Toto nemá jiné řešení, než že si lidé zvyknou vydávat pravidelně peníze za bezpečnost. Např. za nové routery, nebo kupovat takové, které mají podporu (nevím o žádném takovém), nebo budou součástí dodávky od ISP (např. jako u nás UPC). U aut jsme si také zvykli, že každá nová generace je s bezpečností dál, a je na každém z nás, jestli vozíme své děti v dvacetiletém veteránu, nebo v bezpečnějším autě.
Technická opatření, např. přechod na HTTPS, nebo bezpečnostní pravidla pro výrobce routerů problém nevyřeší. Vždy se najde nějaká díra, která půjde zneužít, a pokud ji lidé nezalátají rychle, budou vždy dopady obrovské. To je vidět i z toho, jak širokou paletu routerů každý exploit umí napadnout.
Ne, mozek používáme pořád stejně. Dokonce i víc. Akorát že na blbosti. Největší pokroky jsme dosáhli aplikací různých modelů a metod řízení. Už v pravěku se používala kupříkladu metoda "rozděl a panuj". Dnes už se nepoužívá, dnes se od každého čeká, že bude umět všechno, věnovat se všemu a sledovat všechno. Mozek šrotuje na maximum, ale výsledek nikde žádný.
Takže zatímco pračlověk věděl, že je výhodnější vyměnit pytel zrní, kterých měl víc, za pazourkovou sekeru, kterou vyrobit pořádně neuměl, tak dnes se od nás čeká, že než si pořídíme "tu krabičku na internet", tak si nejprve vystudujeme nějaký IT obor a věnujeme pár desítek hodin studiu zabezpečení SOHO sítí. Proto jsme tam kde jsme. A snaha "myslet víc" to nezlepší, ta tak maximálně zvedne hladinu frustrace. Co je potřeba je začít se zase vracet k věcem jako je dělba práce, specializace apod. První krok je najít odvahu a sílu bránit se. Takže když se mi ta sekyrka po půl hodině rozpadne v ruce, tak ji vezmu a půjdu s ní výrobci rozbít hubu. Řešením není naučit se vyrábět vlastní sekery, řešením je zbavit se těch, co vyrábějí šmejdy. Jenže když ony jsou tak úúúžasně levné!!!
Ale vždyť o tom píšu v samém závěru. Za pytel zrní mi to skutečně nakonfiguruje kde kdo. Jenže většina z nich to nezvládne dobře. Řešením není naučit se to sám na takovou úroveň, abych to po nich dokázal zkontrolovat. Řešením je v případě problémů jít, omlátit jim tu krabici o hlavu a vzít si zpátky ten pytel zrní. Jenže to dnešní společnost nedovolí - polovina lidí bude mít kecy o tom, že násilí nic neřeší, a druhá polovina vám doporučí si o tom něco nastudovat a udělat si to sám. Ve výsledku tak máme situaci, kdy za nic neručí výrobce, dodavatel a ani technik, co vám to za peníze instaluje.
A jako perlička fakt, že vám řada odborníků dá protichůdné informace, ale místo aby pak šli a rozbili si hubu a dobrali se k tomu, kdo má pravdu, tak vám oba jen sdělí svůj názor a že rozhodnout se máte sám. Výborná situace - ať se rozhodnete jakkoliv, tak vás nějaký odborník bude mít za nesvéprávného hlupáka. Příklad z nedávna? Kolega si na jaře pořídil Mikrotik. A najednou je všude kolem plno odborníku co si ťukají na čelo a smějí se "Mikrotik v roce 2018? To ti hrabe? Nemine týden aby na to nebyl nový exploit! To je ta nejzabugovanější platforma co sis moh vybrat, to bezpečnější je už krabka za 300Kč z Číny! Strašně se zkazili, dnes má smysl jedině koupit XYZ!" To XYZ je ale u každého něco jiného a opět - neshodnou se. Nikdy se neshodnou. A rozhodnutí opět nechají na laikovi s tím, že ať se rozhodne jakkoliv, tak mu to pak omlátí o hlavu.
