Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[MDP]

1 минуту назад, Joyn Silver сказал:

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители. 

тут магазин приложений...не нужен мне например ipv6 и ещё чего то...другим в другой комбинации из компонентов...и так сочетаний огромное колличество

[keenet07]

7 минут назад, Joyn Silver сказал:

Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители.

Какой в этом смысл? Ну скачаете вы вручную эту базовую прошивку. С базовым набором компонентов, а потом вам понадобится что-то в набор включить или исключить и она полностью перезапишется с серверов обновлений. Полностью. Все компоненты. По-другому не работает.

Изменено Среда в 16:00 пользователем keenet07

[Joyn Silver]

3 минуты назад, keenet07 сказал:

Какой в этом смысл? Ну скачаете вы вручную эту базовую прошивку. С базовым набором компонентов, а потом вам понадобится что-то в набор включить или исключить и она полностью перезапишется с серверов обновлений. Полностью. Все компоненты.

Вот а потом будет другой разговор. Но пока и этого нет. Можно хеши и для компонентов сделать, но это можно и потом ))). И как говорит мой друг, потом, по японски - никогда )))

[TheBB]

10 минут назад, Joyn Silver сказал:

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители. 

Это прошивки всёводном (без возможности изменения состава компонентов), а не модульные, как у ненавистной вам фирме...

[Joyn Silver]

3 минуты назад, TheBB сказал:

Это прошивки всёводном (без возможности изменения состава компонентов), а не модульные, как у ненавистной вам фирме...

Это никак их не оправдывает, не успокаивает меня и не отменяет возможности сделать то о чем я пишу. Да пусть что хотят делают, мне вообще уже пофиг.

[MDP]

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

[Denis P]

4 минуты назад, MDP сказал:

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

чтобы потом "прославиться" как тот же микротик с РЖД?

Изменено Среда в 16:26 пользователем Denis P

[Joyn Silver]

2 минуты назад, Denis P сказал:

чтобы потом "прославиться" как тот же микротик с РЖД?

Да там не микрот скорее прославился, а сам ржд.

[MDP]

6 минут назад, Denis P сказал:

чтобы потом "прославиться" как тот же микротик с РЖД?

Вообще причем тут нарушение пользователем основ ИБ и микротик с РЖД ? Ну многие бренды имеют пароли adm adm ...от телефонов sip до кофеварок и маршрутизаторов

Изменено Среда в 16:35 пользователем MDP

[Denis P]

7 минут назад, MDP сказал:

Вообще причем тут нарушение пользователем основ ИБ и микротик с РЖД

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

[MDP]

1 минуту назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

ну кто так делает в серьёзных организациях? В РЖД я уверен не вылазят контролирующие органы в сфере ИБ...там много идёт обработки ПДн. ...критическая инфраструктура и т.п и т д

[Joyn Silver]

9 минут назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

Сделали всем принудительно? Просто взяли обновили микроты удаленно?

[slomblobov]

1 hour ago, Joyn Silver said:

есть официальные прошивки и к ним нужно сделать хеши

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

[Joyn Silver]

23 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

[VVS]

1 час назад, MDP сказал:

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

[Joyn Silver]

1 минуту назад, VVS сказал:

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

[VVS]

12 минут назад, Joyn Silver сказал:

И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

[VVS]

3 минуты назад, Joyn Silver сказал:

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

Про плач Ярославны я написал чуть выше...

[keenet07]

16 минут назад, Joyn Silver сказал:

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

[Joyn Silver]

2 минуты назад, VVS сказал:

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

[Joyn Silver]

2 минуты назад, keenet07 сказал:

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

[walador]

53 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

И где подпись?

[VVS]

3 минуты назад, Joyn Silver сказал:

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

Конечно вариантов не миллиард, а гораздо больше.

4 минуты назад, Joyn Silver сказал:

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

Откуда производитель может заранее знать, какой из миллиардов вариантов прошивок установлен у Вас?

[keenet07]

1 минуту назад, Joyn Silver сказал:

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

[keenet07]

1 минуту назад, walador сказал:

И где подпись?

Не так буквально. Всё происходит под капотом.

[walador]

То есть, засекречено?😄

[keenet07]

7 минут назад, walador сказал:

То есть, засекречено?😄

Принцип другой. То что у вас на скрине это цифровая подпись для файлов контейнеров Windows PE/EXE для .exe .dll .sys файлов.

Изменено Среда в 18:16 пользователем keenet07

[Joyn Silver]

5 минут назад, keenet07 сказал:

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно. Заняло это времени меньше секунды. И даже мой файловый менеджер предлагает сравнить хеш что указан на сайте, но его НЕТ! 

[Joyn Silver]

14 минут назад, keenet07 сказал:

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

Хеш это не цифровая подпись, погуглите.

[keenet07]

2 часа назад, Joyn Silver сказал:

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно. Заняло это времени меньше секунды. И даже мой файловый менеджер предлагает сравнить хеш что указан на сайте, но его НЕТ! 

Я понимаю, что вам очень нравится идея хеш файлов и способ удостовериться что файл соответствует тому что выложил разработчик. Что вам это даст. Ну вот вы убедились что файл оригинальный. И что? В свете текущей темы и всех ваших претензий к вендору.

Изменено Среда в 20:53 пользователем keenet07