Comments 171
Если вам обещают пожизненный VPN за доплату в 1500 рублей, задайтесь вопросом — на чем экономит продавец, и что он получает взамен.
есть квн с такими тарифами (где от $1/lifetime-connection с безлимитами & p2p) и находятся они на кайманах & etc - но все они давно попали в общую кучку блокировки: поэтому остался только один акредетованный гос квн с ценой от1руб/сутки девайс где цена по купону как раз 1500руб/(2-3)года (на толпу) чего достаточно для гарантии на устройство - обещают(ли) сторис и видео без тормозов в пять иностранных локаций (сейчас не так открыто транслируют но пока это единственный разрешёный государством к продаже операторами квн и люди знают об этом)
Есть еще ряд крупных клауд провадйеров, которые за 700 рублей в месяц предоставляют ВПСки. вот там то и можно развернуть свою безопасную инфраструктуру
одно дело вбить купленые настройки а другое организовать сервис по обходу - могут и закрыть
Разрешенный? А чего клоунов из себя строим с заменой слов тогда? Тоже мне, борцы с мракобесием на белых конях, а у самих новояз и сайт с красным значком от цензортрекера.
А можно для несведующих прояснить, что за гос-впн такой?
Проверил какие-то ноунеймы. Проверь известный routerich
Приветствую @r33
Тут больше был посыл на простых людей, которые просто хотят купить преднастроенную железяку, воткнуть ее и сразу чтобы она работала, которые мало или ничего не понимают в прошивках, ИБ, именитых компаниях и т.д., где главная цель - финансовые вложения.
И вот когда ты заходишь на маркетплейс и тебе с первой страницы предлагают решение за 5 и за 15-20 тысяч, то тут выбор очевиден.
Кстати, задавался вопросом по поводу смены dns на xbox(частая проблема), насколько это действие безопасно. Достаточно погуглить "0x80a40401 xbox" и статейки с ноунейм dns серверами как на ладони. Мне кажется это была бы полезная статья(сам я попытался поресерчить, но видимо компетенций не хватает и в итоге чего-то страшного не нашел)
Если вопрос для стриминга, то на XBox есть же встроенный сервис стримлабс, через который это можно делать. Я встречал только замену ДНС на плойках, так как там такой удобный функционал пока/вообще не завезли.
Вообще смена ДНС - плохая идея. Условно, если нужно зайти на сайт ЛЕГИТИМНЫЙ.РУ и мы идем на него через левый ДНС, который адресует на нелегитимный сервер и по виду и функционалу (через АПИ, например) полностью зеркалирует нужный ресурс. Ну а дальше пароли, перс данные, бакнковская карта и т.д.
как обычно админы локахоста и диванные эксперты советуют на роутере прописать dns для xbox или еще чего, не разбираясь в вопросе
суть проблемы может быть в том, что тот dns возвращает другие ip для некоторых доменов. можно просто поснифать куда стучится бокс и добавить такие записи на роутер (если он совсем простой)
можно бокс пихнуть в отдельный сегмент и там отдавать ему отдельно днс, остальные устройства не затрагивать
Привет, у вас красивая картинка с кинетикой и проводами, какую операцию вы проводили и что хотели сделать? И ещё такой вопрос, вы сказали, что у роутера сяоми пароль хранится в незащифрованном виде? Имеется ввиду во внутреннем хранилище файлик с паролем? И чтобы изменило, если бы пароль был не в открытом виде?
Да, спасибо! красивые провода - это PCBite Probes, а делал - нашел UART, чтобы напрямую подключиться к устройству для получения оболочки (баша).
Обычно слабонастроеные IoT'ы после подгрузки системы переносят все временные файлы в /tmp папку, в том числе и файлы с SSID и паролями в открытом доступе, что делают их легкой добычей для злоумышленника (в случае нападения) и исследоватей (в случае проведения Red Team проектов). То есть, даже если у Вас пароль на Wi-Fi 30+ символов и простая deauth атакой с последующим брутом перехваченного рукопожатия не сработает, пароль можно легко сдампить за 3-5 минут путем разбора роутера. Но это уже совсем другая история)
Если к вашему роутеру у кого-то есть физический доступ, то это больше не ваш роутер.
В большинстве случае да. Но производители в настоящее время задумываются над физической безопасностью и пытаются минимизировать последствия взлома. Вот например в недавнем статье мы об этом уже говорили - https://securitymedia.org/info/bezopasnost-interneta-veshchey-v-2025-godu-ugrozy-oshibki-i-zashchita.html
Физическая безопасность устройства, которое стоит у пользователя в квартире - это вообще последнее, о чём стоит думать.
Если злоумышленник имеет такие физические доступы, то тут остаётся только картинку из Ералаша вспомнить. Которая "ВСЁ!"
парирую:
1. пользователь продает/выкидывает роутер, не сбросив в дефолт. А на новом роутере настраивает тот же ССИД и пароль
2. говоря про малый бизнес, который тоже в своих целях может приобрести данные девайсы.
То есть злоумышленник находит на помойке роутер. Через физический доступ извлекает из него старые пароли. А потом ходит и ищет, нет ли нигде рядом с этой помойкой точки доступа с совпадающим SSID и паролем?
Безопасники, мать их. Это как история про хакера и солонку, только наоборот. Безопасник видит солонку на столе, и говорит "это фундаментально небезопасно потому что любой хакер может в солонку насыпать цианид".
Да, старый анекдот)
про помойку как бы это смешно не звучало, но возможно. Как человек, имеющий опыт в корпоративной разведке - это одно из действенных средств. Бумага из шредера, жесткие диски вальяжно очищенные и прочее.
Ну так одно дело - корпоративные жёсткие диски, которые с ненулевой вероятностью могут содержать в себе хоть что-то для злоумышленника ценное. А другое - провайдерский роутер из квартиры 19 со стандартными настройками, который заменили на такой же роутер, но от другого провайдера.
