Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Razoon]

7 минут назад, Илья Хрупалов сказал:

К сожалению, ваш пост априори не подразумевает никакого оправдания с моей или производителя стороны.

Я и не призываю вас к оправданиям и прочим непотребствам, я просто выразил свое частное мнение по этому поводу.

7 минут назад, Илья Хрупалов сказал:

Вы стали бы стрелять себе во все конечности

Я бы разумеется не стал, но я физическое лицо, а вы юридическое) И собственно то, что и как вы сделали никак иначе, чем стрельбой по собственным конечностям пока я назвать не могу, уж извините)

Изменено 19 ноября пользователем Razoon

[Илья Хрупалов]

1 минуту назад, Razoon сказал:

по собственным конечностям

Не по всем. Мы же говорим о будущем и сохранении жизнеспособности.

[Razoon]

5 минут назад, Илья Хрупалов сказал:

Не по всем

Мне сейчас очень хочется сказать что с такие рассуждения недалеки от мысли что цель оправдывает средства, но пожалуй я не буду приводить столь печальные ассоциации.

Просто напомню, стрельба по собственным конечностям (хоть по всем, хоть не по всем) особенно при условии того что ситуация этого совершенно не требовала  - решительно нездоровая практика, не находите?

Изменено 19 ноября пользователем Razoon

[Илья Хрупалов]

2 минуты назад, Razoon сказал:

пожалуй я не буду приводить

Вся эта полемика уже малосмысленна. Целесообразность и соотношение рисков уже обсудили ранее, я не буду повторяться.

[Razoon]

Я немного поясню свою позицию.

Для меня нет абсолютно никакой трагичности в том что вытворил вендор (я как старожил кровавого энтерпрайза и не такое видал), но хочется обычных человеческих объяснений будет ли такое повторяться в будущем, ибо от этого будет зависеть буду ли я отказываться отказываться от данного вендора ну и прочие прелести. Подозреваю что флеймящих тут людей беспокоят примерно такие же мысли.

[Razoon]

2 минуты назад, Илья Хрупалов сказал:

Вся эта полемика уже малосмысленна. Целесообразность и соотношение рисков уже обсудили ранее, я не буду повторяться.

Принято, это тоже вполне себе позиция.

[Илья Хрупалов]

6 минут назад, Razoon сказал:

но хочется обычных человеческих объяснений будет ли такое повторяться в будущем

Я уже несколько раз про это написал, ей-богу.

[Razoon]

5 минут назад, Илья Хрупалов сказал:

Я уже несколько раз про это написал, ей-богу.

Да что ж вы так все буквально воспринимаете, я прочел все что вы до этого написали. Я просто озвучил мысли которые, так сказать, in the air)

[Илья Хрупалов]

В 14.11.2025 в 20:22, F2QYQ сказал:

2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Кстати, если еще не поздно и это как-то поможет, вы можете перевести свои кинетики на 4.3.6.3 вручную, тогда принудительный автоматический алгоритм вас не затронет.

[Razoon]

50 минут назад, Илья Хрупалов сказал:

Кстати, если еще не поздно и это как-то поможет, вы можете перевести свои кинетики на 4.3.6.3 вручную, тогда принудительный автоматический алгоритм вас не затронет.

Кстати, что-то я не увидел выше подобных вопросов, поэтому уточню, а что мне помешает сделать даунгрейд прошивки и залочить роутеру возможность ходить на серверы обновлений? Или вы залочили и даунгрейд?

