Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[D_K_]

Сейчас облако не хранит и не анализирует пароли. Файл блеклиста скомпрометированных паролей хранится в роутере (начиная с прошивки 4.3). И именно роутер решает пустить или не пустить, это правильно т.к исключает взлом облака чтобы проникнуть на роутер или поменять какие-то учетные данные. Невозможно заблокировать доступ в облако не обновив прошивку. В облаке нет телефона или почты. Пользователю впринципе не нужна учетная запись, достаточно из панели роутера придумать себе имя keendns и все.

Каким образом вы предлагаете кого-то оповестить на странице в облаке или еще как-то? Переделывать облако в "умное" чтобы оно само анализировало введенный пароль и решало пускать дальше на роутер или нет? А потом крики " ааа, облако взломали и оно пустило на мой роутер чужого?"

[Master2009]

27 минут назад, D_K_ сказал:

Сейчас облако не хранит и не анализирует пароли. Файл блеклиста скомпрометированных паролей хранится в роутере (начиная с прошивки 4.3). И именно роутер решает пустить или не пустить, это правильно т.к исключает взлом облака чтобы проникнуть на роутер или поменять какие-то учетные данные. Невозможно заблокировать доступ в облако не обновив прошивку. В облаке нет телефона или почты. Пользователю впринципе не нужна учетная запись, достаточно из панели роутера придумать себе имя keendns и все.

Каким образом вы предлагаете кого-то оповестить на странице в облаке или еще как-то? Переделывать облако в "умное" чтобы оно само анализировало введенный пароль и решало пускать дальше на роутер или нет? А потом крики " ааа, облако взломали и оно пустило на мой роутер чужого?"

Вы можете просто не пустить пользователя в веб-админку, показав ему вместо этого заглушку со всеми уведомлениями? Достаточно DNS A-record поменять ведь. Там можно сказать: "Мы не знаем, какой у вас пароль и скоро пустим вас в веб-админку, но мы просим подтвердить вас вашу личность и поменять пароль на хороший, так как вот такая ситуация, всех ломают, и вообще это теперь по закону надо. Извините за неудобство, не хотели беспокоить, но вот прям очень надо, ботнет на подходе."

"Введите одноразовый код из email/телефона вот сюда и поставьте галку, что пароль у вас хороший (цифры, буквы, пунктуация, 30 символов), а если нет и вы не знаете, как его сделать хорошим, то вот инструкция, подтвердите, что вы поменяете его прям сейчас и возьмёте на себя всю ответственность, иначе мы не сможем предоставлять вам веб-админку. Или вы можете пригласить того, кто знает, или обновить прошивку и она поможет вам это сделать сама, если вы сами примете это решение."

P.S. Кстати, можно добавить короткий настраиваемый пин-код на уровне "умного облака", чтобы оно пускало к роутеру только после него, так, на будущее, если руки дойдут. Это во много раз усложнит доступ для хакеров, можно подбор паролей ещё и на уровне облака блокировать.

P.P.S. Пока откланиваюсь, дел масса, надеюсь за время отсутствия "чебурнет" в роутерах не введут.

Изменено вчера в 10:16 пользователем Master2009
Дополнил сообщение.

[D_K_]

Master2009 Сколько чайников настроили себе keendns ради интереса побаловаться и забросили или настроили им их друзья "смотри тут прикольно сделано можешь с работы на роутер войти. Зачем? ну не знаю, вот тебе имя если надо запомни" Естественно никто не входил никогда. Они никогда не увидят никаких уведомлений, они не читают технических ресурсов чтобы увидеть новость об этом, они не заходят на форум "моя жизнь коротка чтобы еще читать всякие форумы советы и переписки, я заплатил чтобы просто пользоваться, а не будет работать - заплачу за другое".

