Názory k článku
Zyxel má pevně zabudované přihlašovací údaje ve 100 000 zařízeních

Když je tohle v produktech "značkového" Zyxelu, který v mnoha firmách používají jako hlavní bránu do své sítě, kdo ví co je v jiných produktech :-( Pokud Zyxel někdy měl dobré jméno, tak tímhle ho definitivně ztratil.

To se hodí. Třeba když člověk zapomene heslo.

...heslo od sousedovic sítě ;-)

K tomu by to používali pouze nečestní lidé a takoví jistě Roota nečtou!

Tak to je síla, myslel jsem, že je Zyxel dobrá značka.... Ten účet je tam chybou nebo záměrně?

Z informací na stránkách Zyxel: "The account was designed to deliver automatic firmware updates to connected access points through FTP."
Takže tam byl záměrně.

Zyxel u mě skončil.

Ha, to zní úplně jak nějaká marketingová pravda :)

No to gratuluji k rozhodnuti. A ted dalsi pravda. ZyNOS se pouziva i mimo zarizeni zyxelu.
Zyxel pronajima nebo pronajimal licence a devkit tretim stranam takze jsem zvedav nakolik bude ta kompilace OS na jinych zarizenich natolik jina ze tam ten ucet nebude.
Zyxel ma dlouhodobe bordel v security a LTS podpore zarizeni. Ani kdyz si koupite drazsi zarizeni nebo nedejboze DSLAM (pred cimz varuji, je lepsi vzit nejakou proverenou cinu).
Na tom je nejhorsi to ze ta zarizeni jsou svymi schopnostmi celkem dobre a stabilni produkty - vyjma tech dslamu. Dost veci se da nakonfigurovat. Jen kdyby ta podpora byla. Resil jsem i CPE provisioning a taky to byla bida kdyz nenahrajete zakosum ani novy firmware protoze je tam buga jak vysusena bazina na jizni morave...

8. 1. 2021, 16:02 editováno autorem komentáře

Udajne sevjedna o konto pro automaticky update firmware v AP. Asi pouzivaji stejny zaklad pro controllery i v dalsim firmware a dostalo se to i do jinych zarizeni. To, ze ten ucet funguje i jinak a ma vysoka prava je dost pruser.

To mi přijde jako diletantsví, jakkoliv mohl být původní záměr myšlen v dobrém (ehm). U takového řešení je jen otázkou času, kdy ten účet/heslo někdo objeví a pak z toho bude kolosální průser. Když automatický update FW přímo od výrobce, tak jedině ze strany zařízení a rozhodně ne naopak, a pokud se používá controller, tak bych to řešil za pomoci klíčů nastavených explicitně správcem sítě.

S updatem ze strany zařízení byste se daleko nedostal na setupu, který má víc než jeden aktivní prvek a má nějak stabilně a předvídatelně fungovat. Nicméně tenhle způsob implementace je dost nešťastný.

Tak jasně, pak bych to ale řešil tím kontrolerem a ručně nastavenými klíči. Možná by se dalo polemizovat o tom, jestli by ještě bylo v pořádku tam ve výchozím nastavení mít nějaký výchozí účet pro hromadnou vzdálenou konfiguraci. Pokud by se to vhodně implementovalo, tak asi proč ne, ale podmínil bych to třeba tím, že dokud se ten účet nepřekonfiguruje, tak nepůjde zařízení dál konfigurovat, jinak by to byla zase jen bezpečnostní díra.

Nahodou - je to spis systemove selhani Linuxu.

Jsem pred tydnem instaloval pure-ftpd, protoze APC UPS dokaze nahravat logy o provozu na FTP. Vse nastavim - a nejede to. Az pote, co jsem zmenil shell, z /bin/false, na /bin/bash, se dalo prihlasit na FTP.

Takze se ptam - jak udelat ucet, vuci kteremu pujde unix-auth (passwd/shadow), ale nepujde se tam prihlasit skrze SSH ? Jedu na Linuxu 13+ let, ale rizeni tech zakladnich prav ohledne prihlasovani a autentifikaci sluzeb to ma dost marnou (ve stylu - vsechno anebo nic).

