Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[krass]

@Илья Хрупалов можно хоть немного информации?
Обрадуете в этом году или решение будет представлено уже в следующем?
А то тут уже нешуточные дебаты.

[Илья Хрупалов]

Мне нечего добавить к уже сказанному компанией, мной и теми участниками форума, кто был конструктивен. Всё решение в деталях разработчики вряд ли раскроют, а надводную часть, надеюсь, мы все увидим в недалеком будущем.

[gaaronk]

1 час назад, Илья Хрупалов сказал:

Мне нечего добавить к уже сказанному компанией, мной и теми участниками форума, кто был конструктивен. Всё решение в деталях разработчики вряд ли раскроют, а надводную часть, надеюсь, мы все увидим в недалеком будущем.

Произошёл инцидент. Неприятный. Но все бывает. 

И вместо того, чтобы честно и прозрачно рассказать:

Что случилось, почему было принято то решение, которое было принято, как такие ситуации будут обрабатываться в будущем, что сделать прямо сейчас что бы нивелировать последствия такого (не самого удачного) решения  и тд и тп.

Мы получаем отсутствие ясной коммуникации, отсутствие инструкций – «всё решение в деталях разработчики вряд ли раскроют», то есть security through obscurity, и вообще все это когда ни будь потом, не сейчас по горячим следам - «увидим в недалеком будущем».

Что же, позиция компании понятна. Спасибо.

[D_K_]

Цитата

увидим в недалеком будущем

Видимо в прошивках 5.хх, т.е чтобы отказаться от обновлений придется видимо сначала их поставить.

Хотя это легко можно сделать следующим образом. Служба лицензирования каждый раз на сервер обновлений отправляет сервис-тег и текущую версию прошивки. При обновлении в статусе "важное" на сервере обновлений создать базу в которую писать сервис-тег и результат "важный апдейт сделан". Если результат "обновлено" есть, а версия прошивки снова старее чем та что ожидается - значит считать что пользователь ее вернул умышленно и не обновлять насильно повторно. Если результат "обновлено" нет - принудительно обновить. Те кто роутером пользоваться не умеют - они возвращать прошивку не станут, останутся на новой.

В новых прошивках возможно и сделают это полное отключение. Но в старых вполне можно обойтись базой на сервере в которую внесется что пользователю прошивку ставили, а значит еще раз ставить не надо.

Да это не устранит опасность простых паролей. Но думаю все те кто вернет нужную им версию достаточно умны чтобы понять взломали их роутер или нет и простой их пароль или нет.

[AndyU]

7 hours ago, D_K_ said:

Сейчас облако не хранит и не анализирует пароли.

Чтобы добавить в приложение удаленный (remote) роутер, вы должны ввести в приложениие его CID и пароль администратора. Что-то я совсем не уверен, что он в облако не уплывает.

Изменено 3 часа назад пользователем AndyU

[Aleksman4o]

Такая клоунада - столько воплей о том, что в их драгоценный роутер влезли и принудительно обновили, специально, чтобы следить. А сами предлагают мешать нормальной работе интернета какими-то заглушками и контактные данные принудительно требовать 🤦‍♂️

Причем, стандартный функционал прошивки не пострадал в результате обновления, мог отвалиться только колхоз в виде opkg. Ну так ведь колхоз всегда ведет к страданиям.

Изменено 3 часа назад пользователем Aleksman4o

[KeyYerS]

@Aleksman4o  У Вас видимо в ходе прочтения многочисленной полемики в данной теме сформировалось весьма ложное представление о сути проблемы, озвученной в посте ТС, и развитой многими участниками обсуждения. 
За верхушкой то Вы как раз и не видите целиком айсберга...  Печально...   Поверхностное мышление изначально приводит к неверным выводам.  Вас если всё устраивает - пройдите мимо, это же не сложно...     Здесь никто не истерит.  Вдумывайтесь в смысл озвученного, перечитайте несколько раз, может дойдёт...

Изменено 2 часа назад пользователем KeyYerS

[Aleksman4o]

Нет, я с самого начала видел эту дискуссию и здесь и в телеге. И никаких причин для истерии не вижу. Аргументов ровно два:

1. Опасение включения какой-то слежки за вами через обновление прошивки. Ну так тогда собирайте роутер сами на открытом железе и открытом ПО (которое, конечно же, не забывайте самостоятельно конпилять из сорцов). Только это может гарантировать иллюзию, что в новом роутере уже не было чего-то встроенного. Если не принимать во внимание то, что открытое ПО также содержит массу багов и уязвимостей. Никто особо его не исследует, а разработчики обычно заняты своей основной работой.

2. Опасение поломки какого-то ПО на роутере после обновления. Тут, я уверен, что те, кто принудительное обновление затеяли, удостоверились, что в текущем обновлении нет критичных багов (минорная версия как бы намекает), которые могут что-либо сломать.
А то, что у кого-то из-за слабого пароля отвалился удаленный доступ к критичным роутерам, которые где-то в пердях, так те - ССЗБ, не умеющие в безопасность и предпочитающие экономить на спичках, чтобы потом с пеной у рта доказывать свою правоту и тратить время на исправление последствий собственной криворукости.

[KeyYerS]

1 час назад, AndyU сказал:

...я совсем не уверен, что он в облако не уплывает....

@AndyU  Поддержу полностью - любой может проверить: нужно назначить admin'у сложный пароль, ввести роутер в приложение из-под этой УЗ. Затем отлучить admin'а от всего возможного (ну кроме неотключаемого cli). Открыть приложение и озадачиться прочитанным. И с любой УЗ тоже самое. Пока "облако" приложения (в т.ч. и rmm и прочие) помнит юзерски-админский пароль на роутер - и уведомления приходят, и статистику видите, и управлять можете...  Как только сменили на самом роутере пасс - всё, борода!   Облако сразу "плачет" - "дай пароль..., без него не могу..."
И с личным примером:  был тикет в ТП весной этого года, по тикету (как меня уверили) была проведена работа, в результате которой из простого обычного селф-теста была исключена моя выгружавшаяся в него электропочта, привязанная к моему аккаунту.   Для какой это было цели - внятного ответа я так и не получил. И только в настоятельно требовательной переписке и телефонных разговорах наконец-то (я надеюсь что это так, как меня уверили) параметр был исключён из выгрузки.

@and0r  Описываемое не в "прошивке" роутера, а как раз на стороне "облака":  если у домохозяйки, которой кто-то из сведущих рекомендовал и после покупки настроил роутер, выключив автообнову и внешний доступ вместе с удалённым управлением - так и не подвержен такой роутер ботнету - цеплять то его не за что...
                  Если автообнова отключена, но активен внешний доступ (вариант как минимум тому сведущему доступный) - так со стороны облака ему и показ заглушки при любой попытке входа: "...Ай-яй-яй! Обновись, иначе околеешь...".  Роутер же "обозначил" свою текущую версию гораздо заранее, свой CID и. т.п. в облако серверу.

Изменено 1 час назад пользователем KeyYerS
дополнено по сути