Ошибка разработчиков лишь в том, что они не предусмотрели этот файл блеклиста паролей еще на этапе какой-нибудь прошивки 2.хх. И не сделали этот файл скачиваемым на роутер автоматически службой лицензирования. Чтобы на любой прошивке была актуальная база взломанных или не взломанных, но слишком простых, которые запрещены, паролей. Максимум бы что было "о, меня перестало пускать облако. А какой твой пароль был? admin 123. Ну меняй ясеь пень он заблокирован"

[Master2009]

8 минут назад, D_K_ сказал:

Сколько чайников настроили себе keendns ради интереса побаловаться и забросили или настроили им их друзья "смотри тут прикольно сделано можешь с работы на роутер войти. Зачем? ну не знаю, вот тебе имя если надо запомни" Естественно никто не входил никогда.

Ну и не войдут больше, пока не подтвердят, что пароль нормальный, а если не подтвердят, то оно им и не надо. Они же туда не заходят, вопрос решился и не надо "умного облака". Будут качать себе торренты и кино, просто удаленное управление не будет работать. А дальше см. выше, решение написал. Просто делать это надо, чтобы пользователь сам принял устраивающее и его, и вас решение в ответственной ситуации.

Изменено вчера в 10:29 пользователем Master2009
Дополнил сообщение.

[frontcccp]

Друзья мои ! Все эти бла-бла-бла это понятно. Я вот решил откатиться обратно на прошивку в момент покупки, потому, что меня категорически не устраивает этот цирк, который мне устроили эти чудилы, шаря в моём устройстве(считай в кармане) и подсовывая новые непонятные соглашения. Просто пока взял паузу. И возможно они, учитывая мнение людей которые платили им деньги, больше так поступать не будут и не откатят опять мою старую прошивку на новую. Если беспредел повторится, то я реально меняю аппарат на что-то другое, ну или все таки люди найдут способ отрезать девайс от обновлений раз и навсегда. Кто-то скажет, мол если тебе скрывать нечего и т.п, то подписывай соглашение и наслаждайся дальше, но извините, это уже дело принципа 100% и с таким скотским отношением к людям вы получите такое же скотское отношение и к вам. С неуважением, бывший фанат Зикселя и кинетиков !

[krass]

@Илья Хрупалов можно хоть немного информации?
Обрадуете в этом году или решение будет представлено уже в следующем?
А то тут уже нешуточные дебаты.

[Илья Хрупалов]

Мне нечего добавить к уже сказанному компанией, мной и теми участниками форума, кто был конструктивен. Всё решение в деталях разработчики вряд ли раскроют, а надводную часть, надеюсь, мы все увидим в недалеком будущем.

[gaaronk]

1 час назад, Илья Хрупалов сказал:

Мне нечего добавить к уже сказанному компанией, мной и теми участниками форума, кто был конструктивен. Всё решение в деталях разработчики вряд ли раскроют, а надводную часть, надеюсь, мы все увидим в недалеком будущем.

Произошёл инцидент. Неприятный. Но все бывает. 

И вместо того, чтобы честно и прозрачно рассказать:

Что случилось, почему было принято то решение, которое было принято, как такие ситуации будут обрабатываться в будущем, что сделать прямо сейчас что бы нивелировать последствия такого (не самого удачного) решения  и тд и тп.

Мы получаем отсутствие ясной коммуникации, отсутствие инструкций – «всё решение в деталях разработчики вряд ли раскроют», то есть security through obscurity, и вообще все это когда ни будь потом, не сейчас по горячим следам - «увидим в недалеком будущем».

Что же, позиция компании понятна. Спасибо.

[D_K_]

Цитата

увидим в недалеком будущем

Видимо в прошивках 5.хх, т.е чтобы отказаться от обновлений придется видимо сначала их поставить.

Хотя это легко можно сделать следующим образом. Служба лицензирования каждый раз на сервер обновлений отправляет сервис-тег и текущую версию прошивки. При обновлении в статусе "важное" на сервере обновлений создать базу в которую писать сервис-тег и результат "важный апдейт сделан". Если результат "обновлено" есть, а версия прошивки снова старее чем та что ожидается - значит считать что пользователь ее вернул умышленно и не обновлять насильно повторно. Если результат "обновлено" нет - принудительно обновить. Те кто роутером пользоваться не умеют - они возвращать прошивку не станут, останутся на новой.

