Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября, 2025 пользователем F2QYQ

[Илья Хрупалов]

9 часов назад, Joyn Silver сказал:

Так как в прошивку можно накидать чего угодно, организовать любой доступ и при этом можно сделать так что никто и не заметит, увы.

Осталось ответить на вопрос, почему ровно то же самое было не добавить в те прошивки, которые пользователи сами ставили и ставят? Никто же не заметит.

[Joyn Silver]

26 минут назад, Илья Хрупалов сказал:

Осталось ответить на вопрос, почему ровно то же самое было не добавить в те прошивки, которые пользователи сами ставили и ставят? Никто же не заметит.

Это вопрос не ко мне, а к тем кто эти прошивки делает. Может такое уже и случалось, я же не могу проверить. Вот если бы выкладывали хеши вместе с прошивками, и при желании я мог бы сравнить хеш прошивки в моем роутере с хешем на сайте, тогда вопросов было бы меньше.

[TheBB]

1 час назад, Joyn Silver сказал:

Вот если бы выкладывали хеши вместе с прошивками

Сколько хешей 1 (одной!) версии прошивки для 1 (одного!) отдельно взятого устройства будет на выходе?

[keenet07]

2 часа назад, TheBB сказал:

Сколько хешей 1 (одной!) версии прошивки для 1 (одного!) отдельно взятого устройства будет на выходе?

Количество хэшей для всех комбинаций сборок

Таблица: 2^N комбинаций

N компонентов	Хэшей нужно	Читаемо
3	8	8
5	32	32
8	256	256
10	1 024	~1 тысяча
12	4 096	~4 тысячи
15	32 768	~33 тысячи
16	65 536	~65 тысяч
20	1 048 576	~1 миллион
24	16 777 216	~17 миллионов
30	1 073 741 824	~1 миллиард
32	4 294 967 296	~4 миллиарда
40	1 099 511 627 776	~1 триллион
50	~1.1 × 10¹⁵	~1 квадриллион
64	~1.8 × 10¹⁹	18 квинтиллионов
100	~1.3 × 10³⁰	нереально

Считалка хэшей устанет.

Сколько там в прошивке разных необязательных компонентов? Соответственно вариаций.

Это не учитывая зависимости.

Изменено 26 ноября, 2025 пользователем keenet07

[Joyn Silver]

10 минут назад, keenet07 сказал:

Количество хэшей для всех комбинаций сборок

Таблица: 2^N комбинаций

N компонентов	Хэшей нужно	Читаемо
3	8	8
5	32	32
8	256	256
10	1 024	~1 тысяча
12	4 096	~4 тысячи
15	32 768	~33 тысячи
16	65 536	~65 тысяч
20	1 048 576	~1 миллион
24	16 777 216	~17 миллионов
30	1 073 741 824	~1 миллиард
32	4 294 967 296	~4 миллиарда
40	1 099 511 627 776	~1 триллион
50	~1.1 × 10¹⁵	~1 квадриллион
64	~1.8 × 10¹⁹	18 квинтиллионов
100	~1.3 × 10³⁰	нереально

Считалка хэшей устанет.

Сколько там в прошивке разных компонентов? Соответственно вариаций.

Это не учитывая зависимости.

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители. 

[MDP]

ну комбинаций много меньше)))) ...надо бы в выходной посчитать...тут сочетания надо рассматривать...

[MDP]

1 минуту назад, Joyn Silver сказал:

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители. 

тут магазин приложений...не нужен мне например ipv6 и ещё чего то...другим в другой комбинации из компонентов...и так сочетаний огромное колличество

[keenet07]

7 минут назад, Joyn Silver сказал:

Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители.

Какой в этом смысл? Ну скачаете вы вручную эту базовую прошивку. С базовым набором компонентов, а потом вам понадобится что-то в набор включить или исключить и она полностью перезапишется с серверов обновлений. Полностью. Все компоненты. По-другому не работает.

Изменено 26 ноября, 2025 пользователем keenet07

[Joyn Silver]

3 минуты назад, keenet07 сказал:

Какой в этом смысл? Ну скачаете вы вручную эту базовую прошивку. С базовым набором компонентов, а потом вам понадобится что-то в набор включить или исключить и она полностью перезапишется с серверов обновлений. Полностью. Все компоненты.

Вот а потом будет другой разговор. Но пока и этого нет. Можно хеши и для компонентов сделать, но это можно и потом ))). И как говорит мой друг, потом, по японски - никогда )))

[TheBB]

10 минут назад, Joyn Silver сказал:

Не несите чушь. Просто есть официальные прошивки и к ним нужно сделать хеши, как делают все уважаемые производители. 

Это прошивки всёводном (без возможности изменения состава компонентов), а не модульные, как у ненавистной вам фирме...

[Joyn Silver]

3 минуты назад, TheBB сказал:

Это прошивки всёводном (без возможности изменения состава компонентов), а не модульные, как у ненавистной вам фирме...

Это никак их не оправдывает, не успокаивает меня и не отменяет возможности сделать то о чем я пишу. Да пусть что хотят делают, мне вообще уже пофиг.

[MDP]

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

[Denis P]

4 минуты назад, MDP сказал:

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

чтобы потом "прославиться" как тот же микротик с РЖД?

Изменено 26 ноября, 2025 пользователем Denis P

[Joyn Silver]

2 минуты назад, Denis P сказал:

чтобы потом "прославиться" как тот же микротик с РЖД?

Да там не микрот скорее прославился, а сам ржд.

[MDP]

6 минут назад, Denis P сказал:

чтобы потом "прославиться" как тот же микротик с РЖД?

Вообще причем тут нарушение пользователем основ ИБ и микротик с РЖД ? Ну многие бренды имеют пароли adm adm ...от телефонов sip до кофеварок и маршрутизаторов

Изменено 26 ноября, 2025 пользователем MDP

[Denis P]

7 минут назад, MDP сказал:

Вообще причем тут нарушение пользователем основ ИБ и микротик с РЖД

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

[MDP]

1 минуту назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

ну кто так делает в серьёзных организациях? В РЖД я уверен не вылазят контролирующие органы в сфере ИБ...там много идёт обработки ПДн. ...критическая инфраструктура и т.п и т д

[Joyn Silver]

9 минут назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

Сделали всем принудительно? Просто взяли обновили микроты удаленно?

[slomblobov]

1 hour ago, Joyn Silver said:

есть официальные прошивки и к ним нужно сделать хеши

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

[Joyn Silver]

23 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

[VVS]

1 час назад, MDP сказал:

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

[Joyn Silver]

1 минуту назад, VVS сказал:

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

[VVS]

12 минут назад, Joyn Silver сказал:

И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

[VVS]

3 минуты назад, Joyn Silver сказал:

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

Про плач Ярославны я написал чуть выше...

[keenet07]

16 минут назад, Joyn Silver сказал:

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

[Joyn Silver]

2 минуты назад, VVS сказал:

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

[Joyn Silver]

2 минуты назад, keenet07 сказал:

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

[walador]

53 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

И где подпись?

[VVS]

3 минуты назад, Joyn Silver сказал:

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

Конечно вариантов не миллиард, а гораздо больше.

4 минуты назад, Joyn Silver сказал:

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

Откуда производитель может заранее знать, какой из миллиардов вариантов прошивок установлен у Вас?

[keenet07]

1 минуту назад, Joyn Silver сказал:

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?