на домашнем роутере чаще всего пароль написан на самом роутере в строчке WPS ))))))
А потом ходит и ищет, нет ли нигде рядом с этой помойкой точки доступа с совпадающим SSID и паролем?
А зачем ходить? Вроде же в Интернете были такие сервисы, где можно на карте посмотреть, где светился тот или иной SSID
А нет способа воткнуть впн на роутер, чтобы только конкретно туннели были на нем? типо ставил конфиг, ручками прописывал пару сайтов, трафик хоть и шел только по туннелю через впн, но все остальные сайты все равно запускались, как из другого региона? Как я это понял? сбп на многих сайтах пропал, где способ оплаты предлагается на основе региона.
Туннели настроены верно, что не прописано, пинг не получало и перепроверял удаляя один сайт заблоченный.
Может что-то упускаю? Конфиг тестил не свой, пока не решил эту проблему, свой vps даже не рассматриваю. Это критично для меня.
Хороший вопрос. К слову последний исследуемый (ах300т) так и был настроен. Там был пул айпишников и днс имен, которые шли именно через проксю, иное - по обычным маршрутам.
Тоже самое умеет делать микротик: сначала настраивам вайргард или опенвпн через ТСП, потом создаем тунель, а потом прописываем пул айпишников, которые запускать в этот тунель.
для проверки соединения можно юзать ifconfig.io - он и Ваш айпишник покажет и страну, откуда вы к нему идете
мне сами команды для конфига нужны, роутер почти любой подходит у меня, провайдер не трогает протокол openvpn.
Сейчас купил keenetic hooper se. Но толку, что даже с туннелями сайты все равно думают, что я с китая, даже если туннель не прописан для этого сайта.
ааа, ну это уже можно спросить у ИИ или у Вашего знакомого сетевого инженера (который тоже через ИИ пойдет :) ) тут я Вам уже не помощник. Лично мне чат помог, там на круг вышло 3-4 команды
Keenetic умеет в маршруты: можно настроить так, что подключения к определенным ресурсам будут идти через соединение 1, а ко всем остальным - через соединение 2. Гуглить "Как добавить маршрут в роутер Keenetic".
Я как раз недавно так настраивал к некоторым сайтам доступ, но проблема в том, что нужно указывать именно ip-адреса, а не домены (или я не нашёл), вследствие чего невозможно настроить подключение к сайтам за CDN, потому что они не имеют постоянных адресов
Гуглить "Диапазон IP-адресов Netflix, ChatGPT"
можно и через домены делать, через ipset-dns, но надо будет entware подключать
1.По ip можно определить автономную систему.
ip.guide - работает с курлом
2.Далее по автономной системе получаем все префиксы
3.Суммаризируем маршруты, что бы их меньше.
4.Добавляем маршруты на маршрутизатор.
Ну или взамен этого использовать получение префиксов по bgp от известных сервисов
Микрот получше могет, там правила через Mangle можно задавать по почти любым критериям)
Куда веселее проблема, что в винде, к примеру, нельзя направить траффик какого-нибудь приложения по маршруту, отличному от умолчального. Микротик тут и выручил как раз. Стояла задача затолкать траффик отдельно установленного браузера в туннель, чтобы не париться с тем, что сайт может использовать сторонний траффик для работы (ну типа всякие оплаты, вставки и т.п.), было всё это лень отлавливать. Дык поставил отдельный firefox, и в групповых политиках в разделе QoS указал правило для процессов с именем firefox.exe назначать DSCP метку на траффик. Далее в микротике в мангле создал правило, которое весь forward траффик из локалки наружу с этой меткой заталкивает в другую таблицу маршрутизации, где маршрут по умолчанию - адрес туннеля до забугорного VPS с RouterOS. Вполне удобная фича получается, браузер теперь безусловно работает через VPN.
Технически такое можно реализовать через связку dnsmasq и ipset/iptables
dnsmasq умеет добавлять в ipset ip сайтов, которые у него запрашивали. Причем выборочно, по указанию в конфиге. Еу а дальше куда уйдет этот трафик решает iptables
Я решал эту проблему через https://github.com/qzeleza/kvas
Статичные маршруты на роутерах в современном вебе тяжело фиксировать, CDN и динамический пул адресов этому очень мешают. Эта софтина решает это через проксирование DNS и перехват запросов, что позволяет строить правила маршрутизации динамически на основании списка доменов (с поддержкой регулярок)/IP/CIDR. Правда с блокировкой Cloudflare всё это стало намного более бессмысленным, отвалилась существенная часть интернета. И как будто пора делать наоборот.
Я решал эту проблему через https://github.com/qzeleza/kvas
«Прочитал, что среди российских школьников стало модным слово «КВАС». Обозначает ЛГБТ. Никакой цензуре шифровки хитрой молодёжи не победить. Да и пропаганду кваса и квасной патриотизм не запретишь». )
Внезапно - например любой из способов настройки Xray в режимах "все КРОМЕ заблокированных с какой то стороны - директом"/"все кроме кроме России - в туннель". Для Keenetic'а того же - читаем например https://habr.com/ru/articles/760052/ (но только возможно лучше брать форк с https://github.com/jameszeroX/XKeen )
Или любой VPN + настройка системы так чтобы принимались списки адресов умеет принимать + какой то источник этих списков вроде antifilter.
Есть способ сделать такое на OpenWRT через пакет vpn-policy-routing. Если нужен GUI, то еще luci-app-vpn-policy-routing.
Конечно есть, у меня так настроено. Все забаненные сайты идут через впн + мой список доменов которые тоже идут через впн. Все остальные идут через обычную сеть. В интернете куча инструкций, гуглить по openwrt + ruantiblock
для OpenWRT есть vraya, если хотите с интерфейсом, или вручную конфиги можно править для xtls
Есть несколько статей от @itdog где описывалась точечная маршрутизация. Если я правильно понял, то это то, что надо.