В новых прошивках возможно и сделают это полное отключение. Но в старых вполне можно обойтись базой на сервере в которую внесется что пользователю прошивку ставили, а значит еще раз ставить не надо.

Да это не устранит опасность простых паролей. Но думаю все те кто вернет нужную им версию достаточно умны чтобы понять взломали их роутер или нет и простой их пароль или нет.

[Aleksman4o]

Такая клоунада - столько воплей о том, что в их драгоценный роутер влезли и принудительно обновили, специально, чтобы следить. А сами предлагают мешать нормальной работе интернета какими-то заглушками и контактные данные принудительно требовать 🤦‍♂️

Причем, стандартный функционал прошивки не пострадал в результате обновления, мог отвалиться только колхоз в виде opkg. Ну так ведь колхоз всегда ведет к страданиям.

Изменено 22 часа назад пользователем Aleksman4o

[KeyYerS]

@Aleksman4o  У Вас видимо в ходе прочтения многочисленной полемики в данной теме сформировалось весьма ложное представление о сути проблемы, озвученной в посте ТС, и развитой многими участниками обсуждения. 
За верхушкой то Вы как раз и не видите целиком айсберга...  Печально...   Поверхностное мышление изначально приводит к неверным выводам.  Вас если всё устраивает - пройдите мимо, это же не сложно...     Здесь никто не истерит.  Вдумывайтесь в смысл озвученного, перечитайте несколько раз, может дойдёт...

Изменено 21 час назад пользователем KeyYerS

[Aleksman4o]

Нет, я с самого начала видел эту дискуссию и здесь и в телеге. И никаких причин для истерии не вижу. Аргументов ровно два:

1. Опасение включения какой-то слежки за вами через обновление прошивки. Ну так тогда собирайте роутер сами на открытом железе и открытом ПО (которое, конечно же, не забывайте самостоятельно конпилять из сорцов). Только это может гарантировать иллюзию, что в новом роутере уже не было чего-то встроенного. Если не принимать во внимание то, что открытое ПО также содержит массу багов и уязвимостей. Никто особо его не исследует, а разработчики обычно заняты своей основной работой.

2. Опасение поломки какого-то ПО на роутере после обновления. Тут, я уверен, что те, кто принудительное обновление затеяли, удостоверились, что в текущем обновлении нет критичных багов (минорная версия как бы намекает), которые могут что-либо сломать.
А то, что у кого-то из-за слабого пароля отвалился удаленный доступ к критичным роутерам, которые где-то в пердях, так те - ССЗБ, не умеющие в безопасность и предпочитающие экономить на спичках, чтобы потом с пеной у рта доказывать свою правоту и тратить время на исправление последствий собственной криворукости.

[KeyYerS]

13 часов назад, AndyU сказал:

...я совсем не уверен, что он в облако не уплывает....

@AndyU  Поддержу полностью - любой может проверить: нужно назначить admin'у сложный пароль, ввести роутер в приложение из-под этой УЗ. Затем отлучить admin'а от всего возможного (ну кроме неотключаемого cli). Открыть приложение и озадачиться прочитанным. И с любой УЗ тоже самое. Пока "облако" приложения (в т.ч. и rmm и прочие) помнит юзерски-админский пароль на роутер - и уведомления приходят, и статистику видите, и управлять можете...  Как только сменили на самом роутере пасс - всё, борода!   Облако сразу "плачет" - "дай пароль..., без него не могу..."
И с личным примером:  был тикет в ТП весной этого года, по тикету (как меня уверили) была проведена работа, в результате которой из простого обычного селф-теста была исключена моя выгружавшаяся в него электропочта, привязанная к моему аккаунту.   Для какой цели в селф-тест аыгружались мои ник и почта - внятного ответа я так и не получил. И только в настоятельно требовательной переписке и телефонных разговорах наконец-то (я надеюсь что это так, как меня уверили) эти параметры были исключены из выгрузки в селф-тест.