Tak ta dělba práce se ještě zvýšila. Dneska nevidím, že by si obyčejní lidé dělali a opravovali věci na koleni. Už i zalátání nějaké dírky na ponožce nebo ve štuku málokdo řeší a ponožku vyhodí a štuk buďto nechá, nebo si jednou za čas pozve řemeslníka na všechno to, co se nashromáždilo. Auto si taky málokdo opravuje sám a kola si také necháváme měnit, protože jezdit po dálnici 130+ km/h (např. v Německu) s nevyváženými koly je taky určité riziko.
Jiní zase se od této praxe distancují a radši mají starší auto, kde si ten základ ještě opravit umí sami, špachtle nebo šití jim nesmrdí atp.
Většina lidí si ale neuvědomuje, že IT, resp. IT bezpečnost se dnes dotýká prakticky všech a pořád. Nemusíte být odborník, ale když nemáte zapnuté automatické updaty, resp. updaty neaplikujete, jste v mase více náchylných obětí, než kdybyste updaty aplikoval. Jakou politiku updatů daný výrobce u daného produktu poskytuje málo kupujících zohledňuje. U auta se lidi ptají/ zjistí, kdy musí do servisu a jak je to s pojištěním/ předcházení (finančně) nezvladatelných situací. Nevím, proč to nedělají u počítače.
Většina lidí prostě nechce umět lépe pracovat s počítačem, většina lidí si nechce "brát práci domů" z jejich pohledu. Může to být správný postoj, často není na vzdělávání po 8 hodinách práce s rodinou atp. čas - lze pochopit. Proto si myslím, že by se měl zaměstnavatel nebo stát o toto dovzdělávání postarat tam, kde je potřeba.
Jako že dnes běžně lidi vyjdou ze školy a neumí ani náznakem psát všemi deseti? Že většina lidí nerozlišuje internet a web, že neumí např. vymyslet, jak by z CSV souboru udělali HTML tabulku - jakýmkoliv způsobem. Většina lidí se neumí ani rozumně dotázat vyhledávače. Nechci přeci tak moc... nebo ano?
Prostě když neznám ani úplně základní pojmy, tak mi ani ta bezpečnost nebude nic říkat. Většina lidí taky neví, jak funguje normální zámek u dveří, ale používá jej každý den a spoléhá se na jeho funkčnost při ochraně majetku a zdraví.
Turis se o to snaží, ale bohužel neustále selhává. V podstatě každý větší update vám složí router, takže se tento router hodí jen na "takové domácí hraní", ale do kritického provozu vůbec ne. Pokud nebudete souhlasit podívejte se na vlákno věnované problémům posledního většího update Turris https://forum.turris.cz/t/turris-os-3-11-is-out/8841/129
To urcite bude omyl, turris je preci dle slov Pati i v korporatech, tam by preci nedovolili nasazovat takovou sracku. :D
Rozjebat se u aktualizace muze cokoliv, hlavne kdyz netestujete, ale ted kluci dostanou xx mega navic, tak snad se to projevi i na tom samovydelecnem projektu. :D
A ted si predstavte, ze jsou lidi co jim za to davaji tech x tisic aby se s tim jednou za cas museli jebat a aby museli cist nejake fora a resit nejake technicke ptakoviny. To je typicky SOHO segment... :D spousta lidi v naivni vire ze podporuje dobrou vec jim ty prachy da. Neco jako darcovska textovka akorat ve vetsim. A chudacci si jeste stezujou ze jim to nepokryje ani provozni naklady protoze mzdy a vse slo nahoru a oni to ted chudacci museji delat z lasky protoze tech 170mega jim proste nestaci... :D
@HabanR
"Postřehy z bezpečnosti: nový exploit kit útočí na SOHO routery"
Chápu že slovo "Turris" může v ledaskom vyvolat zatmění, ale hlavní sdělení příspěvku bylo "Jedině automatické aktualizace a monitoring takových sítí ". Proč má Turris problémy s aktualizacemi nevím a pokud je to pouze "project specific" tak mě to ani nezajímá ...
