Názory k článku Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů

Taky DrayTek Vigor 2750n není lowcost soho router\modem.

Jeho cena je často rovná tomu co by měl připojit. Stále mezi lidma je generace sestav Pentium 4 a spol. Těm lidem to na Internet stačí...

Což ale řeší jenom zrovna tuhle chybu a jí podobné. I v softwaru zařízení, které bude přepnuté do bridge módu, může být taková chyba nebo backdoor, která umožní nějaký jiný útok. Pravda, pokud se budete moci spolehnout alespoň na DNS resolver v tom bezpečném routeru, budete na tom o něco lépe.

Jo, to by bylo, aby NSA nepamatovala na vsechny alternativy. A na smejdy, co si prepinaji routery do bridge a za ten pak davaji vlastni, NSA neosetreny router, je obzvlaste treba si posvitit, protoze urcite maji co skryvat.

Tak to jsem tedy ziskuchtivy, kdo a jak to zmeni. Ledaze by EU vyhlasila zakon a vyrobce by za kazdy modem skladal kauci, ktera by my byla vracena pri sesrotovani.

BTW, miliony zarizeni, ktere rozesilaji spam a DDoSuji, uz pripojene mame. Rika se tomu PS s Widlemi. Na tyto ucely jsou tato zarizeni mnohem vhodnejsi, nez nejake soho krabicky s nesourodym HW, mozna nekompatibilnimi verzemi OS, pomalym CPU a malo pameti. Neni nad to, kdyz muzete v malware vyuzit komfort vyssich programovacich jazyku, jako VB, Javascript... Usetri vam to patlani s kompilaci pro nezdokumentovany OS na MIPSu. Ovsem pro NSA jsou tyto soho krabicky bozskou mannou. Takze dnes, i kdyz jste za firewallem v soho pixle, mejte firewall i na kazdem stroji za ni. Poklud tedy na to nemate dedikovany stroj.

myslim, ze v dnesnom svete sa toto bude menit dost casto. princip vyroby cinskych SOHO (teda 99% krabiciek od uplne najlacnejsich az po uplne najdrahsie) zariadeni je v tom, ze v case, ked sa to cloveku dostane na trh, firma, ktora vyrobila povodny kremik, ho uz davno nepodporuje. firma, ktora osadila kremik na nejaky referencny design dosky zariadenia prave jeho vyrobu ukoncuje (cim pada podpora, pretoze jej vyvojove oddelenie sa uz sustredi na novy kremik vyssie uvedenej firmy). firma, ktora pre tento referencny design vytvorila SDK prave vydala poslednu verziu SDK, ktora tuto dosku bude podporovat (a aj tak nepodporuje vsetky jej funkcie a je polofunkcne) a firma, ktora to cele zaskatulkovala to predava ako brand new high performance zariadenie.

fakticky je to zariadenie v podstate obsolete uz v dobe, ked sa dostava na trh. pri troche stastia je postavene na SoC / referencnom designe, ktory nejaky ten cas vydrzi a pojde nanho zohnat nejake aktualizacie FW, obvykle toto ale nikto neriesi. cinania vydavaju SDK uplne hala bala sposobom tak, ze featury HW sa sem tam stavaju podporovane davno po tom, co uz dany HW nie je podporovany ako celok. a vyrobcom sa moc nechce buildovat ten isty software na povedzme 5tich roznych verziach SDK z ktorych kazde je opatchovane inou sadou hackov, pretoze im to par rokov po realnom skonceni predaja zariadenia nikto nezaplati. a dobre meno spolocnosti v dnesnej dobe tiez nic neznamena, ked prve a najdolezitejsie pri kupe zariadenia cez e-shop je zotriedit podla ceny, vzostupne.

Tak máme rok 2014 a jaký je stav v routerech pro domácí použití?

Kolik jich má:...

-1000 Mbit switch a to i do WAN

-2.4 GHz a 5 GHz

-Nkovou Wifi na 300

-IPv6 i s firewalem

-podporu USB 2.0 nebo rovnou 3ku

-DLNA a uPNP atd...

Takže je pravda, že nepotřebují každých půl roku zdvojnásobit výkon. Není to jen o výkonu. Ale většina těch routerů technologický 5-10let stará. Takže jsou zralé na výměnu, už víc než před 2ma léty.

Jenze proc by je kdo menil, kdyz to funguje? Koupit dneska router asi nebude zadne terno, protoze podpora ipv6 asi bude stale ponekud pofiderni. Odladit to neni na cem, protoze ipv6 se v podstate nezavadi, i kdyz nam porad dochazi ipv4 adresy a to tak, ze pry uz dosly.

"Gigabit do WAN? K čemu?"
Na připojení pevnou linkou nebo do UPC, přeci.

"USB/DLNA - jo, to je terno, na těch krabicích to vytáhne až nějakejch 6MB/s, na ukládání dat vyloženě "ideální""
A proto by to ta krabice měla vytáhnout výš, proto volání po USB3...

Úprimne mi routeri, ktoré sa budu automaticky aktualizovat naháňaju vačší strach ako terajší stav.

Ne, netusim. Na Wikipedii pisi, ze to slouzi vzdalene sprave, ne updatu.

Nicmene vim, ze existuji zarizeni, ktera nejak jsou ISP na dalku updatovana. Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.

