке физического нажатия кнопки https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode)

Пожалуйста, дайте хоть какую-нибудь возможность запретить автообновление при любых случаях!

[Илья Хрупалов]

7 минут назад, Denys сказал:

Случайно или срочное критическое обновление беопасности?

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43

[Илья Хрупалов]

11 минут назад, krass сказал:

А можно тогда реализовать такой режим как device-mode ? ( как это сделано к примеру у М -- он требует при настройке физического нажатия кнопки https://help.mikrotik.com/docs/spaces/ROS/pages/93749258/Device-mode)

Пожалуйста, дайте хоть какую-нибудь возможность запретить автообновление при любых случаях!

Да, уже думаем в том числе и над этим.

[AndyU]

8 hours ago, mva113 said:

было принято не простое решение задействовать экстренный механизм. Ни каких других скрытых возможностей Он не несёт кроме как дать команду на обновление.

Я уже спрашивал и ответа не получил. Ладно, еще раз спрошу. Как тогда весной тех.поддержка меняла удаленно регионы устройств по просьбам владельцев роутеров? Сообщил CID, потом дал роутеру доступ в интернет, перезагрузил роутер, регион новый. 

[leshin papa]

15 hours ago, Илья Хрупалов said:

@leshin papa, думаю, вам лучше незамедлительно обратиться в поддержку Keenetic, где постараются разобраться и помочь (мне можете скинуть номер обращения, я попрошу изучить вашу ситуацию в максимальном приоритете). В общем и целом у большинства роутеры просто обновились, пароль при этом не меняется.

Ответ пришел. Сказали "спасибо" за то, что я расписал свою конфигурацию, а в сухом остатке "проблемы индейцев шерифа не волнуют", даже если у этого индейца 350+ роутеров. 

Про тему автоматического обновления роутеров, в которых оно запрещено - отмолчались. 

Ну а чего, я считаю это прям офигительное отношение! Об использрвании кинетиков или неткрэйзов не в дома  - можно забыть или забить. 

[Илья Хрупалов]

11 минут назад, AndyU сказал:

ответа не получил

Я технического ответа не знаю, но неприятно удивлен, что производитель, оказывается, тогда зря пошел навстречу пользователям, разделенным географией. Надо было не сюсюкаться, а взять ваши аргументы и сразу отшить всех без разбору кто где оказался.