Nicméně, ani cenou samozřejmě Turris SOHO nesplňuje, ale podívej se na domácí routery (HW+SW) jako na domácí PC (HW+SW) - automatizovaný monitoring/aktualizace, antivir/firewall, ... nebo existuje nějaký jiný způsob jak se chránit pro BFU? To by mě zajímalo ....
Plně s tvrzením "Jedině automatické aktualizace a monitoring takových sítí " souhlasím. Jen bych ještě dodal to nejdůležitější - napadení se v současné době ani při nasazení sebedražších prostředků nedá zcela vyloučit a je nutné být na tuto skutečnost připraven tzn. mít offline zálohy a natrénovat si rychlou obnovu.
Jedině automatické aktualizace a monitoring takových sítí - proof of concept o který se snaží Turis který tak pomlouváš kudy píšeš ....
Ano, ale na to je podle mě jediným životaschopným způsobem pronájem zařízení od ISP. Ten si síť pohlídá hromadně, má v provozu jen omezený počet typů zařízení a ty dokáže udržovat. Z českých končin jsem zmínil UPC, kteří routery updatují pravidelně. Navíc, tyto aktualizace se dějí po lince managementu (VLAN), takže není možné (aspoň ne jednoduše) napadnout či paralyzovat ten mechanismus monitoringu a aktualizací.
Tak tímto tvrzením si nejsem jist. Opravdu bych moc něvěřil tomu, že nějaký ISP dělá aktualizace jen proto, aby zákazník měl bezpečný router.
Důvody mohou být:
- aktualizovat tolik zařízení je risk a dokud to funguje, tak to funguje a to je co zákazníka zajímá
- tlak většiny zákazníků na bezpečnost je 0, za to při nefunkčnosti bude křik
- v podmínkách mají, že mohou zařízení aktualizovat když je nutné z důvodu funkčnosti (a můžete přijít o data na disku)
- pokud se bude opravovat nějaký bezpečnostní problém, tak bude trvat dlouho než se do dostane do produkce (kvůli tetování apod.)
- většinou se jedná o nějaký produkt třetí strany s úpravama a zde šance na rozumné opravy klesá. Důležitá je funkčnost a případně nové funkce
- jak často výcházi oprava?
- dostanete seznam oprav v dané verzi?
Podle mě jediná možnost mít vlastní router, který máte pod kontrolou a u kterého víte, že výrobce aktualizuje a máte informace co se opravuje apod.
S tvým názorem "bych moc něvěřil tomu, že nějaký ISP dělá aktualizace jen proto, aby zákazník měl bezpečný router" nemůžu souhlasit. Není to zas tak dlouho, kdy po mě můj ISP chtěl heslo k mikrotiku, aby mi ho zaktualizovali. Udělal jsem to sám a když jsem se podíval do neighbours na okolní klienty, byli už opravené všechny RB, které jsem viděl.
Takže někteří ISP na to opravdu nekašlou.
@Miroslav Šilhavý
Ano, takže přesně to co píšu až na to že nemluvím pouze o omezení na ISP ale v postatě změně běžného standartu pro SOHO routery ... což se nemusí vylučovat.
Já někde píšu že Turris je bezpečný router který funguje?
"- proof of concept o který se snaží Turis který tak pomlouváš kudy píšeš ...."
". Proč má Turris problémy s aktualizacemi nevím a pokud je to pouze "project specific" tak mě to ani nezajímá ..."
Hlavní sdělení je pouze toto "Jedině automatické aktualizace a monitoring takových sítí ". Je až neuvěřitelné jak má občas někdo zatměno před očima jenom uslyší Turris ....
Hlavní sdělení je pouze toto "Jedině automatické aktualizace a monitoring takových sítí ". Je až neuvěřitelné jak má občas někdo zatměno před očima jenom uslyší Turris ....
To mi křivdíte. O Turrisu se jen víc mluví a vzbuzuje emoce: 1) kvůli podivnému financování (které by žádný komerční projekt neustál), 2) kvůli tomu, že bezpečnost byla devizou první generace Turrisů, dál už ne.
