Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено Пятница в 17:36 пользователем F2QYQ

[hoaxisr]

1 минуту назад, drugold сказал:

А вот, что ASUS пишут

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему, а потом провести уже закрытие дырок и у людей ничего бы не подгорело. Но как часто бывает - "нишмогла".

 

А уж у секты правоверных так вообще все отлично, им куколдизм помогает верить в непогрешимый гений производителя, который за столько лет не сподобился имя привилегированного пользователя научиться изменять. 

[Vladr]

2 минуты назад, krass сказал:

На ASUS уже давно ставят форки от Merlin и Gnuton!!!

а на другие ставят снапшоты кинетика. На них тоже управу ищут? Причем тут это?

[hoaxisr]

1 минуту назад, Vladr сказал:

ну, т.е. другим можно и никто хай не поднимает. А тут сразу все, устройство не мое и т.д.

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

🤔

[keenet07]

А лучше сделать выбор между тремя режимами.

1. Автоматическое обновление включено

2. Только критически важные обновления (по умолчанию)

3. Автоматическое обновление отключено.

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Основная масса даже не зайдет в эту настройку и у них останется пункт 2.

А те кому нужно могут отключить принудительное обновление.

Изменено 7 часов назад пользователем keenet07

[Vladr]

2 минуты назад, hoaxisr сказал:

Да элементарно сообщить до принудительного обновления и сделать пресс-релиз на тему

и где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

[hoaxisr]

2 минуты назад, Vladr сказал:

 

 

 

Только что, Vladr сказал:

где надо этот прессрелиз публиковать? Не так много обнаруживших, постоянно тусят в телеге или на форумах. А уж на сайте производителя и подамно. Там народ максимум до момента покупки читает спеки, не более.

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

[Илья Хрупалов]

1 час назад, hoaxisr сказал:

Ну когда собственную базу не смогли сохранить всего 2 года прошло до пресс релиза, так тут и в 2027 напишут что-то про закрытые дырок от кулхацкеров

2 часа назад, hoaxisr сказал:

Как называется состояние, когда не видешь разницы в подходе или целенаправленно ее не замечаешь?

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

[hoaxisr]

30 минут назад, Илья Хрупалов сказал:

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

А никакой.

Первое. У меня из РФ эта страница не открывается. Необходимо использовать обходные пути. 

Второе. Кинетик какое отношение имеет к операциям в ЕАЭС? Сами же недавно пресс-релиз выпустили, что Неткрейзи стали. Нет?

Третье. Если вы действительно заботитесь о безопасности - почему нельзя изменить гвоздями прибитого admin?

Четвертое. Какое отношение законодательство ЕС на которое вы ссылаетесь в этом релизе имеет к пользователям в ЕАЭС?

Пятое. Действуйте, пожалуйста, последовательно. Разделились - дайте такое же уведомление на сайте Netcraze. Это быстро и снимает все предыдущие вопросы.

 

UPD.: Смог открыть ссылку, действительно в этот раз вам хватило оперативности сообщить о планируемом принудительном обновлении ОС на устройствах всего лишь через 4 дня после его проведения. Действительно, существенный прогресс, в этот раз вам не потребовалось 2 года, значит возможно в следующий раз вы сможете это сделать до фактического проведения акции. 

Изменено 5 часов назад пользователем hoaxisr

[krass]

28 минут назад, Илья Хрупалов сказал:

https://keenetic.com/global/security?lang=en#weak-passwords-pre-keeneticos-43 -- а здесь какой год указан?

А Вы не находите , что это несколько поздновато: 18-11-2025 ? А ЧП случилось 14.11.2025 !
Имхо, надо было хотя бы за пару дней сделать анонс. А еще лучше за неделю-две.

Спойлер

 

 

Изменено 5 часов назад пользователем krass

[Кинетиковод]

9 минут назад, krass сказал:

А ЧП случилось

А что за ЧП случилось? Можете подробнее расписать? Есть пострадавшие? Вас с 2.16 принудительно на 4.3 перекинуло что ли? 

[FLK]

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

[hoaxisr]

36 минут назад, FLK сказал:

Я пока тоже не особо понимаю трагичности ситуации) продолжаем наблюдение)))

Ну лично мое мнение, что негоже без ведома пользователя ему что-то обновлять. Какими бы "благородными" мотивами это не было обусловлено.

А уж каналов коммуникации с нерадивыми пользователями более чем достаточно. 

И еще не сильно нравится, когда бренд и его представители ссылаются, что они коммуницировали, но не до, а после. И считают это достаточным. 