Изменено 20 ноября пользователем Razoon

[mva113]

Вот второй день пошёл этой ситуации, все задают конкретный вопрос как это отключить (способ есть правда топорный и кажется совсем не надёжный) и нет ли других скрытых функций удалённого использования Наших устройств компанией производителем. И нам второй день отвечают на что угодно только не на это. Извинения от Ильи это хорошо конечно но Мне кажется что Он вообще к этому отношения не имеет Он и ещё два человека в ТГ отдуваются за всю компанию при этом как кажется по собственной инициативе и спасибо Им за это! (Когда и как будет отключена эта возможность, есть ли другие скрытые функции всё больше ни чего не интересуют.) То что достаточно много людей получило проблемы с пустого места это все поймут и забудут, а вот то что функционал пытаются заболтать вряд-ли. Через cli что было бы логично что бы Ваши не наглядные домохозяйки не пострадали или в интерфейсе сделаете критические обновления / обновления это не важно. Скажите по пунктам сделаем не сделаем, как если да и то что ни чего другого сделать удалённо компания не может. Утром бы статью на сайте сделали бы и вопрос закрыт был бы, так нет пошли путём повозмущаются и перестанут. Не хорошо это.

[Илья Хрупалов]

1 час назад, Razoon сказал:

Или вы залочили и даунгрейд?

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

[Илья Хрупалов]

1 час назад, mva113 сказал:

Через cli что было бы логично что бы Ваши не наглядные домохозяйки не пострадали

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

1 час назад, mva113 сказал:

и нет ли других скрытых функций удалённого использования Наших устройств компанией производителем

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

[mva113]

4 минуты назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Ну, если бы они были, я бы, скорее всего, вышел из кругов этого производителя (вместе с многими другими уважаемыми сотрудниками). Жаль, что вся предыдущая работа компании почему-то не доказывает, что здесь такое не норма и придерживаются других принципов.

Доказывает ("...Ни кто не вспомнит о заслугах, после небольшой не удачи"), но вызвало не понимания почему не дали внятного разъяснения, что продукт оказался под угрозой и что бы избежать дальнейшего распространения на большую часть устройств было принято не простое решение задействовать экстренный механизм. Ни каких других скрытых возможностей Он не несёт кроме как дать команду на обновление. Понимаем что из за сложной ситуации доставили не удобства некоторым пользователям. В дальнейшем продумаем функционал этого. (Так как говорить о бизнес продуктах с такой функцией не приходится ни кто сознательно не согласится. Только гос заказ или знакомые, где первые будут крайне не довольны если такое не дай Бог произойдёт). Так что надо было просто разъяснить. По факту это закрыло возможность для не сознательных пользователей игнорировать свою же безопасность. Устройства которые пострадали они уже пострадали ведь этот патч слава богу не сбросил все устройства до заводских. Фиг знает как это сделать, но это точно нужно, не хорошие люди всё равно всегда найдут возможность, так как слабое звено это пользователь, а люди которые на этой системе офисы строят они осознают риски и по этому обновляют руками. 

[cool]

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

[VVS]

48 минут назад, cool сказал:

Тут пишут про откат на старые версии прошивок, в том числе и 3-их версий, типа там насильно не обновляли. А кто-нибудь гарантирует, что в них отсутствует этот самый vendor backdoor ? Я думаю что этот бекдор изначально был предусмотрен во всех прошивках. Просто задействовали его случайно(или не случайно) на новых прошивках.

А кто-нибудь гарантирует, что у других производителей любого "компьютерного" оборудования нет подобного?

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

[bigpu]

5 минут назад, VVS сказал:

при таком подходе

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

[cool]

6 минут назад, VVS сказал:

IMHO при таком подходе Вам логичнее всего пользоваться голубиной почтой.

Я сам решу чем пользоваться, без советов.

[VVS]

28 минут назад, bigpu сказал:

никогда не понимал подобный инфантильный подход.

"Нужно равняться на лучших, а не оправдываться за счёт худших"

А лучшие есть?

Вы можете назвать производителя оборудования, для которого Вы могли бы априори гарантировать, что у них подобного нет?

Так на кого ориентироваться?

[VVS]

26 минут назад, cool сказал:

Я сам решу чем пользоваться, без советов.

А я Вам ничего и не советовал, я высказал своё мнение.

Если Вы этого не поняли, то это не моя проблема.

[keenet07]

6 часов назад, Илья Хрупалов сказал:

На это у разработчиков, кстати, есть ответ, что если эту настройку запрятать в cli, то зловреда первым же делом обучат, как туда заходить и это отключать.

