Vlákno názorů k článku Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů od Filip Jirsák - Bude v tom CZ.NIC nějak pokračovat? Moc se...
-
Filip JirsákStříbrný podporovatelBude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Pokud by něčeho chtěl dosáhnout jeden koncový uživatel, nezmůže nic. Ale nevím o nikom v ČR, kdo by byl z tohoto pohledu v lepším postavení než CZ.NIC – uvažujete o nějakém spojení se zahraničními organizacemi, které se také zabývají bezpečností? Myslím, že by bylo správné teď se pokusit výrobce donutit alespoň k vydání záplaty a nějaké její propagaci.
-
Bude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb. Myslici clovek zkusi neco od vyrobce, o jehoz vyrobcich neni znamo, ze by trpeli timto problemem.
Mam na siti Linksys, TP-Link a Netgear, ani jeden tim netrpi. Zda se, ze novejsi TP-Linky jsou take ciste, ale proc podporovat bastlire a nekoupit jinde?
-
Filip JirsákStříbrný podporovatel
Vzhledem k tomu, že tam ten samý systém cpou různí výrobci, moc to nepomůže. Navíc tady nejde jenom o tenhle jeden případ, který se provalil. Jde o princip, že výrobce bude ručit za bezpečnost svého zařízení, že na něj bude vydávat záplaty po dobu, kdy ho uživatelé používají, a to záplatování proběhne, aniž by uživatel musel sám sledovat, co má kde záplatovat. A v tomhle jsou na tom všichni výrobci stejně. Nebo ne?
-
Jeste jsem nevidel router, u ktereho by se vyrobce za neco zarucil, krome poruchy v dobe zaruky, k cemuz ho nuti zakon. Urcite pak se nezaruci za bezpecnost a za to, ze budou zaplatovat po dobu, po kterou ten jejich krap pouzivam. A automaticky update firmware jsem zatim videl jen u jednoho zarizeni od Netgear. Vsude jinde se to muselo pekne rucne stahnout a nahrat.
-
Filip JirsákStříbrný podporovatel
Ale to je právě potřeba změnit. Protože drtivá většina koncových uživatelů si to nemůže nijak ohlídat. A nemůžeme mít k internetu připojeny desítky milionů zařízení, které budou rozesílat spam, účastnit se DDoS útoků a umožňovat okrádat a vydírat uživatele. To by ten internet byl k ničemu.
-
Tak to jsem tedy ziskuchtivy, kdo a jak to zmeni. Ledaze by EU vyhlasila zakon a vyrobce by za kazdy modem skladal kauci, ktera by my byla vracena pri sesrotovani.
BTW, miliony zarizeni, ktere rozesilaji spam a DDoSuji, uz pripojene mame. Rika se tomu PS s Widlemi. Na tyto ucely jsou tato zarizeni mnohem vhodnejsi, nez nejake soho krabicky s nesourodym HW, mozna nekompatibilnimi verzemi OS, pomalym CPU a malo pameti. Neni nad to, kdyz muzete v malware vyuzit komfort vyssich programovacich jazyku, jako VB, Javascript... Usetri vam to patlani s kompilaci pro nezdokumentovany OS na MIPSu. Ovsem pro NSA jsou tyto soho krabicky bozskou mannou. Takze dnes, i kdyz jste za firewallem v soho pixle, mejte firewall i na kazdem stroji za ni. Poklud tedy na to nemate dedikovany stroj.
-
myslim, ze v dnesnom svete sa toto bude menit dost casto. princip vyroby cinskych SOHO (teda 99% krabiciek od uplne najlacnejsich az po uplne najdrahsie) zariadeni je v tom, ze v case, ked sa to cloveku dostane na trh, firma, ktora vyrobila povodny kremik, ho uz davno nepodporuje. firma, ktora osadila kremik na nejaky referencny design dosky zariadenia prave jeho vyrobu ukoncuje (cim pada podpora, pretoze jej vyvojove oddelenie sa uz sustredi na novy kremik vyssie uvedenej firmy). firma, ktora pre tento referencny design vytvorila SDK prave vydala poslednu verziu SDK, ktora tuto dosku bude podporovat (a aj tak nepodporuje vsetky jej funkcie a je polofunkcne) a firma, ktora to cele zaskatulkovala to predava ako brand new high performance zariadenie.
fakticky je to zariadenie v podstate obsolete uz v dobe, ked sa dostava na trh. pri troche stastia je postavene na SoC / referencnom designe, ktory nejaky ten cas vydrzi a pojde nanho zohnat nejake aktualizacie FW, obvykle toto ale nikto neriesi. cinania vydavaju SDK uplne hala bala sposobom tak, ze featury HW sa sem tam stavaju podporovane davno po tom, co uz dany HW nie je podporovany ako celok. a vyrobcom sa moc nechce buildovat ten isty software na povedzme 5tich roznych verziach SDK z ktorych kazde je opatchovane inou sadou hackov, pretoze im to par rokov po realnom skonceni predaja zariadenia nikto nezaplati. a dobre meno spolocnosti v dnesnej dobe tiez nic neznamena, ked prve a najdolezitejsie pri kupe zariadenia cez e-shop je zotriedit podla ceny, vzostupne.