 

UPD: Выше был пример плашки около ползунка автообновления у конкурента, аналогичная плашка или информация под знаком вопросика в морде Кинетик сняла бы многие вопросы. Все бы прекрасно видели, что производитель считает пользователей неразумными детьми и будет действовать по своему разумению. А уж жить с этим или как-то "противодействовать" выбор пользователя, но явно буггурта на ровном месте было бы меньше. 

Изменено 4 часа назад пользователем hoaxisr

[slomblobov]

37 minutes ago, hoaxisr said:

почему нельзя изменить гвоздями прибитого admin?

Вот тут плюсану

[FLK]

2 минуты назад, slomblobov сказал:

Вот тут плюсану

Согласен, давно тоже хотел задать этот вопрос, но то забывал, то забивал)

[hoaxisr]

3 минуты назад, slomblobov сказал:

Вот тут плюсану

Причем это можно сделать принудительно, если доступ открывается извне в морду роутера - пользователь должен быть не admin. 

[FLK]

1 минуту назад, hoaxisr сказал:

Причем это можно сделать принудительно, если доступ открывается извне в морду роутера - пользователь должен быть не admin. 

Ну нее, тут не соглашусь. Принудительно лишнее. Но сделать отключение admin вполне было бы неплохо, если есть другой пользователь с полными правами

В общем право выбора я считаю надо бы оставить)

[keenet07]

52 минуты назад, hoaxisr сказал:

почему нельзя изменить гвоздями прибитого admin?

Возможно это связано с требованиями  модели данных для удаленного управления TR-098, TR‑069 (CWMP). Там много стандартизировано, в том числе пользователь admin.

И всё это вероятно относится к обязательной системе сертификации средств связи в РФ.

[hoaxisr]

4 минуты назад, keenet07 сказал:

Возможно это связано с требованиями  модели данных для удаленного управления TR-098, TR‑069 (CWMP). Там много стандартизировано, в том числе пользователь admin.

И всё это вероятно относится к обязательной системе сертификации средств связи в РФ.

Не буду утверждать обратное, но замечу, что есть устройств а, в том числе поставляемые провайдерами с именами отличными от admin. А есть сертифицированные роутеры вообще без имени пользователя, только с паролем. 

Плюс никто не мешает сделать такую настройку, что пользователь с этим именем не может войти в морду из WAN. 

Изменено 4 часа назад пользователем hoaxisr

[keenet07]

14 минут назад, hoaxisr сказал:

Плюс никто не мешает сделать такую настройку, что пользователь с этим именем не может войти в морду из WAN. 

Вот это как раз эти случаи, когда учетка admin просто скрыта от пользователя, а для провайдера видна.

[Кинетиковод]

49 минут назад, hoaxisr сказал:

Ну лично мое мнение, что негоже без ведома пользователя ему что-то обновлять. Какими бы "благородными" мотивами это не было обусловлено.

А уж каналов коммуникации с нерадивыми пользователями более чем достаточно

Среди владельцев миллионов роутеров отделить "победителей конкурса талантов" от сисадминов и энтузиастов не представляется возможным, поэтому обновили принудительно всех. Вроде бы сисадмины и энтузиасты от данного шага не пострадали, а особо одарённым с учёткой admin:12345678 выставленной наружу задницу прикрыли. Приходится думать за себя и за того парня, ничего тут не поделать.     

[dartraiden]

4 часа назад, keenet07 сказал:

И уже при полном отключение сообщение о переносе ответственности за невозможность экстренно исправить найденные уязвимости.

Каждый сам решает.

Если, как указано у ASUS, это требование регулятора (вероятно, европейского), то, возможно, переложить ответственность на пользователя недопустимо, даже если пользователь очень хочет. Грубо говоря, если в законе сказано, что производитель обязан иметь возможность в одностороннем порядке закрывать уязвимости, то либо он такую возможность заложит, либо ему сделают больно.

Изменено 3 часа назад пользователем dartraiden

[dartraiden]

2 часа назад, hoaxisr сказал:

почему нельзя изменить гвоздями прибитого admin?

Это не поможет в обсуждаемом случае.

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин.
Кроме того, никто не запрещает хоть сейчас создать другого пользователя, а admin-у урезать все права. Но этой возможностью никто из пострадавших, разумеется, не воспользовался. потому что пострадавшим плевать на безопасность. А если бы им было не плевать, у них был бы стойкий пароль, и тогда всё равно, какой там логин, их бы не взломали.

Изменено 3 часа назад пользователем dartraiden

[keenet07]

1 минуту назад, dartraiden сказал:

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин

А если поменяет, то на vanya:12345

[krass]

7 минут назад, dartraiden сказал:

Это не поможет в обсуждаемом случае.