Openwrt + podkop пробовали?
С одной стороны Вы все правильно пишете.
Спасибо Вам за статью и за разбор.
А с другой стороны, посмотрите на это так: вот, ютуб перестал работать. Массово (у многих). И тут попадается реклама устройства, которое этот ютуб возвращает.
Не обязательно на маркетплейсах можно купить подобное, а поиском через интернет.
И отчаявшийся человек купит - а что ему еще остается делать?
Я бы выделил тут как минимум 2 критерия:
1. Чему следовать: норма права или норме морали?
2. Какая ваша толерантность к безопасности: низкая (все должно секюрно) или высокая (ломай меня, если сможешь)
И уже исходя из ответов принимать то или иное решение.
В самом начале статьи я указываю, что если уж решили воспользоваться - пользуйтесь в закрытом контуре. Иначе сильно рискуете.
Самое минимальное, что нужно сделать человеку, купившему аналогичное преднастроенное оборудование:
1. сменить дефолный пароль
2. отключить удаленный доступ к роутеру
По поводу безопасности появилась пара вопросов:
Насколько велика опасность НЕ-отключения удалённого доступа к роутеру, если всё равно сидишь за провайдерским NATом на динамическом IP?
Насколько снизится эта опасность, если подключить это устройство не к линии от провайдера, а к другому роутеру, подключённому к линии провайдера?
Насколько высокая квалификация должна быть у злоумышленников, чтобы эксплуатировать те или иные бреши, имеющиеся в таких роутерах?
Подключившись к провайдеру, я попадаю в некоторый локальный сегмент, который "за NATом", однако насколько он велик? Насколько сложно совершить "побег из курятника" к соседям? И, кстати, почему на рынке до сих пор не появилось приложений, позволяющих создавать такие вот местные мини-сети и общаться с соседями без интернета, в своей отдельно взятой ячейке?
Есть ли в рассмотренных роутерах механизмы, позволяющие подключаться к ним фирме-производителю без ведома владельцев устройств? Если да, то как это работает? А можно ли самому поэксплуатировать такую возможность? Если честно, мне интересна возможность приобрести устройство, позволяющее мне самому удалённо подключиться извне к моей же домашней сети без покупки выделенного IP и настройки всяких протоколов, которые вскоре будут зарезаны провайдерами и о которых под страхом ошибки Фаренгейта запрещено говорить в интернете даже в образователных целях.
Все роутеры подключены к ВПН и вообще имеют модификации сторонним человеком, поэтому удалённый доступ к ним есть и автор статьи на это явно доказал. NAT провайдера и динамичность IP тут роли не играет. Чтобы воспользоваться уязвимостью в первых двух случаях достаточно купить роутер у того же продавца и выполнить сканирование сети VPN, после чего вломиться на чужой роутер с парой admin:admin (но автор этого не делал, это незаконно)
По 4 пункту: такие сети раньше были, но с развитием Интернета такую возможность прикрывают в целях безопасности. Любой уважающий себя провайдер включает изоляцию клиентов, чтобы нельзя было сделать с соседом нехороших вещей (см. https://habr.com/ru/articles/510292/)
По 5 пункту: насколько мне известно, некоторые производители (Keenetic, Xiaomi, Huawei?) предоставляют приложения, позволяющие частично получить доступ к настройкам роутера отовсюду, используя облако производителя, но это не доступ к локальной сети. Именно к локальной сети доступ надо через VPN настраивать хоть в каком-то виде. Также возможно вас устроят некоторые решения удалённого рабочего стола типа Anydesk, которые не дают доступа к локальной сети, но позволяют удалённо управлять ПК и обмениваться файлами
Знаете мне от ваших вопросов стало неуютно. Если преподаватель задает такие вопросы, что он может рассказать студентам? Ваши вопросы говорят о полном незнании даже основ сетей, но что бы адекватно и полно на них ответить надо эти самые основы рассказать. Даже при этом остается риск искажонного восприятия информации. Рекомендую подтянуть необходимые знания.
Если же отвечать кратко:
1 - без разнице(О чем написано в статье)
2 - без разнице(О чем написано в статье)
3 - как измерить квалификацию?
4 - Перечитайте статью
5 - Учите сети
Если преподаватель задает такие вопросы, что он может рассказать студентам?
У преподавателя может быть иная квалификация, тут нет проблемы, нет никого кто был бы компетентен во всём
del
80% переключились на ютуб и не страдают: смотрят тоже самое и без рекламы (не видел на телеке у тех кого видел телики)
Вот это вам спасибо.
А то на телеке проблема с ютуьом... А роутер от Хуавей, вроде как не может только на телеке использовать квн, а весь трафик мне не надо ..
Не очень понятно, вы имели в виду рутуб? Во-первых, до уровня "то же самое" им пока далеко, им даже историю просмотра не удаётся корректно сохранять. А во-вторых - рекламы там стало, как в телевизоре и отключение есть платное, уже 99 р/мес.
Спасибо за исследование. Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И задача пользователя - сменить пароль при первой установке. Только в том, что поставщик VPN не озаботился изоляцией трафика в своей подсети, и этим логином, если его не сменили, можно воспользоваться удалённо с одного из таких же? Возможно, тупо не подумали о такой угрозе, прочитают вашу статью и поправят. Вы ведь рассказали их (вполне работающей, как оказалось) техподдержке о результатах своих поисков и найденных уязвимостях перед публикацией?
Что касается запрета на сброс в заводские установки - причина, мне кажется, очевидна, пропадут настройки VPN, а это лишняя работа поддержки. Существование бэкдоров, очищаемых именно таким образом, пока оно не доказано явно, остаётся на мой взгляд скорее абстрактной теоретической возможностью.