Если проблема только в том, чтоб удаленный пользователь не смог отключить экстренное обновление, то наверное можно подумать над способом решения этой проблемы. Например, придумать алгоритм валидации такой настройки. Другими словами, предусмотреть возможность правильного сохранения этой настройки в конфиг только при условии зажатия какой-нибудь физической кнопки на устройстве в момент сохранения. Нет зажатия, настройка сохраняется не корректно и не работает. А там уже продумать алгоритм защиты этой настройки, таким образом, чтоб её нельзя было просто изменить заливкой модифицированного конфиг файла в том числе с корректным значением с другого устройства. Т.е. использовать какую-то криптозащиту (не для всего конфига, а только для самой настройки). По этому же принципу можно защитить и другие потенциально опасные настройки.

Можно конечно для этого же использовать и уникальный пин-код который бы присутствовал на наклейке на обратной стороне роутера. Но это вариант чуть замороченнее. 

Изменено 20 ноября пользователем keenet07

[cool]

7 минут назад, VVS сказал:

Если Вы этого не поняли

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки. Даже не допускаете такой возможности. А судя по произошедшему, вероятность очень приличная.

[VVS]

6 минут назад, cool сказал:

Я Вас понял прекрасно. Вы просто наверно боитесь даже самому себе признаться в вероятном наличии бекдора вне зависимости от версии прошивки.

Не, ну всё-таки постарайтесь читать внимательно то, на что Вы отвечаете.

Я, наоборот, допускаю такую вероятность в прошивке от абсолютно любого производителя.

[Razoon]

6 часов назад, Илья Хрупалов сказал:

Насколько мне известно -- не лочили. Бэкапьте прошивку и используйте. Только не забудьте все-таки пароль выставить непростой, если будете открывать наружу.

У меня с этим никогда проблем не было, мои роутеры открывались наружу ещё когда они были zyxel, и ни разу никто ничего не ломал.

[cool]

6 минут назад, VVS сказал:

допускаю такую вероятность в прошивке от абсолютно любого производителя

Очень жаль, что Netcraze/ keenetic это практически подтвердили. А была надежда.. )))

[Aleksman4o]

2 минуты назад, cool сказал:

Netcraze/ keenetic это практически подтвердили

А где бэкдор то в итоге? Кто его подтвердил?

[bigpu]

44 минуты назад, VVS сказал:

А лучшие есть?

44 минуты назад, VVS сказал:

Так на кого ориентироваться?

свечку не держал и не интересовался вопросом, но был шанс у самого Кинетика быть этим самым лучшим, пока этот шанс не слился в унитаз)

[VVS]

3 минуты назад, bigpu сказал:

свечку не держал и не интересовался вопросом, но был шанс у самого Кинетика быть этим самым лучшим

Это, так же, как и обратное, объективно ниоткуда не следует.

А субъективно Вы можете считать, что так оно и было.

[Mamay]

1 час назад, FLK сказал:

Одному мне кажется, что тема уже подходит для Курилки?

@HEcaxap

В курилку нельзя. Курилку могут читать только зарегистрированные пользователи!

Тем более на этот тред ссылается ксакеп.

[krass]

Возможно кинетики хотели избежать такого:
https://www.ixbt.com/live/nw/hakery-vzlomali-desyatki-tysyach-routerov-asus-v-rossii-tayvane-i-ssha.html

https://xakep.ru/2025/11/20/wrthug/

https://www.computerra.ru/329104/masshtabnaya-kiberataka-wrthug-porazila-desyatki-tysyach-routerov-asus/

https://www.buaq.net/go-376628.html

 

Недавно специалисты обнаружили масштабную кампанию, в ходе которой злоумышленники взломали десятки тысяч старых и снятых с поддержки маршрутизаторов ASUS. Больше всего заражённых устройств оказалось на Тайване, в США и России. Все их объединяют в единую сеть.

НО вопросы к кинетику это не снимает! 

Изменено 20 ноября пользователем krass