Если пользователь настолько беспечен, что ставит пароль admin или простой пароль, то он не будет и заморачиваться, чтобы менять дефолтный логин.
Кроме того, никто не запрещает хоть сейчас создать другого пользователя, а admin-у урезать все права. Но этой возможностью никто из пострадавших, разумеется, не воспользовался. потому что пострадавшим плевать на безопасность.

Так можно и договориться до " а давайте запретим свободный и анонимный интернет/ножи/органы/голову..."

Роутер как автомобиль, купил и используешь -- будь добр ,соблюдай правила.

Ради заботы о солнышках ( видео " современное абразавание") готовы роутеры превратить в "нечто".
 

Изменено 3 часа назад пользователем krass

[dartraiden]

3 минуты назад, krass сказал:

будь добр, соблюдай правила

А некоторые люди не хотят  быть добрыми. 

В идеальном мире требование к сложности пароля было бы ненужным, ведь все ответственно бы относились к безопасности.

В нашем неидеальном мире я встречал даже таких, которые говорили "ну вирусы у меня на ПК, ну и пусть, мне не мешают". То, что их машины потом создают проблемы остальным, рассылая спам и участвуя в ддос-атаках, этих людей не волновало. Аналогичного подхода, к слову, придерживаются антиваксеры - для них существует лишь "лично мне это не нужно".

Изменено 3 часа назад пользователем dartraiden

[krass]

4 минуты назад, dartraiden сказал:

А некоторые люди не хотят  быть добрыми. 

В идеальном мире требование к сложности пароля было бы ненужным, ведь все ответственно бы относились к безопасности.

В нашем неидеальном мире я встречал даже таких, которые говорили "ну вирусы у меня на ПК, ну и пусть, мне не мешают". То, что их машины потом создают проблемы остальным, рассылая спам и участвуя в ддос-атаках, этих людей не волновало. Аналогичного подхода, к слову, придерживаются антиваксеры - для них существует лишь "лично мне это не нужно".

Как компромисс, можно же хотя бы оставить спецкоманду через cli по ssh ?
Такой вариант вас бы устроил: когда в админке роутера не будет выбора, а в cli будет ряд команд дающих ПОЛНУЮ ФАКТИЧЕСКУЮ ОКОНЧАТЕЛЬНУЮ ВОЗМОЖНОСТЬ запрета автообновления с предупреждением опытного пользователя ?

[hoaxisr]

16 минут назад, dartraiden сказал:

Если, как указано у ASUS, это требование регулятора (вероятно, европейского), то, возможно, переложить ответственность на пользователя недопустимо, даже если пользователь очень хочет. Грубо говоря, если в законе сказано, что производитель обязан иметь возможность в одностороннем порядке закрывать уязвимости, то либо он такую возможность заложит, либо ему сделают больно.

Только если у этого производителя прямо сказано о таком поведении ползунка "автообновления", то у Кинетик об этом не сказано в этом разделе. Я веду речь о том, что неплохо было бы доносить информацию о функциях и возможностях и поведении устройства полностью. Это называется открытостью. Вызывает больше доверия и уважения, когда производитель не скрывает (или недосказывает) о наличии программных особенностей, как например неплохо было бы рассказать, что КинДНС ни разу не имплементация Dynamic DNS, а вполне себе полноценный туннель до роутера и его локалки. Это ведь тоже как бы известно, но как бы не раскрывается напрямую. 

[Илья Хрупалов]

2 часа назад, krass сказал:

А еще лучше за неделю-две

А, то есть у вас всё открывается? Или вы не в РФ?

Вы же (все присутствовавшие) видели посты в телеграм-канале, где поддержка с пятницы приводила эту ссылку. Так вот, этот документ первоначально был выложен там 3 ноября. Сегодня его, насколько я могу судить как внимательный читатель, дополнили. 

[Илья Хрупалов]

2 часа назад, hoaxisr сказал:

из РФ эта страница не открывается

4 часа назад, hoaxisr сказал:

2 года прошло до пресс релиза

То есть тот опоздавший пресс-релиз, многократно упоминаемый вами, вы прочитали, а этот, который лежит следом, не шмогли?

[hoaxisr]

1 минуту назад, Илья Хрупалов сказал:

То есть тот опоздавший пресс-релиз, многократно упоминаемый вами, вы прочитали, а этот, который лежит следом, не шмогли?

Когда-нибудь представители российско-китайских компаний осознают, что менторский тон и пассивно-агрессивное поведение в публичных пространствах наносят больше врда , чем удовлетворяют эго и тогда компании будут больше заботиться о своей репутации и силе бренда. А пока, имеем, что имеем. Критика воспринимается как личное оскорбление, а сил извиниться за недостаточную прозрачность и отсутствие внятных коммуникаций с клиентами недостаточно. 

Успехов, вам и процветания.