Некрупный размер фирм, занимающихся этим бизнесом , так же, как мне кажется, имеет более прозаические причины - за крупными очень быстро придёт Роскомнадзор, притянет услуги связи без лицензии или ещё что-то подобное, и кто и зачем будет таким рисковать? Понятно, что "вечный VPN" без абонентской платы - миф, и это всё перестанет работать через какое-то время само по себе, когда у продавца закончатся деньги на хостинг, или даже быстрее при обострении у РКН. Но это всё угрозы иного рода, достаточно понятные и без ИБ.
Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И задача пользователя - сменить пароль при первой установке.
Устройство должно принудительно заставлять пользователя менять пароль на нормальный при первом логине. Иначе 8 из 10 останутся с паролем по умолчанию и со временем попадут во вредоносный ботнет.
Всё так, но вопрос о принудительной смене дефолтного пароля следует задавать производителю устройства, а не тому, кто просто добавляет в существующее устройство со штатной прошивкой (ну, или openwrt, но тоже без модификаций) коннект к своему VPN и продаёт устройство комплектом. Достаточно очевидно, что диалог первоначальной смены пароля, если он есть, вынужден пропустить настраивающий VPN без вариантов. А вот написать прошивку так, чтобы устройство требовало смены пароля, если он дефолтный (хэш как у дефолтного), всегда - может только его производитель. Если бы в такую модификацию могли продавцы VPN - я бы, пожалуй, действительно озаботился поиском бэкдоров, уровень сложности соответствует.
Всё так, но вопрос о принудительной смене дефолтного пароля следует задавать производителю устройства, а не тому, кто просто добавляет в существующее устройство со штатной прошивкой
Нормативные документы ставят вопрос перед тем, кто продаёт устройство людям. Из чего продавец сделал своё устройство, не волнует ни органы, ни потребителей, никого другого.
Но ведь в обсуждаемой статье нет ничего ни про нормативные документы и соответствие им, ни, не к ночи будь помянуты, про органы.
Скажу больше - если бы не органы в общем смысле, ни такие роутеры с , VPN, ни установка приложений из недоверенных источников, ни установка сертификатов государственного УЦ, ни отключение ECH, ни другие сомнительные с точки зрения ИБ меры вообще не требовались бы.
Как обходной вариант, можно попробовать продавать технику как б/у, например.
Как некий пример зачем такое может более менее легитимно потребоваться :)
Один из моих роутеров куплен на авито. Причем продавец честно написал что б/у (выглядит вполне новым) и что может продать такой же новый но пленку он вскроет (для снятия блокировок с модема - модем который в этом роутере штатно - не работает с симками ру-операторов, мне собственно и нужен был мобильный роутер с openwrt). У меня правда этот роутер почти сразу пошел под перезаливку прошивки на официальную openwrt (сток там чуть модифицированный и устаревший openwrt).
Причем для меня в этом мобильном роутере важно не только возможность VLESS использовать а и нормальный адблокер и прочее.
Но ведь в обсуждаемой статье нет ничего ни про нормативные документы и соответствие им, ни, не к ночи будь помянуты, про органы
И что? Есть это в статье или нет, но вопросы всегда к тому, кто продал устройство. Повторюсь, потребитель не обязан выяснять из чего сделано устройство, которое он купил.
Как можно попасть в ботнет, если внешнее подключение к роутеру по умолчанию отключено, а доступ к настройкам роутера есть только из локальной сети?
Разве того, кто смог пролезть в локальную сеть, остановит пароль на роутере?
Насколько понял из статьи, сначала надо купить такой же роутер с предустановленным VPN, потом просканировать транзитную сеть VPN, найти там роутеры, владельцы которых не сменили дефолтный пароль, зайти на них, скачать/ установить бэкдор для управления, использовать роутер в ботнете. Основное препятствие тут в покупке роутера или, как вариант, поиске утечки ключей к VPN от такого роутера, и автоматизируется это достаточно плохо, если не сказать никак. Что на сегодняшний момент на мой взгляд делает угрозу скорее вопросом поиска заинтересованного хакера, прочитавшего статью, чем массовой проблемой.
В средней локальной сети есть изрядно устройств с неизвестным уровнем безопасности: телевизор, робот-пылесос, умная (прости господи) лампочка. Лет 10 назад действовал такой ботнет, как Мираи. Он из таких устройств и состоял. Обычный домашний маршрутизатор не предполагает независимых сетей для отдельных устройств. Так что надеяться на недоступность локальной сети, я бы не стал.
Внезапно :) как минимум указанный в статье Keenetic умеет в такое (и устроить таким клиентам изоляцию - тоже). И сделано относительно юзер-френдли образом. Другое дело что автоматически не включается.
Из совсем домашнего железа мне вот автоматическая IoT-сеть с изоляцией встречалось разве что у меш-системы TP-Link Deco (но deco - это блин первый увиденный мной домашний продукт такого типа кто пытается продать и подписку тоже а не только железо)
Ваш собеседник написал про устройства у которых есть несменённый дефолтный пароль. То есть, не важно что там по умолчанию отключено - можно подключиться и включить.
Беда статьи и автора в том, что, с одной стороны, он делает для вида и большей убедительности дамп памяти, извлекает оттуда пароль и делает вывод, что нечестный производитель мог встроить в прошивку бекдор. А с другой, роутер нельзя сбрасывать, ведь з бекдорами что-то может случиться, и пароль слабенький, и вообще всё небезопасно. В конечном итоге, статья выглядит не то плохой вычиткой статьи, не то проплаченным запугиванием (все помнят недавние видео от блогеров об угрозе VPN?).
Ведь в конечном итоге получатеся, что продавец добавил ровно одну уязвимость - несегментированную сеть с доступом для других, всё остальное было до него.