Naopak jsem řekl, že zatím jediný životaschopný model vidím pronájem od ISP. Neupřednostnil, ani neupozadil jsem žádnou konkrétní značku. Hovořil jsem pouze o tom, že bezpečnost něco stojí, a že toto je zatím jediný životaschopný model.
Kromě Turrisu se o bezpečnost snaží / snažilo víc značek, ani jedna neuspěla. Hořkokyselým příkladem je Cisco, které po akvizici Linksysu začalo, pod značkou Cisco SOHO začalo dodávat sračky a možná si tím nenávratně zničilo jméno, budované po dekády.
@Miroslav Šilhavý
Tak nerad bych ti křivdil, ale za své ménění o Turrisu se tu dost nahlas pereš (jestli máš nebo nemáš pravdu je zde nepodstatné, ten humbuk tu děláš). Ale dále. Značku jsi sice neupřednostnil, ale pod pojmem ISP se skrývá v podstatě taky jakási značka - jen ne routeru, nýbřž poskytovatele - což nevím jestli je jedinný životaschopný model, nicméně mě zajímá pouze ten účel. Kdo to zařídí je implementační detail poplatný době a dalším okolnostem. Za rok nebo dva to může být jinak, požadavek ale zůstane. Na konec, to že něco nebylo průchodné před léty, neznamená že je i teď, speciálně v dnešním IT.
@Nick Sekáč Magor
Souhlasím. Co je platné dnes, nemusí platit zítra. Dnešní outsider může být zítřejší leader.
Mně (a to už je můj subjektivní názor) přijde, že se Turris vydal stokrát probádanou slepou uličkou.
Nepovažuji model UPC za jediný životaschopný, ale aktuálně funguje dobře. Znám i jiné ISP, kteří trvají na tom, aby koncová zařízení byla v jejich správě. DSL je na tom podobně, tam filtrování probíhá někde u DSLAMU.
Moje zkušenost říká, že koncový zákazník se jednou smíří s cenou: s cenou za pořízení a s cenou za měsíční provoz. Ale poté už očekává bezproblémový chod. Jenže často ISP účtují desetikoruny a nízké stokoruny za internet, ve kterých nedokáží rozpustit částku za pronájem zařízení. Pak už je jen na koncovém uživateli, aby si čas od času zaplatil nějaký upgrade. Jenže koncový uživatel očekává, "že to má v ceně". A jsme zase na začátku.
Turris jakožto bezpečnostní projekt by mi imponoval. Ale od toho CZ.NIC ustoupil a udělal hračku pro nadšence. Máme 20 modůlů včetně interfejsu pro napojení na mezinárodní vesmírnou stanici. Bezpečnost je jen dvacátá první funkce.
Dokážku i poměrně přesně spočítat, co stojí údržba bezpečnosti koncových routerů. Odliším fixní a variabilní náklady. Ale pokud zákazníků nebudou tisíce tak vím, že měsíční částka bude taková, že malého ISP bude diskvalifikovat.
Takže malí ISP nemají na výběr. Musí prodávat službu, která za moc nestojí. Koncová zařízení nepronajímají a neudržují,. protože to stojí peníze, které nevyberou.
Na tom všem Turris nemá žádnou vinu. Turris je jen krok vedle.
@Miroslav Šilhavý
Nevím tolik o Turrisu a je mi to jedno, nicméně dovedu si přestavit že za nějakou dobu to může být akorátní, nebo budou mít dostatek zkušeností na vytvoření nějaké kompromisní alternativy. To že se to nepovedlo Ciscu může znamenat cokoliv, resp. neznamenat nic co přímo souvisí s technologiemi, nebyla by to první velká a známá firma která něco zprznila či zabila přestože to někdo jiný udělat umí a ani to nemusí být hloupostí nebo diletantstvím, prostě když dva dělají totéž, není to vždy totéž ... To je ale jedno, já nyní vidím pouze smysluplný cíl: "Jedině automatické aktualizace a monitoring takových sítí "
To že se to nepovedlo Ciscu může znamenat cokoliv, resp. neznamenat nic co přímo souvisí s technologiemi, nebyla by to první velká a známá firma která něco zprznila či zabila přestože to někdo jiný udělat umí a ani to nemusí být hloupostí nebo diletantstvím, prostě když dva dělají totéž, není to vždy totéž ... To je ale jedno, já nyní vidím pouze smysluplný cíl: "Jedině automatické aktualizace a monitoring takových sítí "
A je podle Vás spravedlivé, že jedna firma si na to musí vydělat z běžných komerčních aktivit a svých úspěchů, zatímco druhá firma to křížově financuje z monopolu na TLD .cz?