-
Tomáš Hlaváček (neregistrovaný)
Ovšem, s tím vývojovým cyklem máte celkem pravdu i když tak dramatické to přece jen není. :-)
U těch routerů je navíc výhoda, že nepotřebují každých půl roku zdvojnásobit výkon, protože linky, na kterých sedí, se zrychlují jednou za pár let generační obměnou typu ADSL2+ -> VDSL2.
A model, který umožňuje dlouhodobou podporu a provoz starého HW tu máme - komunitní podporu OSS. U normálních počítačů to funguje skvěle. V mém okolí bylo poslední dobou několik domácích počítačů běžných uživatelů přeinstalováno z WinXP (když teď skončila podpora) na Ubuntu nebo LinuxMint a vyvolalo to opatrné nadšení a nebo tiché uspokojení. Opravdu. :-)
-
Tak máme rok 2014 a jaký je stav v routerech pro domácí použití?
Kolik jich má:...
-1000 Mbit switch a to i do WAN
-2.4 GHz a 5 GHz
-Nkovou Wifi na 300
-IPv6 i s firewalem
-podporu USB 2.0 nebo rovnou 3ku
-DLNA a uPNP atd...
Takže je pravda, že nepotřebují každých půl roku zdvojnásobit výkon. Není to jen o výkonu. Ale většina těch routerů technologický 5-10let stará. Takže jsou zralé na výměnu, už víc než před 2ma léty.
-
Lol Phirae (neregistrovaný)
- Gigabit do WAN? K čemu?
- N-ková wifi? Pán dělá marketing pro výrobce těch 300/600Mbps nesmyslů, co jsou reálně pomalejší než G?
- USB/DLNA - jo, to je terno, na těch krabicích to vytáhne až nějakejch 6MB/s, na ukládání dat vyloženě "ideální"
- UPnP? Ty tam těch bezpečnostních děr máš málo? -
Pavel (neregistrovaný)
Co z toho potřebuje 95% uživatel, který si tak přečte mejl, koukne na novinky a pustí nějaký porno? Odpovím vám - vůbec nic. Tak proč by si to měl pořizovat?
V okruhu mých (neprofesních) známých jsem za boha jen tím, že umím připojit k počítači televizi - i na to normální BFU kouká jako tele na nové vrata. Tak k čemu jim bude ta hromada zkratek, co jste tam napsal? Pro ně to jsou stejně jen nesmyslné shluky písmen.
-
j (neregistrovaný)
90% uzivatelu nic z toho co jsi jmenoval nepotrebuje, nebo o tom aspon nevi. A router, kterej by zvladal DLNA ... NEEXISTUJE - pokud tedy za router neprohlasis neco se 4jadrovou I5tkou, to pak jo. Protoze DLNA je predevsim o remuxu a rekompresi. Pokud tvoje zobrazovadlo umi ... je daleko vhodnejsi pouzit neco jinyho.
"Rychla" wifi je pak uplne stejna chimera ... PR zvast ... mel sem na stoje vedle sebe dve Gcka, konektly na 54mbit ... linksys takze zadnej vylozenej shit ... a dalo se z toho vyzdimat neco kolem 30Mbit ... halfduplex samo. Na zhruba kilak to dava neco kolem 5ti.
S Nkem je to presne totez, fyziku nevochcijes.
-
Lol Phirae (neregistrovaný)
A v příštích 14 dnech se bude upgradovat Comtrend. :)
To budou mít zákazníci radost. Zvlášt když se ten shit po každém upgradu resetne do defaultní konfigurace. Ale jinak už zbývá jen pár set tisíc zařízení, pro které žádný aktualizovaný FW neexistuje a bude to v cajku. :-P
-
Ne, netusim. Na Wikipedii pisi, ze to slouzi vzdalene sprave, ne updatu.
Nicmene vim, ze existuji zarizeni, ktera nejak jsou ISP na dalku updatovana. Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
To se netyka zarizeni, ktera si sam koupite v krame a popravde receno, si to dost dobre nedovedu predstavit. Predstavte si nejakeho velkeho vyrobce soho pixel, jak mu domu porad volaji modemy, aby mu rekli, kde jsou, protoze nejsou nekde na jedne siti, jako u ISP, ale jsou rozptyleny po tisicich sitich, casto i za nekolika NATy. A neni jich 20 tisic, ale 20 milionu nebo take 200 milionu. A chudak vyrobce to ma na dalku updatovat. A kdyz se nepovede, tak si zakaznik vleze do letadla, zaleti do Ciny a modem si necha vymenit, jako by zasel treba v Praze do pobocky O2, kdyz mu O2 updatem dokurvi modem.