Кстати, косвенно на ангажированность (либо незнание) автора намекает скриншот с нешифрованными паролями в /run (т.е. оперативной памяти) и вообще игнорирование факта, что пароли WiFi хранятся в нешифрованном виде практически везде. Туда же активный SSH на Xiaomi, доступ к которому только из локальной сети.
Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И
В том что у кинетика это НЕ штатная настройка? При штатной настройке вас там попросят задать пароль.
Ответил чуть выше. К сожалению, запуск мастера штатной начальной настройки / сброса явно не совместим с преднастройкой VPN на роутере. Можно делать индивидуальные случайные пароли каждому, печатать их и выдавать с роутером, но это явно увеличит количество запросов в техподдержку, в том числе вида "не смог войти - сбросил роутер - ничего не работает", кто у нас читает инструкции. При этом весь этот бизнес с VPN роутера и и так не выглядит супер рентабельным, люди не будут готовы платить дороже.
Понятно, что "вечный VPN" без абонентской платы - миф, и это всё перестанет работать через какое-то время само по себе
Ну почему же. Есть же пожизненные тарифы с разовой оплатой
Только в том, что поставщик VPN не озаботился изоляцией трафика в своей подсети, и этим логином, если его не сменили, можно воспользоваться удалённо с одного из таких же? Возможно, тупо не подумали о такой угрозе, прочитают вашу статью и поправят.
В смысле не озаботился? То есть настройщик настолько некомпетентен, что не понимает принципиальное отличие прокси от VPN? Для обхода блокировок - прокси, VPN же в первую очередь и нужен, что бы объединить устройства в одну сеть, это даже в названии заложено. К тому же используются OpenVPN и Wireguard, которые конечно всплывают при попытке гуглить selfhosted vpn, но это худший способ обходить РКН, vmess/vless специально создан для маскировки, а с 3x-ui задача поднятия сервера становится крайне простой.
Итого - вместо нормального соединения 2 из 3х продавцов просто сделали по первой инструкции из интернета, один даже умудрился базу данных просрать. Я понимаю такой уровень для личного пользования, сам ронял, но что бы это продавать...
Всё так. Но это рынок - есть спрос, есть и предложение. Кто первый вышел с не идеальным, но работающим решением, тот и получил прибыль, пока остальные думали, стоит ли игра свеч и как сделать идеально. Если бы этот рынок был в-долгую, криворукие фирмы бы скорее всего отсеялись со временем - из-за таких статей, как обсуждаемая и репутационных потерь, из-за взломов и утечек, из-за массового воровства ключей к VPN (купил один роутер - настроил его ключом 10, 100, потом вообще выложил в интернет). Но, мне кажется, при хоть какой-то массовости и длительности работы эту лавочку государство прикроет, а значит нет смысла вкладываться в-долгую и нормальных решений мы, увы, не увидим.
Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры?
Если бы они при этом не открывали управление из сегмента vpn. Плюс открытая точка заражения при проникновении на хост в сегменте lan, о которой к тому же обычный пользователь и не задумывается.
Если используете прокси vless / v2ray, через туннель-режим то всегда все порты будут "открыты", сам замечал такую особенность. Чем это обусловлено - не знаю
Статья понравилась, хоть результат и был ожидаем. У меня оффтопик вопрос. Посоветуйте, пожалуйста, инструмент, которым получится подключиться к пинам на плате диаметрами 1-1.5мм. Типа тех, которые обычно располагают на платах с ESP8266, LN882H, BK7231T и другими похожими. Хотелось бы через UART их прошить в опенсорс типа OpenBeken или Tasmota, но физические возможности не позволяют припаяться к таким размерам. Вижу упоминание о PCBite probes, но у них много моделей и все довольно дорогие, что покупать сразу много разных для тестов. Какие из них стоит попробовать?
Спасибо за обратную связь и положительный отзыв.
ПСбайты брал самые обычные в комплекте - https://sensepeek.com/pcbite-20
Также могу посоветовать "иголки" для мультиметра, которые тоже достаточно тонкие - Алик, только необходимо озаботиться о "третьей руке".
инструмент, которым получится подключиться к пинам на плате диаметрами 1-1.5мм
Вот такие неплохо цепляются и держатся сами. Много разных shelly розеток перепрошил ими.
Помню, я году в 14м в Саудовской Аравии покупал ноут. Продавец в магазине спросил - вы какой ВПН брать будете? - показав пачку карточек по типу интернетных из 90х. Вариант "не буду" он даже не рассматривал. Там уже тогда нахреначили биг файрвол, Скайп и торренты не работали нихрена.
Там до сих пор такие ограничения. Тексты работают с видеосообщениями, а голосовые звонки - нет (кроме тимса и гугл-мита). Поэтому да, там это было необходимостью.
К слову сказать, там есть свои 2 мессенджера: ботим и второй (не помню название), где функционал звонков работает.
Дык, вход рубль, выход два. Судя по всему - рано или поздно все там будем, свободный интернет иссякнет и исчезнет как класс.
входящие работают а исходящие на публичных вайфай рубятся но в альхарам-ареа нет ограничения тк люди по делу коммуницируют - они вынуждены защищаться тк на разбыдление их женщин в сша работают институты
помню, в районе 2005 года наткнулся где-то в интернете на заглушку "This site is prohibited by the laws of Qatar", срхранил скриншот, но он где-то в глубинах архивов болтается - видимо, ходил куда-то через катарский прокси ))
https://habr.com/ru/articles/590141/ - по-айпи банили сразу как появился этот самый айпи, просто массовые пользователи этого долго не замечали :)
Катар, Саудия, Эмираты, Бахрейн, Кувейт, Оман. Страны GCC - Gulf Cooperation Council - аналог ЕС на минималках. Они примерно по одному и тому же шариату интернет режут.
Тут-то я и обратил внимание на маленькую деталь: опция с разрешением доступа из интернета была включена по умолчанию. Получается, у продавца этих устройств есть круглосуточный доступ к ним, по крайней мере, если вы не догадаетесь снять эту галочку.