@Miroslav Šilhavý
Co to pořád všichni s tou sociální (pseudo)spravedlností máte? Přece nikdo záměrně nevybral dvě firmy a jedné neházel klacky pod nohy zatímco druhé dal do vínku TLD .cz, ale prostě se dva subjetky (dost pravděpodobně naprosto nezávisle na sobě) rozhodly že zkusí to podobné a zatímco jedna prostě historicky jede byznys v komunikačních technologiích a točí miliardy, druhá je jakési sdružení s TLDčekem a ještě něčím. Promiň, ale co je to za praštěnou dobu že vždycky někdo vezme nějaké skupinu začne hledat oběti a usurpátory? #facepalm
Co to pořád všichni s tou sociální (pseudo)spravedlností máte? Přece nikdo záměrně nevybral dvě firmy a jedné neházel klacky pod nohy zatímco druhé dal do vínku TLD .cz, ale prostě se dva subjetky (dost pravděpodobně naprosto nezávisle na sobě) rozhodly že zkusí to podobné
Ale tohle jednoduše není pravda. TLD .cz může mít jen jeden subjekt. Ten není soutěžený a do vínku získává miliony ročně. Ty pak může dávat do projektů, o kterých sám rozhoduje. To není korektní soutěž a vítězem možná nebude ten lepší, ale lépe zafinancovaný.
Promiň, ale co je to za praštěnou dobu že vždycky někdo vezme nějaké skupinu začne hledat oběti a usurpátory?
Tomu se říká demokracie. Vláda slova lidí. Každý má právo vyjádřit pochybnosti. Z mého pohledu jakýkoliv monopol nebo oligopol má neskutečnou výhodu oproti ostatním. (A CZ.NIC v dnešní ČR považuji stále za více prospěšnou, než neprospěšnou organizaci).
Vám by se líbilo mít firmu a soutěžit proti druhé firmě, která získala bezrizikový kapitál? Záměrně píšu BEZrizikový, protože to se nedá srovnat s podmínkami, které si kladou investiční andělé.
@Miroslav Šilhavý
Ovšem řeč o dvou naprosto různých entitách které se naprosto nezávisle na sobě rozhodly zkusit stejný produkt a o tom, proč by mezi nimi musela být jakási "spravedlnost".
Pochybnosti a vůbec cokoliv má právo vyjádřit každý, taky ti to nikdo nezakazuje. Pouze se podivuji nad tím proč tolik lidí v rámci této svobody neustále všechno co dostatnou do pracek staví do rolí oběť-utlačovatel ...
Co by se mě líbilo ... mě by se líbilo kdyby pořád někdo nevytvářel pseudoproblémy. Když už se budeme bavit o jakési soutěži NIC - Cisco, tak kdyby NIC financoval nějaký Shuttleworth tak bys byl klidný? Přitom z pohledu této soutěže je to to samé. Cisco může mít zase díky svému postavení vliv na věci na jaké třeba NIC nikdy mít nebude - jako legislativa států kde působí, pobídky pro fabriky, dávno vybudovaný přístup do Číny nebo korporátní lobby, Ciscu se budou lépe shánět odborníci po světě a asi je bude umět i lépe zaplatit, no a to si teď představ že by třeba Cisco mělo tento rok štěstí >>> prostě dokud je někdo nezavře do nějaké korektní spravedlivé imaginární krabičky, tak se vždycky něco najde ....