Tak to uz si predstavuji spise to, co jsem videl v Netgearu: Ve web rozhrani kliknu na tlacitko pro vyhledani updatu firmware. Netgear si najde update a pak se snad i sam zupdatuje. O dost lepsi, nez jinde, kde clovek prehrabuje hafo souboru se skoro stejnymi nazvy na FTP serveru nejakeho bordelarskeho vyrobce a nikdy si nemuze byt na 100 % jisty, ze stahl spravny firmware a muze jen doufat, ze pokud ne, ma tam vyrobce nejakou kontrolu pro pripad omylu, protoze ne vzdy tomu tak je.
-
Lol Phirae (neregistrovaný)
Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
No vždyť. Co se týče DSL modemů vod kyslíků, tak se k nim obvykle výrobce vůbec nehlásí a tváří se, že nic takového nevyrábí. Ono při objednané odpadní konfiguraci (např. v rámci úspor vynechané antény na wifi) a celkově shitóznímu HW (víceméně odpad) se není co divit. No, a k tomu dodá na zakázku jednu verzi FW a tím obvykle padla. Když nastane velký průser, tak provider jednou za uherský rok zaplatí nový FW. Pokud se jedná o menší průsery, tak provider zákazníka vyfuckuje a když hodně otravuje, tak mu vrátí 1Kč za zařízení zaplacenou.
-
To asi mluvite o trochu jinych zarizenich. V tech cinckych krabickach nejake SSL asi nikdy nikdo nevidel. Krome toho vy mate par tisic zariceni, asi na siti, kterou znate a kterou jste si mozna i postavili a muzete modifikovat. Vyrobce krabicek by mel take miliony zarizeni, ruzne modely, ruzne HW revize a na vselijakych sitich, o kterych vi leda to, co se docte ve whois. Situace toho vyrobce je tedy ponekud jina.
-
Aha, wifi termostat. To kdyz nekdo potrebuje zmenit teplotu, tak se pres webove rozhrani vaseho serveru prihlasi do sveho uctu, tam si nastavi pozadovanou teplotu, eventuelne jeji prubeh v case, napriklad utlumeni za pul hodiny.... Vas server pak zavola termostatu vaseho zakaznika a nastavi teplotu. Vyhodou pak je, ze zakaznik nemusi zvednout prdel a jit otocit knoflikem nebo mackat cudliky.
Jinak kdyz byste se na ta zarizeni vykaslali a akorat davali updaty firmware na nejaky zaprasenymi pavucinami pokryty FTP server, tak byste asi docela katovali kosty, coz prave ti Cinani asi delaji. Ne, ze by to jinak neslo, ale o prachy jde az v prvni rade a nejakou firmu, ktera se za rok uz bude jmenovat jinak, to nezajima.
-
Kdysi byly doby, kdy se zařízení neptalo do nekonečna na změny konfigurace, ale naopak při změně konfigurace se kontaktovalo (jednou) to zařízení. Přijde mi úsměvné mluvit o úspoře trafficu za situace, kdy je ten traffic vyplýtván na neustálé zbytečné dotazy na server (nehledě na procesorový výkon).
-
j (neregistrovaný)
Vyrobce ti rad takovej support proda, zadnej problem ... na 5 let za 5x cenu HW ... beres? Zrovna mam pred sebou nabidku na prodlouzeni supportu na serveroveh HW ... za nejakych 50k/rok ... jelikoz se za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil ...
BTW: Automobilka by mohla rucit za auto dokud snim budu jezdit, beru ... s radosti ...
-
Lael Ophir (neregistrovaný)
Ad za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil - když si koupíte podporu HW, za jak dlouho bude v případě HW problému ten server zaručeně znovu funkční? A za jak dlouho v případě že si objednáte přes ebay náhradní HW (pokud ho zrovna někdo bude nabízet)? A jak velké finanční a jiné ztráty přinese odstavení serveru na hodinu, den, týden?
Samotný poměr ceny jetého HW a ceny roční podpory nemá valnou vypovídací hodnotu.
-
Jenda (neregistrovaný)
„Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb.“
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
„Mam na siti Linksys, TP-Link a Netgear.“
No to sis pomohl.
http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html
http://sekurak.pl/tp-link-httptftp-backdoor/ -
Lol Phirae (neregistrovaný)
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
Např.. Co si tam nainstaluješ je na tobě.