Jedním z "old times" řešení, které je k dispozici i na zařízeních s omezeným softwarovým vybavením, nalinkovat /bin/false třeba na /usr/local/bin/a­llow-ftp a /usr/local/bin/a­llow-ftp přidat do /etc/shells. FTP pak půjde, ale shell uživatel nezíská.

Je fakt, že tenhle problém asi nemá úplně pěkné řešení. Co jako shell v takovém případě nastavit třeba /bin/cat? Domnívám se, že by to bylo z hlediska bezpečnosti podstatně lepší než bash (pokud by náhodou heslo k účtu padlo do nesprávných rukou), ale i tak by mě celkem zajímalo, jestli by tam byla nějaká možnost zneužití (ponechme stranou potenciální zneužitelnost typu buffer overflow přímo v té binárce).

EDIT: nebo existuje něco jako nologin, ale tak, aby místo skončení nenulou hned po spuštění třeba jen čekal v nekonečné smyčce?

7. 1. 2021, 14:51 editováno autorem komentáře

Jak to proboha souvisí?:-)

Ten problém s nevalidním shellem se dá řešit třeba takto:

echo "/bin/false" >> /etc/shells

A nebo použít proftpd, který funkční shell nevyžaduje, resp. jde tak nastavit.

u ssh používáme vždy nastavení allowUsers, kde se vyjmenují uživatelé, kteří mohou se na ssh přihlásit. Je k dispozici i nastavení DenyUsers, DenyGroups, AllowGroups...

On má někdo povolené přihlášení heslem po SSH?

Trochu pozadia od ľudí, ktorí ten účet našli:
https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html

Vzhľadom na to, že Zyxel nemá takýto problém prvý raz (sám som mal Zyxel NSA310, na ktorom bežal nedokumentovaný ssh server) by som povedal, že to tam bolo naschvál, ale ešte stále nemajú vyriešené dosť dobré maskovanie takýchto backdoorov.

7. 1. 2021, 12:32 editováno autorem komentáře

Tak ono je už v názvu produktu nápověda, že je tam backdoor: "Zyxel NSA310" Akorát by mě nenapadlo, že jsou v Zyxelu tak upřímní a přiznají to už v názvu výrobku. :-)

Zyxel kdysi dávno patřil k prestižním značkám, jeho modem U-1496E byl fenomenální. V té době nepatřil, a ani se nesnažil patřit k low endu.

Poté prakticky zmizel a objevil se jako absolutní low end, těžící z dobrého jména. Inu, když se roky říkalo - chceš modem? Kup jedině ZyXEL; máš méně peněz? Kup U.S. Robotics. Nemáš peníze ani na něj? Kup co chceš, ale neočekávej nic; pak se nové výrobky lépe hrnou na trh, i když už nemají se jménem značky nic společného.

Pevně nastavený account v zařízení je diletantismus. Ukazuje to, jak hluboko klesla úroveň vývoje a kontroly ve firmě. To, že taková věc opustí vrátnici závodu, je nepředstavitelné; jako riziko by to dokázal identifikovat i student prvního ročníku informačních technologií. Z neznalosti inženýry v Zyxelu asi osočovat nemusíme. Na vině mohou být jedině procesy, které dávají absolutní přednost produkci před jakostí.

Smutné je, že neexistuje způsob, jak žádat náhradu škod. I během záruky by bylo sporné, jestli je to důvod k reklamaci - úřadům a soudům chybí jakýkoliv normativní rámec, podle čeho rozlišovat, co je (blbá) vlastnost a co je vada, zejména pokud výrobce nedeklaruje v této oblasti (bezpečnost) žádnou vlastnost výrobku. Kupujete modem / router, ale deklarace, že neobsahuje chybu a za ni se ručí, u takových výrobků nebývají. V ten moment začne být spor o tom "co je běžná praxe", a výrobci se podaří docela lehce prokázat, že taková hovadská řešení obsahuje víc výrobků na trhu - tak proč by nemohl i ten jejich? Po uplynutí záruky je pak už zhola nemožné domáhat se čehokoliv; u nás je dvouletá, ale ve světě je běžnější spíš šestiměsíční.

