Az egész azon a feltételezésen alapul, hogy a gyártó nem téved, és a frissítés feltétlenül kívánatos.

Erről viszont konkrétan tudjuk, hogy illúzió, és akkor még nem is beszéltünk arról, hogy a gyártó esetleg halászhat a zavarosban.

További kérdés, hogy mi lesz a CFW-ekkel. Több iparágban is komoly törekvés mutatkozik arra, hogy a felhasználó számára teljesen tiltsanak le bármilyen beavatkozást a saját eszközébe, ami azért egy nagyon megosztó vélemény. (Ugyanis nem is teljesen az ördögtől való, még ha egy informatikai portálon nem is örvendhet nagy népszerűségnek.)

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Szerintem otthoni eszközöknél, amit nem felügyelnek közvetlenül szakik, had legyen központi frissítés. Cégeknél ás állami intézményeknél meg fizessék meg a szakikat, vagy vegyenek igénybe külsős szolgáltatókat, akik foglalkoznak az eszközeikkel és/vagy szolgáltatnak nekik felhőből.

Le az elipszilonos jével, éljen a "j" !!!

Náluk megkérdőjelezhető a frissítés lebonyolítása, mert lassú, sok erőforrást használ és minden szar miatt újra kell indítani a gépet, de biztonsági kockázattal nem járnak (leszámítva amikor feature update-ek esetén valami bug is bekerül, ami miatt haldoklik a rendszer).

atike: Őszintén szólva aki nem tudja megoldani, az inkább ne gyártson ilyen eszközt. Vagy menjen át OEM-be és hagyja másra a szoftvert. Ne nagyon tudnám sajnálni azokat, akik kiadják a sok szart, aztán utánam az özönvíz.

Tehát mostmár arra is figyelni kell, hogy ilyen szart ne vegyek/vettessek az ügyféllel.

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

"Az egész azon a feltételezésen alapul, hogy a gyártó nem téved, és a frissítés feltétlenül kívánatos.": nem. az egész azon a feltételezésen alapul, hogy a biztonsági problémákra a legjobb megoldás az azonnali firmware frissítés. amely feltételezés természetesen téves.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezzel ellentétben a legjobb megoldás az, hogy: ...

DRM is theft

Engem ebben csak az zavar, hogy bizonytalan az időzítés, és a kimenetele. Volt UPC-s routerem, rendszeresen a legrosszabbkor frissítették, és néha alig tudott utána újrakapcsolódni.
Ha megoldható az, hogy a router maga jelzi, hogy frissítés van, ami egy gombnyomással indítható kézzel, illetve lehet szintén gombnyomással revertelni, ha valami beütött, akkor a részemről ok.

az én esetemben a legjobb megoldás az, hogy betolom az adott sérülékenység elleni port-tiltást a kábelmodem beépített tűzfalába, és az majd intézi.
jelentős védelmet lehet még elérni az edgerouterek csomagszűrőjével is. pppoe alapú hálózatokon meg a pppoe koncentrátor, mint router is alkalmas a védelemre.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Amúgy kíváncsi lennék a japán tapasztalatokra. Egy ilyen szakportálos cikkben kitérhettek volna erre is, ha már erre hivatkoztak.

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Tehát te egyszemélyben figyeled az összes routergyártó összes routerének firmware-ét és az összes eddigi sérülékenységre raksz be egy plusz szabályt.

Kérlek, mesélj még!

DRM is theft

Bár vsz. ez vulnerability frissítés kicsit túl van értékelve (munkánál is látom mindenki biztonsági játékos lesz gondolkodás helyett), de itt is valami olyasmi lehetne, hogy első konfignál meg kell adni, hogy mikor frissítsen (default valami hajnali idő az adott időzónában) ill. ki lehet kapcsolni. Ha ki van kapcsolva akkor meg LED-el/pittyegéssel jelez ha van újabb.
Nekem pl. a Merlin firmware (Asus gyári alternatívája) egy villogó sárga felkiáltó jelet tesz ki a router web felületére ha van újabb firmware (de ez átlag user esetén kb. halott ötlet mert vsz. sose néz rá a router webes felületére az első beállítás után).
Viszont a fénnyel/hanggal jelzés azért az átlag userhez is eljuttatható.

Az automatikus frissítést rohadtul nem szeretném, pl. most megnéztem a router is túl van a 204 nap uptime-on és a NAS is. Nem ok nélkül. A covid első hulláma előtt csináltam kis átszervezést és ennyi.

Szerencsére csak a Windows működik így, epl rendszerekről, meg lg-ről nem tudok, de linuxon és androidon kikapcsolható az automata frissítés vagy be sincs kapcsolva alapon.

hitler, sztálin, micro usb

Helyes volt ami írtál, csak nagyobb halmazra igaz.

Egyébként jól emlékszem arra, hogy az Asusnak volt valami biztonsági balhéja, ami miatt hosszú évekre ellenőrzés alatt állt/áll, és ezért javítottak jelentsen a szoftvereik biztonságán?

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Abu:

A cikk első sorában :
”A szigetországban bevállt az..” - szerintem 1db “L” betűvel több van a kelleténél.