Jiná otázka je to kam se snažíš tuto výměnu posunout, tedy jestli má CZ.NIC výhradním správcem .cz. Podle mě to funguje, tak proč ne a až bude mít zájem i někdo jiný, nechť si to vyřve, do té doby nemá smysl vytvářet problém tam kde není. Abychom v tomto tématu nechodili kolem horké kaše, napíšu to za sebe tak jak to vidím bez příkras:
Pokud máš pocit že by někdo z Babišového ansáblu jít "vylepšit" situaci naši TLD tak s tím u mě nepochodíš, ba přímo za mě ti mohu říct: s tím jdi do ..., nepotřebuji aby to nějaký nazdárek z Anofertu prodal někam do ....
proof of concept o který se snaží Turis který tak pomlouváš kudy píšeš ....
PS: Turris je paskvil. Kdyby to byl jen bezpečný router fungující tak, jak píšete, dalo by se to ještě přijmout. Ale ona je to hlavně hračka, jejímž účelem je, aby se v ní šťourali nadšenci. V tom vidím velkou díru konceptu.
Toto nema riesenie. Rovnako ako nema riesenie boj s dopingom, ter***stami, danovymi unikmi,.....
Cisto teoreticky to ma riesenie ale to je v sfere sci-fi.
Priklad s autom je zly, presnejsie zo zlelho uhlu. Priklad s autom by bol dobry ak by si poukazoval na ich kradnutie. Toto by ale nepasovalo do tvojej teorie, lebo aj ked sa vyvijaju nove technologie proti kradeziam, tak auta sa stale kradnu. Podobne ako DRM pri hrach, filmoch, a ine veci.
Routery s podporu su, len to nieje Tenda alebo Tp-link za par eur. Pozri taky Asus, ten ma slusnu podporu, tiez casto spominany Microtik. Tu by mala jednoznacne zasiahnut EU a donutit vyrobcov podporvat routre urcitu minimalnu dobu, idealne aj neblokovat instalaciu alternativnyvh firmwerov.
A co si pod "podporovat routre" predstavujete Kefaline? Bude to jednou za pul roku nejaka aktualizace, ktera zmeni v routri informaci o posledni aktualizaci? Nebo naopak to bude do 24h od nahlaseni nejake vulnerability fix? :D Na to se samozrejme vetsina vyrobcu vysere a bude delat jenom to nutne minimum. Za vsim jsou prachy. Jako producent cehokoliv to budes delat stejne.
Třeba Synology na to "nes*re"
Podivejte se na release notes firmware jejich routeru viz https://www.synology.com/en-global/releaseNote/RT2600ac
Ano, mohu potvrdit. Jsem vlastník business modelu NAS z roku 2013 povolenými plně automatickými aktualizacemi. Aktualizace byly a jsou zcela bez problémové a u kritických zranitelností přicházejí téměř do druhého dne, často o několik dnů předběhli i tým Turrisu. Jen jedenkrát jsem měl cca před 4mi lety vážnější problém s raid a tam mě jejich support požádal o vzdálený přístup k NASu, opravu provedli do 48 hodin od nahlášení... Podotýkám, že si neplatím žádnou prémiovou podporu. Oproti tomu stojí má poslední zkušenost se supportem Turrise, kdy jsem chtěl řešit odumírání routeru po poslední aktualizaci 3.11. Support si vyžádal logy, které jsem obratem dodal, pak veřejné klíče a následně se odmlčeli a již se nikdy neozvali...
Přirovnání k autům silně pokulhává. Ono je to u těch aut tak nějak model od modelu a zrovna nedávno jsem viděl nějaké recenze kde nová auta zcela pohořela v NCAP testu. U těch routerů je to podobné.
S routerem jsem dopadl tak,že administrativní port je zcela odpojený a když něco potřebuju změnit píchnu se tam s notebookem. A na jiných fyzických portech nic na routeru neběží a ještě je na nich zaplý firewall co dovolí jen forward paketů.