@and0r  Описываемое не в "прошивке" роутера, а как раз на стороне "облака":  если у домохозяйки, которой кто-то из сведущих рекомендовал и после покупки настроил роутер, выключив автообнову и внешний доступ вместе с удалённым управлением - так и не подвержен такой роутер ботнету - цеплять то его не за что...
                  Если автообнова отключена, но активен внешний доступ (вариант как минимум тому сведущему доступный) - так со стороны облака ему и показ заглушки при любой попытке входа: "...Ай-яй-яй! Обновись, иначе околеешь...".  Роутер же "обозначил" свою текущую версию гораздо заранее, свой CID и. т.п. в облако серверу.

Изменено 9 часов назад пользователем KeyYerS
дополнено по сути

[Vorobyev_A]

7 минут назад, Vorobyev_A сказал:

Чтобы два раза не вставать.
Кому мы отдаём персональные данные?

Такое комментировать - только портить.

[Denis P]

2 часа назад, Vorobyev_A сказал:

Такое комментировать - только портить.

Историю компании по ИНН не смогли победить? Открыли бы для себя много нового

[Vorobyev_A]

13 минут назад, Denis P сказал:

Историю компании по ИНН не смогли победить? Открыли бы для себя много нового

Исторически вопросы оставим историкам.

Вопрос остаётся открытым:

Кому мы отдаём персональные данные?

Т.к. я не не увидел лицензий в принципе - в т.ч. на обработку ПД.

Изменено 6 часов назад пользователем Vorobyev_A

[Denis P]

4 минуты назад, Vorobyev_A сказал:

Исторически вопросы оставим историкам.

Вопрос остаётся открытым:

Кому мы отдаём персональные данные? 

Есть стойкое ощущение то ли троллинга, то ли не умения в поиск информации

https://pd.rkn.gov.ru/operators-registry/operators-list/?id=77-21-020893

Изменено 6 часов назад пользователем Denis P

[Vorobyev_A]

55 минут назад, Denis P сказал:

Есть стойкое ощущение то ли троллинга, то ли не умения в поиск информации

https://pd.rkn.gov.ru/operators-registry/operators-list/?id=77-21-020893

Умею.

"цель обработки персональных данных Ведение кадрового и бухгалтерского учета"

"категории субъектов, персональные данные которых обрабатываются    

Работники,Соискатели,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Обеспечение соблюдения налогового законодательства РФ"

"категории субъектов, персональные данные которых обрабатываются    Работники,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Подготовка, заключение и исполнение гражданско-правового договора"

"Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Продвижение товаров, работ, услуг на рынк"

"Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Законные представители,Иные категории субъектов персональных данных, персональные данные которых обрабатываются; участники акций, конкурсов и других маркетинговых и стимулирующих мероприятий"

"цель обработки персональных данных    Подбор персонала (соискателей) на вакантные должности оператора"

"категории субъектов, персональные данные которых обрабатываются    Соискатели,Посетители сайта;"

Я, как покупатель продукции "Кинетик/"НЕТКРЕЙЗ" - к какой категории отношусь?

Изменено 5 часов назад пользователем Vorobyev_A

[Denis P]

30 минут назад, Vorobyev_A сказал:

Умею.

"цель обработки персональных данных Ведение кадрового и бухгалтерского учета"

"категории субъектов, персональные данные которых обрабатываются    

Работники,Соискатели,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Обеспечение соблюдения налогового законодательства РФ"

"категории субъектов, персональные данные которых обрабатываются    Работники,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Подготовка, заключение и исполнение гражданско-правового договора"

"Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"

"цель обработки персональных данных    Продвижение товаров, работ, услуг на рынк"

"Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Законные представители,Иные категории субъектов персональных данных, персональные данные которых обрабатываются; участники акций, конкурсов и других маркетинговых и стимулирующих мероприятий"

"цель обработки персональных данных    Подбор персонала (соискателей) на вакантные должности оператора"

"категории субъектов, персональные данные которых обрабатываются    Соискатели,Посетители сайта;"

Я, как покупатель продукции "Кинетик/"НЕТКРЕЙЗ" - к какой категории отношусь?