Kérdezz.

https://www.routerpasswords.com/asus-router-password/

Talál a rosszakaró egy asus routert a neten, akkor megpróbál belépni admin/admin-nal. Mondjuk 3-ból 1-szer sikerül. Ha azok a routerek egyedi jelszóval jönnek ki a gyárból, akkor 100-ból 0-szor sikerül.

Emlékeim szerint a WAN felől alapból semmilyen admin felület nem elérhető, azaz 3-ból 0-szor sikerül majd a belépés...

Jogos, csak ha egy preparált oldalon keresztül a böngésződdel beinjektálhatnak valamit default jelszóval, akkor is szipi-szopi.

Le az elipszilonos jével, éljen a "j" !!!

Majd akkor lesz, mikor a tagországok egységesen megkapják a frissítést, és nem pedig országonként. Erre jó példa a routerem, ahol magyar oldalon 2019-es firmware a legfrisebb, míg a cseh oldalon meg 2020-as.

A cseh-vel nem müxik? Nem lehet, csak trehányok a magyar oldalt frissíteni? Autó upgrade-hez nem kell országonként szerver.

Le az elipszilonos jével, éljen a "j" !!!

És a mobiloknál? Ott a Google, legjobb példa. Nulla biztonság.

Legalább arra próbálnak törekedni, hogy az új droidok komponenseinek minél nagyobb részhalmaza tudjon play áruházon kersztül gyártótól és hw-től függetlenül frissülni. De már az elején gondolhattak volna erre.

Le az elipszilonos jével, éljen a "j" !!!

internet felől miért lenne elérhető a routered?
Ha van egy egyszerű fail2ban, akkor 10db szám is lehetne a jelszavad, akkor is nehéz lenne feltörni: pl 5 próba után ban forever

A bortól bolondokat gondol az ember, DE A PÁLINKÁTÓL MEG IS CSINÁLJA!!!

semmi gond nincs abban, ha csak azért beszélsz hülyeséget, hogy kötözködj, ezentúl minden ilyen hsz-edet ignorálni fogom.
mint ezt egy napig.
de azért meséld már el az ellenkező megoldást: internetet szolgáltatsz, mondjuk egy Debrecen méretű városban, van 20 ezer ügyfeled, reggelre ennyi router zöme beadja a kulcsot. meg van annyi embered, hogy nagyságrendileg 10 helyre tudod egyszerre kiküldeni, és egy hely egy óra.

na, mit csinálsz? el tudom intézni, hogy beülhess a hibabejelentőbe telefont emelgetni kedves udvarias ügyfelek hívásánál.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem igazán, mert egy botnet felől, vagy torról próbálkoznak, aminek nagyon sok kimenő ip címe van, így elég gyorsan pörgetnek, jellemzően szótár alapon. A user nevet praktikus megváltoztatni, ha lehet. Adminnal, rootal mindenki próbálkozik, de pistike userral aligha.

Szóval akkor tényleg hülyeséget beszéltél a tűzfalszabályokkal

Meg gondolom kapásból tudod sorolni a példákat olyan routerekre, amikre egyszerre áll az, hogy az ügyfeleitek zöménél azt használják ÉS adtak rá ki olyan frissítést, ami brickelte - de ha ez így nem megy, akkor elég a VAGY kapcsolat is

DRM is theft

akár hogy csűröd-csavarod, reális azt feltételezni, hogy egy upgrade olyan állapotba hoz egy routert, ami emberi beavatkozást igényel. mindegy, mit. az userek zöménél nulla hozzáértés van.

úgyhogy most meséld el, mit csinálsz, ha beüt a mennykő? merugye a windowst se fektették meg még egyszer se, az ügyfélnek se jut eszébe soha, hogy ha szokatlanul villog a routere, akkor kihúzza, ha kidobnak egy update-t és a világ összes adott márkájú routere ráugrik, akkor nem száll el az egész cdn a p..ba...

ezek mint kitalált fantasztikumok, ugye?

azt meg, hogy mi ellen kell védekezni, lehet tudni. tudtommal ilyesmivel foglalkozol te is, és te is pontosan tudod, hogy nem nagy kunszt utánajárni. vagyis csak azért kötözködsz, mert nagyon ráérsz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Azt írtam hogy a belső hálón lévő gépet használva jumphostként. Internet felől nem érhető el default, viszont az a tipikus hogy egy belső gépet megfertőzve jutnak be a routerre, és pont ezért (is) fontos hogy ne alap jelszó legyen. Általában nem a család többi tagja ellen védjük az admin fiókot a családi routeren otthon. Viszont ehhez a támadónak már a belső hálón kell lennie . Tipikusan malware .

reális azt feltételezni, hogy egy upgrade olyan állapotba hoz egy routert, ami emberi beavatkozást igényel

Elképzelhető, de nem túl valószínű. A router fix HW, viszonylag könnyen tesztelhető, ill. az azért most már elég standard gyakorlat, hogy a frissítéseket nem egyszerre mindenkinek nyomják ki, hanem lépcsőzetesen, hogy ha mégis van valami gebasz, akkor ne vágjanak mindent tönkre.
Egyébként te már hallottál ilyen frissítésről, ami után kézzel kell életre kelteni a routert? Csak hogy ellenőrizzük, hogy ez mennyire életszerű dolog.