Эта галочка - немного про другое, она (по сути) про проброс портов напрямую + через облаку Keenetic/Netcraze если напрямую не вышло. Штатная и документированная фича KeenDNS. Да, нужно ли это использовать пользователь в норме сам решает.
Удаленный доступ для техподдержки у Keenetic'ов можно выдать - https://help.keenetic.com/hc/ru/articles/115005732589-Как-предоставить-удаленный-доступ-к-интернет-центру-Keenetic-для-службы-техподдержки (а если использовать штуки типа RMM пользователь сам его выдаст для работы) но..его нужно выдавать в явном виде а admin/admin тут - это явная диверсия.
Кстати судя по скрину - наценка на этот Keenetic всего то чуть больше 100%. Ну и да - и Xray (через Xkeen) на Keenetic ставится без проблем но конечно надо хотя бы уметь вводить в терминале команды написанные в инструкции (понимать - не обязательно но хоть вводить). Но да - нужен сервер хоть какой то и лучше не за 2.5 доллара в месяц.
По мне - намеренной диверсии тут нет, просто кто-то хочет немного заработать на роутерах с VPN и совершенно не думает про безопасность.
Да, скорее всего тактика "быстрое снятие сливок".
НО! если сами продавцы не имеют злых намерений, это не означает, что покупатель (зная как этот зоопарк устроен) не будет этим злоупотреблять.
По мне (пока нет хоть каких то оснований подозревать злонамеренность (а не глупость(хотя еще - как с у умом то сделать? как сам кинетик печатать индивидуальный(или общий для модели - у меня нет двух одинаковых кинетиков) пароль?) продавца вот этого - уж лучше так пусть проблема решается.
По мне - любому адекватному пользователю кто понимает ЧЕМ плохо пароль admin/admin на смотрящем в интернет устройстве - и так очевидно что проще найти гайд и прочитать и настроить но если человек не понимает - вот как ему быть? Мастера на авито по настройке VPN искать? так дорого ж :). Хотя конечно лучше чтобы продавцы вот этого - закрыли хотя бы такие зияющие дыры. Кстати интересно - а автообновление прошивки на кинетике из статьи включено? (по умолчанию насколько помню оно включено).
Знакомых искать? Я вот например такое кому то настраивать врядли буду чисто потому не хочу потом еще и техподдержкой бесплатной работать.
Другой вопрос - а куда борцы за все хорошее против всего плохого смотрят? Реклама VPN, за деньги, на российском маркетплейсе, с российским ИП...
надо хотя бы уметь вводить в терминале команды написанные в инструкции
С амнезиней даже ничего вводить не нужно, она сама по ssh подключается :)
Но да - нужен сервер хоть какой то и лучше не за 2.5 доллара в месяц.
Лучше за бакс или меньше, у меня промо за 60 центов больше года работает.
По мне - намеренной диверсии тут нет, просто кто-то хочет немного заработать на роутерах с VPN и совершенно не думает про безопасность.
И это главная проблема современной айтишечки - нашу безопасность рушат не могучие целеустремлённые злодеи, а не_думающие рукожопы желающие срубить копеечку.
Проверь deeper conect, что за коробочка
Отличное исследование! Честно говоря, очень позабавили сети из роутеров с открытыми админками :D
Кстати, вроде же WG и OpenVPN давно режутся - получается, что и тут людей налюбили.
Странно что они просто не продают openwrt с запретом, можно на квн сэкономить и с ним явно будут проблемы, когда все эти 30 человек пойдут ютуб смотреть.
Потому что софтины типа byedpi надо настраивать под конкретного провайдера, а это уже противоречит парадигме "просто включи и заработает"
Сложно что ли перебирать стратегии скриптом и загружать новые с гитхаба? OVPN и WG тоже много где блочат. В byebyedpi как раз есть скрипт перебирающий стратегии.
Скрипт byebyedpi больше не работает, благодаря обновлению тспу. Фильтр определяет наличие bb и отправляет первый 1 кбайт страницы, а после обрывает соединение. Скрипт переборщик не учитывает этот нюанс и определяет все комбинации как работающие.
А для WG есть клиент, который фейковые пакеты отсылает.
zapret надо индивидуально под провайдера настраивать, а там настройка совсем не из легких. Если бы можно было поставить zapret на устройство, потом передать/продать устройство пользователю, тот подключит его у себя и нажмет кнопку в интерфейсе - и конфиг сам автоматически подберется так, чтобы можно было ютуб смотреть.
Но пока это из области фантастики.
А так zapret замечательнейшая штука, сама его использую на openwrt.
Ну вы бы еще купленную на Вайлдберриз флешку исследовали, которая на 1024 гигабайт и за 400 рублей. А вдруг настоящая? Все-таки четыре звезды в отзывах.
Но ведь такие роутеры есть и не только на маркетплейсах.
О поддельных флешках и дисках везде предупреждают.
Хорошо, что и роутеры такие разобрали с точки зрения безопасности.
Так что автору большое спасибо за статью.
О поддельных флешках и дисках везде предупреждают.
И тем не менее у одной только флешки по той ссылке 8000+ покупок. То ли люди предупреждений не читают, то ли надеются на чудо.
ну так по телеку медведеву как-то показывали безлимитную флэшку
Да легко, на серии чипов памяти 25120 Write Only Memory
есть еще более офигительные предложения, цены бывают и 28К, и всякие суперсекретности обещают
Если вам дают что-то бесплатное - товар это вы.
Тема с бесплатным впн очень стара. Ставят на разовом паршивом хосте впн-сервис, раздают нахаляву всем страждущим, лох подключается - потом сканят порты и ломают. Фактически, нам не надо сканить большие диапазоны публичных адресов в поисках дедов, нам не надо с трудом ломать и потом прятаться от обнаружения... ЦА обычно глупа, все наши вложения это пачка самых простых впсок, и скрипт для организации публичного доступа. Доступно для любого Васяна, желающего себе карманный ботнет.