No, tak třeba Mikrotik. Ten má neomezenou podporu a můžete aktualizovat dokud zařízení funguje (či možná nezruší platformu zařízení). Jeden model mám více jak 5 let a pořád aktuální.
Předpokládám, že i Synology router bude aktualizovanej několik let, tak jako jejich NASky.
S dalšíma nemám zkušenosti, protože Mikrotik.
Já mám taky jako router mikrotik, dokonce má integrovanou wifi. Ta je ale opravdu mizerná co do výkonu a dosahu, takže jsem ji vypnul a jako wifi mám připojenou Unifi LR. Ano, cenově je to drahé pro SOHO, ale aspoň mám pocit, že mám bezpečný router a dobrou wifi. Neznám žádného výrobce, který by uměl ty dvě věci dohromady - kvalitní router s aktualizacemi + dobrá wifi.
1. Ta chyba používá ve značné míře lidský faktor
2. Lidem se větší budget na IT vybavení nenarodí. Oni mají v ceně Turris Omnia přesluhující PC s Core2Duo a nebudou za větší cenu kupovat routery.
MKT by cenově ušel ale.... Není primárně na to domácí
browsdání přes tři zdi v panelalku o moci jednoho AP
ZBT-WG3526
Zde jsem o tom něco napsal:
http://www.abclinuxu.cz/blog/paulovo_doupe/2018/8/zbt-wg3526-minirecenze
Proč mi má vadit, že má můj router díru? Počítač mám aktualizovaný a s anitivirem. S bankou komunikuju přes https. Do práce se bez VPN nedostanu.
Když začne Internet kulhat, resetnu router do defaultu a jedeme dál. Když kulá už moc často tak ho vyhodím a kopím za 1000 nový.
No pár drobností by se našlo...
1) Pokud máš jakoukoliv veřejnou IP adresu na jakýmkoliv zařízení (router nevyjímaje) a útočník je ovládne, dostane se do tvojí sítě i ke službám, který filtruje firewall (jsou neveřejný). Takže třeba smlouvy na Sambě, telnet/http pro ovládání IoT, CUPS,... Pomocí těch protokolů může šmírovat, šifrovat data, ovládnout další zařízení,...
2) Pokud si útočník udělá na tvým routeru VPNku, připojí se přes něho a například stahuje dětský porno nebo láme zabezpečení banky, myslíš, že bude policajtům stačit pětiminutový vysvětlení, že prostě nezáplatuješ router, nebi ti seberou k expertýze komplet všechny stroje a budeš tam chodit jak blbec 3x týdně půl roku sepisovat protokoly?
3) Komunikuješ mailem? Super, odposlechnout tvou skutečnou adresu a login k SMTP je hračka, šifruje se jenom příležitostně. Normálně by musel napíchnout síť ISP, takhle v ní má sondu. No a pak tvým jménem pojede spam do doby, než se dostaneš na black listy a pak už neodešleš ani legitimní mail.
4) Po kompromitaci se staneš součástí botnetu. Například na povel k DDOS ti to zahltí odchozí linku tak, aby se co nejvíc dala zahltit komunikace oběti - takže nekomunikuješ ani ty.
5) Jak složitý myslíš, že je nastavit http server na prolomeným routeru? A co na to řekne státní žalobce, pokud na něm bude například velkoobchodní nabídka kokainu, nebo fotky nahých tříletých holčiček?
6) Platíš rád elektriku za těžbu kryptoměn někomu jinýmu?
7) Technicky není ani problém selektivně přesměrovat na routeru spojení na konkrétní IP adresu tunelem někam jinam (rozhodnout, kama paket půjde, je základní funkce routeru) a s tím provozem pak dělat cokoliv... Už jsem takový únos viděl na vlastní oči.
8) ...
Ale pokud chceš adrenalin, tvoje volba...
Aktualizace jsou řešení, ale i riziko. Když se router používá jako univerzální klátičkomlýnomixérotrouba s volitelnou funkcí pojezdu po poli a sekáním obilí, dostaneš neotestovatelnou sadu funkcí a nastavení. A pak není otázka, jestli to aktualizace sestřelí, ale kdy. Tak to prostě je, bylo a bude.