Je velké smůla našeho oboru, že neexistují žádné zákonné / normativní rámce pro posuzování požadavků na jakost; maximálně existují uskupení, obvykle financovaná samotnými výrobci, která navrhují standardy, které nejsou nijak závazné. S tím právo nedokáže dobře pracovat.

Aktuálně je jedinou cestou vzdělávat spotřebitele, že nemá očekávat jakoukoliv jakost výrobku či služby, pokud se mu k ní dodavatel / poskytovatel nezaváže, a také učit spotřebitele, že je nutné zvažovat rizika vůči garanci. Lidé slepě věří (neumějí kriticky myslet), že jim garance bez stanovené sankce nějak pomůže. Takže i v případech, že dodavatel něco "garantuje", obvykle je maximální kompenzací směšná sleva z toho, co spotřebitel zaplatil při pořízení nebo v aktuálním měsíci čerpání služby, obvykle okořeněné o maximum byrokratických překážek při vyřizování reklamace.

Nevzrušoval bych se takovými incidenty, jsou běžné a budou běžné dál, dokud se náš obor nerozhodne vyžadovat a přijímat odpovědnost.

"jako riziko by to dokázal identifikovat i student prvního ročníku informačních technologií"

Byl jsem na vejšce na IT oboru a jsem si docela jist, že ani většině studentů třetího ročníku by to neseplo. Většina z nich podle mě ani neskončí jako programátoři. Tohle přichází se zkušenostmi, ať už přenesenými nebo získanými.

"Smutné je, že neexistuje způsob, jak žádat náhradu škod."

Smutné to není, jinak bychom měli modemy, switche, routery a další aktivní prvky za 20 000 místo tisícovky. Internet by se rozšiřoval mnohem pomaleji, pro jednotlivce by bylo složité vstoupit na tento trh, výpočetní technice by vládly jen ohromné korporáty a svět by vypadal úplně jinak. Někdo namítne že asi líp, ale mám takový pocit, že ne :-)

Smutné to není, jinak bychom měli modemy, switche, routery a další aktivní prvky za 20 000 místo tisícovky. Internet by se rozšiřoval mnohem pomaleji, pro jednotlivce by bylo složité vstoupit na tento trh, výpočetní technice by vládly jen ohromné korporáty a svět by vypadal úplně jinak.

Doba se mění. Dokud jezdila po nekvalitních (pomalých) silnicích desetina aut, nemuseli jsme se zabývat bezpečností, dětskými autosedačkami, airbagy, kontrolou trakce, ... Jakmile to překročilo určitou hranici, začalo se s přijímáním dost významných norem na požadavky na bezpečnost. Auta jsou díky nim podstatně dražší, ale je to potřeba. Nedávno (pár let) vznikla závislost prakticky veškerého konání na internetu. A možná je taky doba zralá na to, aby se bezpečnost řešila systematicky a komplexně, stejně jako u aut, elektrorozvodů, plynových rozvodů, potravin...

Tím, že je to smutné jsem myslel, že spotřebitel nemá šanci zhodnotit, co vlastně kupuje. Nejen spotřebitel, i zde, mezi velmi orientovanými laiky či poloprofesionály vidíte, že zhodnotit rizika často neumějí. Jen díky tomu zmizel prostor na trhu pro kvalitnější výrobky. I kdyby existovaly, spotřebitel nemá rozhled, aby se pro ně rozhodl. Proč platit za stejné zařízení 5000, když parametry má stejné zařízení za 500.

Ale abychom nebyli zase tak pesimističtí. Velcí operátoři poměrně dobře udržují pronajímaná / prodávaná zařízení, snaží se o jejich aktualizaci a reagují na hrozby. Tam už se sbíhá zájem spotřebitele s poskytovatelem.

by_cx: Asi ve všem bych souhlasil, jen u bodu týkajícího se (snad to tak chápu dobře) dostupnosti internetu široké veřejnosti bych si aspoň zčásti dovolil oponovat. Řekl bych, že od doby, co začal internet být široce dostupný masám a středobodem se začaly stávat nesmysly typu facebook, to v průměru s jeho obsahem a fungováním jde v mnoha ohledech ke dnu.