és a világ összes adott márkájú routere ráugrik, akkor nem száll el az egész cdn a p..ba...

Ja, ahogy patch tuesdayeken is el szokott szállni a MS CDN-je, amikor jóval több készülék sokkal nagyobb file-okat tölt le... ja, várj, nem száll el. Lehet, hogy ezt meg lehet oldani?...

azt meg, hogy mi ellen kell védekezni, lehet tudni. tudtommal ilyesmivel foglalkozol te is, és te is pontosan tudod, hogy nem nagy kunszt utánajárni. vagyis csak azért kötözködsz, mert nagyon ráérsz.

Aha. Egészen pontosan milyen tűzfalszabályok vannak nálad érvényben például ennek a sérülékenységnek a kezelésére? Hiszen már rég lekezelted, hiszen így védekezel, igaz?

[ Szerkesztve ]

DRM is theft

"A router fix HW": kis optimista... a routerekből, kábelmodemekből kb. az a fix hw, amit egy gyártási menetben gyártottak és azonos szállítmányból kapsz. már úgy értve, hogy a gyártótól a magyar nagykerig terjedő úton azonos a szállítmány.

"az azért most már elég standard gyakorlat, hogy a frissítéseket nem egyszerre mindenkinek nyomják ki, hanem lépcsőzetesen": visszatérve az előző példához. ha van 10 csapatnyi embered, akkor naponta nagyságrendileg 80-100 ügyfélhez tudnak kimenni. vagyis 20 ezres ügyféllétszám esetén 200 nap alatt tudják lejárni a várost. tehát ha ennél gyorsabban terítik a firmware-t, lehet fennakadás, ha ennél nem gyorsabbak, akkor lesz olyan ügyfél, aki 199 napig védtelen. következésképp vagy az a verzió fog előállni, hogy túlterheled az isp-t, vagy az, hogy nullát ér a védekezés.

"Egyébként te már hallottál ilyen frissítésről": nekem már volt olyan esetem, hogy felraktam, láttam, hogy nem jó, (most a közben elmorzsolt szavakat ne firtassuk), és megcsináltam kézzel, ezek után a többi eszközömre nem raktam fel. Kérdés, hogy nálad a hallottál kifejezésbe belefér-e a saját első kézből érkező orális élmény. Konkrét eset: amikor a mikrotik úgy döntött, hogy a switch kezelését, a bridge-ing hw offloadot átszervezi, akkor nálam gyakorlatilag minden mikrotik eszköz leseggelt, amiben szeparált switchportok voltak. Mivel kocka vagyok, a saját itthoni cuccomat soros portról frissítettem, tehát végzetes hibát nem okozott, csak azt a funkcionalitást veszítettem el 1-2 évre. A melós cuccokban meg egyszerűen nem frissítettem ilyen tapasztalatok után (azóta se).

olyat is láttam már, amikor egy gyártói frissítés nem sikerül, és utána felrobban a telefonközpont a callcenterben. láttam már komplett céget bepánikolni emiatt. köszönöm, az én kontómra ilyet senki ne csináljon, mert porzósra rugdosom a seggét.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Meg is fordíthatjuk a gondolatmeneted: ha már kitettél egy routert az ügyfélhez, akkor leszel szíves vagy te vagy a gyártója naprakészen tartani, és nem ott hagyni a sebezhetőségeket, mert aztán ha egy ilyen miatt lopják el a felhasználók banki adatait, akkor a te seggedet fogja rongyosra rúgni a 20 ezer ügyfeled, akiket oly nagy becsben tartasz.

Ilyenkor azért örülök annak hogy nagy cégeknél nem az az ember dönt ilyenekről aki soros porton frissít routereket.

ebben alapvetően egyet is tudnánk érteni, kivéve, hogy nem teszek ki routert az ügyfélhez.
a felhasználó pc-je, telefonja, routere, banki adatai az ő dolga. a bankok zömében https-sen mennek, ha azt feltörik, szintén nem az én dolgom.
kirakom a modemet, az az első indulásakor bridge módba kapcsol (központból forszírozottan), utána rádugja a routerét és kész. tisztán és világosan elválasztott felelősségek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

tudsz is valami konkrétumot, vagy csak tájékozatlan vagy?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem, természetesen semmit

A https-t nem kell "feltörni", elég egy MitM, ahogy például volt is rá példa (bár az Lenovo laptopokon és munkaállomásokon futott, de az elve ugyanaz lehet egy routeren vagy modemen is).
Ilyenkor ha már ennyire felelősségek szeparálása, akkor én lehet inkább azt a modemet sem kérném, akármilyen módban van, elég a kábelvégződés. Bár még akkor is ott lehet, hogy a hálózatod egyéb elemei mennyire biztonságosak, de közvetlen optikai szálat csak nem kérhet mindenki a gerinchálózatig. Egyelőre.