Takže jediná možnost je osekat funkce na minimum. Na routeru jenom routování + firewall + (NAT) + (DNS) + (DHCP) + (DHCPv6). Snaha tam nadrbat ještě NFS, mail server, Jabber server, VoIP server, NAS, DLNA server, print server, IoT gateway,... do jedné krabičky na jednoho fyzickýho brouka je cesta do pekla.
Čistě technicky by na tohle byla nejlepší nějaká krabice, v ní managovaný switch + zdroj a backplane s RGMII/SGMII sloty pro router kartu, DNS kartu, NAS kartu (se SATA/USB), mini kompl kartu jenom s USB a Linuxem (ve stylu RPi) pro další vopičárny,... A pro každou kartu extra fest otestovaný patche. Takže rozdrbaný NAS ti neshodí firewall a problém s DNS nesestřelí tisk.
Problém je, že by to bylo hodně drahý a nikdo by si to nekoupil...
Bohužel, hodně lidí si raději koupí mobil za 20 000, než by investovali stejnou částku do routeru s podporou..
Pak už jedině spoléhat na to*, že browser bude po vzoru firefoxu používat vlastní dns přes sifrovaný kanál. Nebo nevěřit domácím sítím vůbec a mít vpn.
*v reakci na DNS poisoning/redirect.
Hlásím se jako problémista, který router Turris Omnia vlastní od samého počátku projektu. Jsem z něho velmi zklamán, protože na systému prakticky nemůžete bez následků provádět žádné vlastní úpravy, protože vám pak nějaký hezký update router zbourá. Řešením je nechat router v defaultním stavu a pak je velká šance, že automatické aktualizace ustojíte... Stav projektu je takový, že už i na foru Turrisu velmi slušní a korektní cizinci začnou používat velmi peprné výrazivo.
Kdyby to aspon fungovalo jako APcko... Ale neco tak dropujiciho a odpadavajiciho jsem za podobny prachy nevidel. HW je shitty, s Cinskyma levnyma shit WiFi kartama, no ale software, ten tomu nasazuje finalni korunku.
Tleskam soucasny vysoky priorite mobilni appky... Ja bych radsi system, kterej neni tri roky starej a nevisi na par vystresovanych nerdicich, na co si vzpomenou, nebo nevzpomenou a backportuji, ci nechaji byt.
Tak jeden by rekl, ze tam zkusime dat upstream verze software, vsak se NIC vytahoval, jak delaji vsechno spravne, takze upstream u-boot urcite nebude problem... A tak clovek skonci uz u zavadece, z routeru je cihlicka ;)
De-bricking proces je hidden secret, nemit moznost ty lidi potkat na konferach, uz ten srot ani ze supliku nevytahnem a bude jen lapat prach.
V prepoctu na clovekohodinu je to nejdrazsi sitovaci krabicka, co mi prosla rukama. Nakupni cenu vem cert, snaha z toho srotu udelat neco pouzitelnyho, uz stala nekolikanasobek hodnoty hw.
Ale skoncili jsme na tom, ze praci za NIC delat nebudem a radsi, az bude potreba, budem nakupovat neco, na cem jede upstream OpenWRT rovnou, alternativ je dost...
Fakt mi unika duvod, proc by bylo potreba kreslit custom HW pro tak beznou a masove vyrabenou vec, jako jsou SoHo routery.
Kdyby to byl nejaky microserver, nebo neco podobneho, tak to pochopim. Ale kreslit router nedopadne dobre, automaticky bude predrazeny a jako cisty router to vyuzije malokdo. A michat NAS a router+firewall, “aby se to uplatilo” a pri tom stale tvrdit cosi o bezpecnosti...
Juchu, mega standing ovation, jsem nadseny.
Internet Info Root.cz (www.root.cz)
Informace nejen ze světa Linuxu. ISSN 1212-8309
Copyright © 1998 – 2021 Internet Info, s.r.o. Všechna práva vyhrazena.