Роутеры с впн - это уже дальнейшее развитие идеи. Причем те, кто их продают, про хакерство скорее всего и не слышали - они купили "прибыльный бизнес под ключ за $999 почти без вложений", доступ к админке впн им дали вместе с описанием того, что надо купить сотню роутеров по 1000 на али, настроить, и потом продать его на МП/Юлито за 3000. В итоге хакер и на инфоцыганстве заработал, и на создании ботнета...
Собственно, за то, что в сяоми залили нормальный openwrt (ну как нормальный, кастрированный по самое не балуй, ибо вендор сэкономил три копейки на флеше) - за это уже можно и заплатить. Не для хомяков задачка так-то. Сначала всё найди, откатись на древнюю прошивку с дыркой, потом её взломай, потом залей openwrt и не окирпичь. Так и представляю себе не то что домохозяйку, но пусть даже фронтендера или там питониста, который этим все выходные развлекается. (Да ладно, чо уж там, сам это проходил:)
То, что непонятная версия openwrt - ну оно да, но скачанная с широко известного в узких кругах форума тоже содержит непонятно что. Вряд ли эти ребята добавили что-то от себя кроме своих ключей и паролей, которые в принципе можно и сменить.
В любом случае, по сравнению со стоковой прошивкой сяоми, которая стучит и содержит бэкдоры, кажется, для всех китайских корпораций разом - это небо и земля. Это уже даже похоже на роутер.
На XIaomi похоже стоит прошивка, которую сделали на 4пда умельцы, так как официально AX3000T стал поддерживаться только в версии 24.10 где то с марта этого года. До этого момента или ставили snapshot версию openwrt или пропатченную с форумов. Прошивка от умельцев тащила с собой сразу кучу предустановленных пакетов...
P.S. жил на снепшоте почти полгода, пока не дождался официального релиза. Но ради интереса ставил на второй роутер сборку умельцев и выглядела она точь в точь, как на скринах)
Это какие-то эталонные вася-роутеры, если даже provisioning не реализовали и запрещают сбрасывать роутер кнопкой. О каком тестировании на безопасность может идти речь.
Не подключайте сомнительное сетевое оборудование напрямую к домашней сети.
А сейчас есть не сомнительное?
Странно ожидать от этого всего чего либо другое
Если тянет ютуб то для обычной домохозяйки смотреть смарттв почему бы и нет.
Те кто шарит поднимут свой VPS.
И волки целы и овцы сыты
Превосходный обзор, однако тэйк автора про безопасность для простых владельцев (простых - не имеющих за спиной каких-либо ценных цифровых ресурсов типа крипты и т.п) не имеет какого-либо значения, если пользователь как и раньше хочет пользоваться свободным интернетом, а не тем огрызком, который ему навязывают.
Поясняю: Безопасность - философский вопрос: то ты купишь данный роутер для свободного интернета и к нему будут иметь доступ всякие левые типы через дыры в коде, по аналогии как и будут иметь доступ к вашим данным группа РКН под предводительством "товарища майора" - вы всё-равно будет вне приватности.
Ну и напомню, что ваши данные уже скорее всего давно слиты в открытый доступ, так-как с определённой периодичностью их теряют по тем или иным причинам официальные хранители данных типа маркетплэйсов Яндекс, фастфудов и т.п.
Просто напомню: 8 мая 2022 г. — Теперь слитые базы данных ГИБДД, СДЭК, Wildberries, Avito, «Билайна» и «Яндекса» объединили в одну.
Это получается, что с переплатой получаем Xiaomi AX3000T с возможностью перепрошивки на OpenWRT со сбросом настроек без пердолинга со взломом через web? Если ничего не намутили с u-boot, то можно сэкономить немного времени. 😁
Еще интересно, что за скин такой с панельками там? Я в luci такого не находил.
Так. это называется luci-mod-dashboard
Чел, простая домохозяйка или Васян с завода не знает, что такое OpenWRT. Они дай Бог просто умеют ноут включить или вовсе с телефона заходят. Для таких людей эти роутеры с "вечным VPNом" вообще имба. Именно на это и расчёт продавцов, на техническую неграмотность.
Использовать роутер перепрошитый хоть и опенврт от ноунейм продавца такое себе. если они установили туда х2рай, где гарантия, что они не поставили туда какой-нибудь реверс шел на свой С2?
Честно говоря, странно было ожидать от роутеров с впном слепленных на коленке, какой-то супер-защиты. Тут решение под ключ для технически неграмотных пользователей, которым надо "включил - и все работает". Они знать не знают про эти ваши OpenWRT, перепрошивки и прочие технические штуки. Есть спрос на корявые решения - будет и предложение.
Я, конечно, не настоящий сварщик, но если отбросить конспирологию, что эти озон-продавцы хотят взломать меня и остановиться на "пацаны закрывают спрос и подешевле", то останется поменять админский пароль? Перепрошить роутер самостоятельно - идея, конечно, интересная, но абсолютно не массовая, а те, кто это умеют, хотят и понимают зачем - мне кажется, и сами догадаются это сделать. Всё-таки если идти до логического конца, то прошивка, скорее всего, так и останется с форума, и "в неё могли встроить бекдоры". А могли и не встроить, что мы, времена zvercd чтоли забыли.
Но за статью всё равно спасибо.
озон-продавцы хотят взломать меня
Озон-продавцы - вряд ли.
Но у них есть поддержка, берущая трубку и по методичке подключающаяся к вашему роутеру, чтобы сменить настройки.
В эту поддержку нанимают людей. Там есть какая-то текучка.