Internet není Facebook a to že ho většina lidí používá nějak neznamená, že jde ke dnu.

Internet není Facebook a to že ho většina lidí používá nějak neznamená, že jde ke dnu.

Taky bych neřekl, že jde ke dnu - ostatně, naše prababičky hodnotily, že je doba horší, naše babičky hodnotily, že doba je horší, naši rodiče - a teď i my. To je nějaká lidská přirozenost, idealizovat si minulost a ze současnosti nechtít vidět pozitiva.

Internetové fenomény přinášejí do života něco nového, co lidstvo nepoznalo - stejně jako ten automobilismus. Nezapomínejme, že kromě nehod a exhalací, automobily převážejí zboží, které žádáme. Facebook a další "nesmysly" také přinášejí informace, které lidé chtějí. Že se internetové firmy snaží dělat co nejlepší marketing (mnohdy koketující se stejnými slabostmi lidí, jako například u gamblerů), to bych jim nevyčítal. Mají to "v popisu práce". Občan má zase "v popisu práce" hájit zájmy společnosti, ve které žije, uvědomovat si, že internet, facebook či bitcoin jsou jen nástroje, které máme využívat k tomu, abychom zdrávi žili, uživili se, a množili se.

Internet se k masám měl a musel dostat. Není pochyb, že je to velký přínos, podle mě srovnatelný s přínosy během průmyslové revoluce. Stejně jako průmyslová revoluce přinesla prudký rozmach průmyslu, který měl vliv na zlepšení života, přinesla s sebou i negativní jevy. Sestěhovávání pracujících do velkých aglomerací, chybějící ochrana, s tím spojené sociální problémy zaměstnanců, potřeba zavést určitou úroveň zdravotní péče, ...

Smyslem mé myšlenky bylo spíš to, že jsme (domnívám se) v bodě, kdy největší přínos z rozmachu internetu a internetových služeb už máme. Nevyvíjejí se už tak překotně; většina vývoje se dnes už týká jen toho, abychom byli ještě efektivnější, abychom uměli čerpat služby z krajin, kde je lidská práce levná díky nulovému zabezpečení zaměstnanců, ochraně přírody, ... To je, aspoň pro mě, moment, kdy říct: tak, a teď se začněme soustředit na stabilizaci, na dohnání chybějících sektorů. Pojďme řešit bezpečnost (na kterou se prdělo a prdí), pojďme řešit, jak chránit zájmy státu v globální síti. Ano, zdánlivě nás to zdrží, určitě to přinese náklady, které zaplatí každý z nás. Ale je to v zájmu celku; podobně jako je nutné nenechat kouřit neodsířenou továrnu uprostřed města, i za cenu, že její zaměstnanci ztratí práci v ní.

Já jen když si vzpomenu, jak jsem v roce 92 řešil chybu v ovladači SCSI řadiče Mylex v SCO Unixu... A ještě dost dlouho potom měl člověk v šuplíku sbírku disket s ovladači na grafické, síťové a všelijaké jiné karty. Dnes to máte všechno on-line, odkudkoliv, kdykoliv a bez problémů aktuální.
Ale k BFU: co takový idos et al? Pustíte, zvolíte odjezdy ze zastávky a vidíte, že linka x, co má jet za 3 minuty má 2 minuty zpoždění. Daňové přiznání na růžové krávě, počítané podle návodu dvakrát tak tlustého? K tomu bych se od EPO vracet nechtěl.
Ne, internet není facebook. Ano, přes internet může fungovat skoro všechno, ani šíření lidské blbosti z toho není vyjmuto. Lidská blbost se ovšem ochotně šíří všemi dostupnými prostředky, za to internet nemůže. Lenin ho taky neměl a přesto to Rusku a bohužel i okolí na 100 let pěkně zavařil.