Подготовка, заключение и исполнение гражданско-правового договора"
см. ГК РФ Статья 1235. Лицензионный договор
 

[Vorobyev_A]

17 минут назад, Denis P сказал:

Подготовка, заключение и исполнение гражданско-правового договора"
см. ГК РФ Статья 1235. Лицензионный договор
 

Хорошо.

[MDP]

56 минут назад, Vorobyev_A сказал:

Умею.

"цель обработки персональных данных Ведение кадрового и бухгалтерского учета"

"категории субъектов, персональные данные которых обрабатываются    

Работники,Соискатели,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов,Клиенты,Посетители сайта,Выгодоприобретатели по договорам,Учащиеся,Студенты,Законные представители;"
Я, как покупатель продукции, "Кинетик/"НЕТКРЕЙЗ" - к какой категории отношусь?

Может обработкой ПДн занимаетесь?

 

[MDP]

Вообще если производится обработка ПДн, то автоматом устройство защищающее должно быть сертифицировано по тех защите и крипто защите у товарища Майора !!! 

[Vorobyev_A]

21 минуту назад, MDP сказал:

Может обработкой ПДн занимаетесь?

 

"...как покупатель продукции..." занимаюсь обработкой ПД?
Поясните причинно-следственную связь.

[Vorobyev_A]

11 минут назад, MDP сказал:

Вообще если производится обработка ПДн, то автоматом устройство защищающее должно быть сертифицировано по тех защите и крипто защите у товарища Майора !!! 

А, понял.

"Остап со вчерашнего дня ещё ничего не ел. Поэтому красноречие его было необыкновенно." ©

[MDP]

4 минуты назад, Vorobyev_A сказал:

"...как покупатель продукции..." занимаюсь обработкой ПД?
Поясните причинно-следственную связь.

Может Вы ЮЛ или ИП ...какой покупатель?

[Vorobyev_A]

9 минут назад, MDP сказал:

Может Вы ЮЛ или ИП ...какой покупатель?

Внимательнее.

Речь об обработке моих ПД со стороны "Кинетик/"НЕТКРЕЙЗ".

[MDP]

2 минуты назад, Vorobyev_A сказал:

Внимательнее.

Речь об обработке моих ПД со стороны "Кинетик/"НЕТКРЕЙЗ".

Непонятно...а как Вы их передавали им? ...ФИО адрес телефон и прочие реквизиты, которые однозначно могут идентифицировать Вас? 

 

Изменено 4 часа назад пользователем MDP

[Vorobyev_A]

13 минут назад, MDP сказал:

Непонятно...а как Вы их передавали им? ...ФИО адрес телефон и прочие реквизиты, которые однозначно могут идентифицировать Вас? 

 

Как они собирали - так и передавал.
За более подробной обратитесь в юридический отдел "Кинетик/"НЕТКРЕЙЗ" - Вам доступно и популярно объяснят, что и как они собирают.

[KeyYerS]

1 час назад, MDP сказал:

...ФИО адрес телефон и прочие реквизиты...

Звонок в ТП с номера (фикс номера в БД); краткая беседа, в 99,999% заканчивающаяся "..Пришлите нам в почту селф-тест и описание проблемы..." (фикс почты и ФИО в БД); разбор ими селф-теста (с фиксом в БД всех клиентов, их MAC-адресов, DNS-ов прова и прочего-прочего).  Что стараются соблюдать 152-ФЗ - молодцы, но что "...будем передавать Ваши ПД третьим лицам..." /читай по своему усмотрению/ - не комильфо...
Вероятно многие будут удивлены, но в ГосУслугах вся инфа с отображением номера/ов телефона/ов...

Кстати:   в разделе "Юр информация" на сайте netcraze.ru  пункт 19   полностью противоречит действиям сотрудников компании, повлекших последствия, обсуждаемые в данной теме.

Спойлер