To se netyka zarizeni, ktera si sam koupite v krame a popravde receno, si to dost dobre nedovedu predstavit. Predstavte si nejakeho velkeho vyrobce soho pixel, jak mu domu porad volaji modemy, aby mu rekli, kde jsou, protoze nejsou nekde na jedne siti, jako u ISP, ale jsou rozptyleny po tisicich sitich, casto i za nekolika NATy. A neni jich 20 tisic, ale 20 milionu nebo take 200 milionu. A chudak vyrobce to ma na dalku updatovat. A kdyz se nepovede, tak si zakaznik vleze do letadla, zaleti do Ciny a modem si necha vymenit, jako by zasel treba v Praze do pobocky O2, kdyz mu O2 updatem dokurvi modem.

Tak to uz si predstavuji spise to, co jsem videl v Netgearu: Ve web rozhrani kliknu na tlacitko pro vyhledani updatu firmware. Netgear si najde update a pak se snad i sam zupdatuje. O dost lepsi, nez jinde, kde clovek prehrabuje hafo souboru se skoro stejnymi nazvy na FTP serveru nejakeho bordelarskeho vyrobce a nikdy si nemuze byt na 100 % jisty, ze stahl spravny firmware a muze jen doufat, ze pokud ne, ma tam vyrobce nejakou kontrolu pro pripad omylu, protoze ne vzdy tomu tak je.

To asi mluvite o trochu jinych zarizenich. V tech cinckych krabickach nejake SSL asi nikdy nikdo nevidel. Krome toho vy mate par tisic zariceni, asi na siti, kterou znate a kterou jste si mozna i postavili a muzete modifikovat. Vyrobce krabicek by mel take miliony zarizeni, ruzne modely, ruzne HW revize a na vselijakych sitich, o kterych vi leda to, co se docte ve whois. Situace toho vyrobce je tedy ponekud jina.

Aha, wifi termostat. To kdyz nekdo potrebuje zmenit teplotu, tak se pres webove rozhrani vaseho serveru prihlasi do sveho uctu, tam si nastavi pozadovanou teplotu, eventuelne jeji prubeh v case, napriklad utlumeni za pul hodiny.... Vas server pak zavola termostatu vaseho zakaznika a nastavi teplotu. Vyhodou pak je, ze zakaznik nemusi zvednout prdel a jit otocit knoflikem nebo mackat cudliky.

Jinak kdyz byste se na ta zarizeni vykaslali a akorat davali updaty firmware na nejaky zaprasenymi pavucinami pokryty FTP server, tak byste asi docela katovali kosty, coz prave ti Cinani asi delaji. Ne, ze by to jinak neslo, ale o prachy jde az v prvni rade a nejakou firmu, ktera se za rok uz bude jmenovat jinak, to nezajima.

Kdysi byly doby, kdy se zařízení neptalo do nekonečna na změny konfigurace, ale naopak při změně konfigurace se kontaktovalo (jednou) to zařízení. Přijde mi úsměvné mluvit o úspoře trafficu za situace, kdy je ten traffic vyplýtván na neustálé zbytečné dotazy na server (nehledě na procesorový výkon).

Ale ty moznosti! NSA ma prehled, ak doma kdo topi. Z toho muze usuzovat, jestli je doma. A kyz zkrachuje firma, tak predstavte si vsechny ty lidi, co si uz nenastavi termostat.

Takže ta zranitelnost rom-0 vás netrápí, klidně budete router nebo modem s touto chybou provozovat (také tam nejsou žádné informace, ať už to znamená cokoli). Tady se ale řeší problém, že i bridge může klidně způsobit to samé, co způsobuje rom-0 zranitelnost (tedy únos DNS dotazů pocházejících z vnitřní sítě).

Tot otazka. V routeru/ADSL modemu mate DNS server. Tomu zmenite adresu vnejsiho serveru na podvodnou a jste v suchu.

V bridgi zadny DNS server nemate. Musel byste tam presmerovat provoz na DNS port na vas server. Umi to bridge nebo byste tam musel dohackovat vasi binarku, kterou byste horko tezko bastlil, protoze nezdokumentovanu OS a ktera by asi neprezila reboot?

Když ten router / DASL modem přepnete do bridge módu, ten DNS server tam nejspíš zůstane. A firewall, který umožní přesměrovat DNS pakety, v těch zařízeních také bývá.

Ty vaše námitky by platily tehdy, pokud byste měl ADSL modem nebo třeba WiFi klienta, který by na úrovni IP opravdu nic jiného než bridge neuměl (ani by neměl IP adresu). Takové zařízení byste dnes těžko sháněl, trend je spíš opačný, čím dál tím levnější switche mají IP…

Ano, fyzicky tam zustanou binarky firewallu a DNS serveru. Ale cekal bych, ze kdyz to spustim v bridge modu, budou minimalne vypnute. Otazka je, jak moc s tim pripadny cyberlump muze komunikovat a jestli se mu treba podari si spustit, co mu ke stesti chybi.

Aha. A jak byste to delal, kdyz vam ISP presneruje odchozi provoz na port 53 na svuj cenzurovany a i jinak dokurveny DNS server? Tlacil byste to nekam jinam pres VPN? To se nam ta konfigurace male domaci site ale komplikuje....