-
Petr M (neregistrovaný)
I bridge se musí nějak do toho bridge módu dostat, mít možnost upgrade FW, nastavení při změně ze strany poskytovatele... Takže na 100% na "něco" reagovat bude. Teď jde jenom o to, aby to "něco" fungovalo jenom po bezpečné lince, kde se to nedá napadnout (uvnitř routeru, router se zakázaným portem na to "něco" a nutností napřed rozlousknout router, který se zase musí dát konfigurovat jenom zevnitř z portu, který je blokovaný na všech strojích uvnitř sítě... atd.
-
Filip JirsákStříbrný podporovatel
Takže ta zranitelnost rom-0 vás netrápí, klidně budete router nebo modem s touto chybou provozovat (také tam nejsou žádné informace, ať už to znamená cokoli). Tady se ale řeší problém, že i bridge může klidně způsobit to samé, co způsobuje rom-0 zranitelnost (tedy únos DNS dotazů pocházejících z vnitřní sítě).
-
Tot otazka. V routeru/ADSL modemu mate DNS server. Tomu zmenite adresu vnejsiho serveru na podvodnou a jste v suchu.
V bridgi zadny DNS server nemate. Musel byste tam presmerovat provoz na DNS port na vas server. Umi to bridge nebo byste tam musel dohackovat vasi binarku, kterou byste horko tezko bastlil, protoze nezdokumentovanu OS a ktera by asi neprezila reboot?
-
Filip JirsákStříbrný podporovatel
Když ten router / DASL modem přepnete do bridge módu, ten DNS server tam nejspíš zůstane. A firewall, který umožní přesměrovat DNS pakety, v těch zařízeních také bývá.
Ty vaše námitky by platily tehdy, pokud byste měl ADSL modem nebo třeba WiFi klienta, který by na úrovni IP opravdu nic jiného než bridge neuměl (ani by neměl IP adresu). Takové zařízení byste dnes těžko sháněl, trend je spíš opačný, čím dál tím levnější switche mají IP…
-
j (neregistrovaný)
ono spis jde o to, ze pokud ten bridge i presto ze je to bridge bude na nejake prichozi pakety odpovidat a komunikovat, tak jej lze ovladnout ... a trebas ho donutit k uprave nejakych paketu - trebas prave DNS odpovedi.
A ze to delat nebude je spis otazka viry nez otazka reality ...
-
Petr M (neregistrovaný)
Otázka víry? To je spíš to, co se děje u ISP.
Když jsem u známých zkusil jenom tak ze srandy tracert, nestačil jsem se divit, kolik toho bylo po cestě, kolikrát se měnila IP adresa,... NAT v routeru, NAT v APčku pro připojení, NAT v APčku na straně poskytovatele, NAT na vstupu k poskytovateli,... Počítám cestou ještě další zařízení jako mail servery, managovaný switche,... Vechno to může být děravý.
Je fajn, když můj stroj je bezpečný a nedostanou se ven moje lokální data, ale prasárny u ISP člověk neovlivní. Ale pokud na agregované lince 1:10 visím s osmi zavirovanýma routerama od BFU a spustí to DDoS, tak jsem bez připojení i já, nebo mám minimálně omezený / zpomalený přístup... A pokud něco u ISP saturuje spoj do NIXu, je vymalováno.
-
hugochavez (neregistrovaný)
zas takovej blud to neni.......zalezi jakyho ISP si clovek vybere (a taky trochu v jaky zemi) -> https://parknet.dk/internet/ jen na vysvetleni 65dkr = cca 240kc/mes, za tu cenu je GARANTOVANYCH MINIMALNE 50/50Mbps PRO KAZDEHO uzivatele = ZADNA AGREGACE A PODOBNE nesmysly, lze vsak dosahnout i na rychlosti 80 ci 500Mb -zalezi podle bydliste. Cena je vzdy stejna= flat rate a mnozstvi prenesenych dat NENI NIJAK OMEZENO ci Xtra zpoplatneno. Ja mam standartne 95/95 a kolega z prace ma rovnou 1 Gbit :o) To co predvadej ISP v Cesku je saskarna za nekrestansky $.
-
Taky dobre. Ale aspon to je zadarmo, z elektrosrotu. ;-) Ale koukam, ze jedinou cestou je pouzit tyhle routery akorat tak jako adsl modem a za to si hodit linuxovy stroj jako router + nejakou jinou krabici jako AP. To je asi nejbezpecnejsi kombinace, co clovek muze mit, ale kdo do toho ma platit elektriku?
-
hugochavez (neregistrovaný)
http://securityaffairs.co/wordpress/20941/hacking/netgear-linkys-routers-backdoor.html udelali to jednou udelaji to znovu......... jen blb se spali 2x na tom samym
