Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[MDP]

1 минуту назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

ну кто так делает в серьёзных организациях? В РЖД я уверен не вылазят контролирующие органы в сфере ИБ...там много идёт обработки ПДн. ...критическая инфраструктура и т.п и т д

[Joyn Silver]

9 минут назад, Denis P сказал:

Там как раз по умолчанию не было раньше пароля на учетке admin, потом сделали обязательным

Сделали всем принудительно? Просто взяли обновили микроты удаленно?

[slomblobov]

1 hour ago, Joyn Silver said:

есть официальные прошивки и к ним нужно сделать хеши

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

[Joyn Silver]

23 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

[VVS]

1 час назад, MDP сказал:

Единственное чего я не понимаю, зачем разрабы решили сделать это доброе дело?...ну и фиг с ним, ну и пусть вскрывают устройства...им то какая маржа от этого, только кинули пачку дрожжей в сельский туалет.))))

Вообще ничего не надо было предпринимать.

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

[Joyn Silver]

1 минуту назад, VVS сказал:

Чтобы потом те же самые персонажи, которых мы уже здесь видим, не начали блажить на весь мир, что keenetic дыряв и это привело к созданию ботнета.

Уж лучше пусть блажат на тему, что keenetic за ними шпионит - этот плач Ярославны соберёт гораздо меньше слушателей.

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

[VVS]

12 минут назад, Joyn Silver сказал:

И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

[VVS]

3 минуты назад, Joyn Silver сказал:

Вот тут вы правы, кинетик дыряв, и не известно пока насколько дыра доступна хакерам, а вот вендору точно доступна.

Про плач Ярославны я написал чуть выше...

[keenet07]

16 минут назад, Joyn Silver сказал:

В свете последних принудительных обновлений, я понятия не имею что там устройство проверяет. И поэтому Хочу делать это своими руками, как и прошивать его. И вообще не понятно, это же очевидные вещи которые есть у всех, а тут все против чтоли, вам от этого что, хуже станет?

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

[Joyn Silver]

2 минуты назад, VVS сказал:

Если объяснить попроще, так, чтобы Вам было понятнее, то можно сказать, что

1. Пока будут считаться все контрольные суммы, выйдет новая прошивка, а может и Солнце уже потухнет.

2. У Вас не хватит места на диске, чтобы хранить все варианты контрольных сумм.

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

[Joyn Silver]

2 минуты назад, keenet07 сказал:

И как это всё у вас вообще в голове укладывается? С одной стороны вы не доверяете вендору, говорите, что там куча бэкдоров, прошивка не известно чем занимается, доверять нельзя. А с другой стороны говорите, что вот если вы будете подписывать каждую прошивку, то тогда всё хорошо будет. В чем логика?

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

[walador]

53 минуты назад, slomblobov сказал:

Официальные прошивки подписаны цифровой подписью. Устройство проверяет подпись и не позволяет шить фотография_кота.jpg.

Поменяйте любой байт в прошивке и слетит подпись.

Ручное сравнение хеша не требуется.

И где подпись?

[VVS]

3 минуты назад, Joyn Silver сказал:

1. Прошивок официальных не миллиард, и как тогда считают хеши все остальные производители? У них и поболе прошивок так то.

Конечно вариантов не миллиард, а гораздо больше.

4 минуты назад, Joyn Silver сказал:

2. Мне не нужны все варианты контрольных сумм, только те, которые у меня есть.

Откуда производитель может заранее знать, какой из миллиардов вариантов прошивок установлен у Вас?

[keenet07]

1 минуту назад, Joyn Silver сказал:

Я по умолчанию не доверяю никаким вендорам и никаким прошивкам, поэтому никаких автообновлений! И да, я не знаю, точно также как и все здесь присутствующие чем занимается прошивка. И я не собираюсь ничего подписывать, хешем ничего не подписывают.

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

[keenet07]

1 минуту назад, walador сказал:

И где подпись?

Не так буквально. Всё происходит под капотом.

[walador]

То есть, засекречено?😄

[keenet07]

7 минут назад, walador сказал:

То есть, засекречено?😄

Принцип другой. То что у вас на скрине это цифровая подпись для файлов контейнеров Windows PE/EXE для .exe .dll .sys файлов.

Изменено 8 часов назад пользователем keenet07

[Joyn Silver]

5 минут назад, keenet07 сказал:

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно. Заняло это времени меньше секунды. И даже мой файловый менеджер предлагает сравнить хеш что указан на сайте, но его НЕТ! 

[Joyn Silver]

14 минут назад, keenet07 сказал:

Но это не ответ. Хэш это как индивидуальная подпись конкретного экземпляра. Только что вам это даст то?

Хеш это не цифровая подпись, погуглите.

[keenet07]

2 часа назад, Joyn Silver сказал:

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно. Заняло это времени меньше секунды. И даже мой файловый менеджер предлагает сравнить хеш что указан на сайте, но его НЕТ! 

Я понимаю, что вам очень нравится идея хеш файлов и способ удостовериться что файл соответствует тому что выложил разработчик. Что вам это даст. Ну вот вы убедились что файл оригинальный. И что? В свете текущей темы и всех ваших претензий к вендору.

Изменено 5 часов назад пользователем keenet07

[keenet07]

1 минуту назад, Joyn Silver сказал:

Хеш это не цифровая подпись, погуглите.

Отпечаток файла. Такой термин вам больше нравится.

[VVS]

7 минут назад, Joyn Silver сказал:

Да то что мне это даст я и так сделаю. Я просто хочу донести, что дефакто это стандарт для всех, которого здесь не придерживаются. Вот кстати скачал первую попавшеюся прошивку с сайта, вычислил хеш за доли секунды, и теперь он у меня есть, но почему все отпираются от него, мне немного не понятно.

А теперь представьте, сколько времени займёт, если Ваши доли секунды умножить на миллиарды, а может быть и сотни миллиардов...

[Joyn Silver]

1 минуту назад, keenet07 сказал:

Я понимаю, что вам очень нравится идея хеш файлов и способ удостовериться что файл соответствует тому что выложил разработчик. Что вам это даст. Ну вот вы убедились что файл оригинальный. И что? В свете текущей темы.

Ну наконец то вернулись к тому с чего я начал все это. Это даст мне контроль, я буду уверен что никакой хакер или еще кто не подменил прошивку в роутере так что версия в вебморде осталась такой как и была. Если коротко, это чуть больше контроля за тем что происходит в роутере с прошивками.

3 минуты назад, keenet07 сказал:

Отпечаток файла. Такой термин вам больше нравится.

Тут вопрос не в нравиться или не нравиться, вопрос безопасности.

[Joyn Silver]

1 минуту назад, VVS сказал:

А теперь представьте, сколько времени займёт, если Ваши доли секунды умножить на миллиарды, а может быть и сотни миллиардов...

Вам посчитать сколько прошивок выложено официально? Да и зачем, можно начать с чистого листа, и для каждой прошивки хеш сделать.

 

[VVS]

Только что, Joyn Silver сказал:

Вам посчитать сколько прошивок выложено официально? Да и зачем, можно начать с чистого листа, и для каждой прошивки хеш сделать.

А их (вариантов прошивок) миллиарды...

Ну Вам же уже всё это объясняли, неужели до сих пор непонятно?

[Joyn Silver]

2 минуты назад, VVS сказал:

А их (вариантов прошивок) миллиарды...

Ну Вам же уже всё это объясняли, неужели до сих пор непонятно?

Мне не нужны милиарды прошивок модифицированных на ротурах пользователей, я говорю про ОФИЦИАЛЬНЫЕ прошивки выложенные на сайте. Читайте внимательней. Конкретно в ветке /KN-2610/5.00/ выложено всего 24 прошивки, и вот для них где хеши, почему их нет? В чем проблема?

[keenet07]

Только что, Joyn Silver сказал:

Ну наконец то вернулись к тому с чего я начал все это. Это даст мне контроль, я буду уверен что никакой хакер или еще кто не подменил прошивку в роутере так что версия в вебморде осталась такой как и была. Если коротко, это чуть больше контроля за тем что происходит в роутере с прошивками.

Блин это и сейчас всё доступно вам. Выгружаете из роутера файл прошивки. Сохраняете хэш файла. Считаете его исходным доверенным. Как только вам показалось что вас обновили, хакеры или вендор незаметно. Снова выгружаете файл прошивки и сверяете со старым.

[VVS]

Только что, Joyn Silver сказал:

Мне не нужны милиарды прошивок модифицированных на ротурах пользователей, я говорю про ОФИЦИАЛЬНЫЕ прошивки выложенные на сайте. Читайте внимательней. Конкретно в ветке /KN-2610/5.00/ выложено всего 24 прошивки, и вот для них где хеши, почему их нет? В чем проблема?

От того, что я добавлю в прошивку, например iperf - она перестанет быть официальной?

[keenet07]

16 минут назад, Joyn Silver сказал:

Вам посчитать сколько прошивок выложено официально? Да и зачем, можно начать с чистого листа, и для каждой прошивки хеш сделать.

Для выложенных базовых файлов прошивок для всех устройств хэш посчитать можно. Весь вопрос в том куда они выкладываются и где публиковать хэши файлов. Но я вам уже объяснял, что базовая прошивка это не полный набор компонентов. Он уменьшен до базового, чтобы прошивка могла поместиться на младшие модели роутеров у которых объем флэшь поменьше. Вы готовы вечно сидеть на таких урезанных прошивках, но зато быть уверенным что она точно от производителя. Ну тогда да, их хэши от производителя, это то что вам нужно. 

Изменено 8 часов назад пользователем keenet07

[rabotasever]

Это писец! Я удаленщик. Все эти дни я вынужден материть Ростелеком, шарахаться по кафешкам и прочим местам где есть вайфай, чтобы нормально поработать. А все дело оказалось в том, что какие-то мегагениальные умники решили выкатить обнову несмотря на то, что автообновление отключено!!!

 И ладно бы ваши обновы корректно работали, я бы не возмущался. Но у меня с вашими обновами начались пробемы еще с версии 4.3.3. Посмотрите в чатике, такие проблемы были не у меня одного. И там же по советам добрых людей я откатился на версию 4.2.6.3 на которой благополучно сидел до сегодняшних дней. 

И когда я обращался в поддержку с пробемой лагов интернета на версии 4.3.3 - мне ответили:

Цитата

Нет, подобных массовых проблем с 4.3.3 мы не фиксируем.

Доказывать что я не дурак не стал. Откатился и жил благополучно. Но сотрудники Кинетика решили, что этого мало. Слишком благополучно живут покупатели их устройств. Надо обязательно усложнить им жизнь очередной кривой обновой, так еще и накатанной без просьбы владельца устройства. 

Вот кто вы после этого?