Строчку "ага, вот тут у нас есть 5 тысяч роутеров, к которым мы имеем полный доступ, например, можем залить туда произвольные настройки и произвольное ПО, вот полная и детальная инструкция по шагам, как это сделать" будут видеть какие-то новые глаза, желающие заработать, каждую неделю.
Но даже относительно этих челиков предполагать, что среди них найдётся желающий взломать вас или устроить ботнет - довольно конспирологично. Вряд ли кто-то из них это будет делать.
Просто кто-то из сотрудников рано или поздно анонимно продаст это в даркнете.
А вот покупатель, увы, без коспирологии найдёт как применить.
Прошивка с бэкдорами - это на самом деле хорошо. Это плюс одна возможная линия защиты, в моменте когда боевики РКН вышибут дверь и потянут всю семью "пилить тайгу лобзиками". Я не знаю что там эти продавцы добавили и когда, я купил и поставил, я только потом узнал что они могут через нее к нам залезать и на компьютеры что-то ставить. Не очень сильная линяя, но всё-таки на одну больше
Предположу что доступ извне оставили чтобы поменять настройки впн когда конкретный впн сервер/протокол заблокируют
Спасибо за исследование. Буду знать о такой ИБ-опасности.
что любой желающий может устроить брутфорс и попытаться подобрать пароль сервера ssh методом перебора по словарю.
Что ты там собрался подбирать ? Если админ не дурак, то пароль минимум 20 символов несловарных и бан после 3х неудачных попыток через fail2ban
кастомная прошивка неизвестного
То есть когда я ставлю OpenWrt с github, я типа защищён ? Хаха. Это ведь такая же кастомная прошивка неизвестного происхождения, я не изучал каждую строчку кода на возможный бэкдор.
Серверы арендуют у дешевых хостеров
Что за бред, какая разница, у кого арендуют ? У московского ИП, дубайского ООО или немецкого ДЦ ? Что ты вообще докапался до того, кому принадлежит ip, не пофигу ли ? Выделенный гигабит всё равно никто не обещал. Конечно там будет медленно и тесно.
По факты вывод из статьи - VLESS безопасней, так как не объединяет в виртуальную сеть подключенных клиентов, и больше вероятность, что его не заблокируют.
Автор статьи, всё чем вы занимаетесь называется несанкционированным доступом. Совершенно не важно есть ли на действующих роутерах пароль или нет и простой ли он или сложный. Имейте ввиду. Майору до ваших "исследований" как до лампочки. И не может, а приводит к нарушению действующего законодательства - как только вы начинаете своё "исследование". То что заявления редко пишут это уже другой вопрос. Но люди сидят, от мал до велика и далеко даже не злодеи. Закон потому что. Если кажется, что я предвзят, то попробуйте зайти в дом, где дверь по забывчивости или нарушению эксплуатации или особенности открыта, или сесть в чужую машину, или встать за прилавок на кассе. Вы удивитесь, что окружающие будут мягко говоря к вам не расположены. Закон это не предубеждение и не таблица тарифов на противоправные действия. Закон это договор между человеком и обществом. Писать надо грамотно, указанием тем более на грамотность или не писать вообще - ибо ресурс информационный, а не "даркнет".
Есть роутер, купленный законно. Есть к нему доступ. Всё законно. А недочёты архитектуры (в данном случае настройки устройства) не являются показателем законности/незаконности действий. Если вам бы поставили гипотетический электросчётчик, считающий в отрицательную сторону (в прибыль для вас), это тоже было бы вашей виной? Вот если вы поковыряеьесь в нём и активируете это, тогда да. В данном же случае автор статьи привёл интересное исследование уже незаконно изменённых до небезопасного состояния роутеров, которых без донастройки опасно юзать. И всё.
незаконно изменённых до небезопасного состояния роутеров
А какой именно закон был нарушен? Использование VPN и его настройка на данный момент не криминализованы. Вероятно, для предоставления услуг VPN потребуется лицензия, но как тут в ситуации с VPN роутерами не уверен, похоже серая зона. Только реклама и популяризация VPN как средства обхода блокировок запрещены. К сожалению, могут криминализовать и использование с настройкой - но пока это не так.
Закон это договор между человеком и обществом.
Если это так - то где на договоре моя подпись? Не надо выдавать желаемое за действительное, закон - не договор, и общество тут точно не одна из его сторон.
Автор, посмотри 4 скрин из раздела про Keneetik. Кажется, там ip с 5 скрина остался.
А можете снять обзор про vpn донглы, которые ставятся после роутера, и типо такие же обещания, но всегда по разному, мне вот интересно как они себя в таком же случае ведут
@HydrAttack, на Вашу статью обратил внимание депутат Горелкин:
https://t.me/webstrangler/4266
Теперь так и знай, стоит ждать от них (депутатов) очередного запрета.
Побольше бы таких полезных статей.
Мне кажется, в таких вот "вечных" решениях самое главное - следовать за деньгами. Лично мне буквально первая же мысль, которая приходит в голову - "а кто за эту вечность будет платить?"
Заказать с доставкой роутер, прошить ОпенВрт, настроить на нём ВГ подключение к заранее подготовленной ВПСке, найти клиента, отправить ему оборудование - это всё запросто займёт половину работчего дня. Сама часть настройки - простая, но вот вся беготня вокруг точно сожрёт время. Эти прошитые роутеры, по сравнению с просто подержанными роутерами которые продаются на авито, практически не имеют никакой наценки. Мне сложно поверить в то, что те кто их делает готовы тратить по полдня ради наценки в 1000 рублей, плюс ещё и оплачивать потом аренду сервера.
Если представить себя на месте злоумышленника, то за такую благотворительность они явно захотят вернуть деньги, и самое очевидное и напрашивающееся, это, конечно же, резидентные прокси, а по простому - отмывание трафика. Т.е. злоумышленники продают десятки и сотни подобных роутеров, на них настроен ВПН с возможностью подключения от ВПС к домашнему роутеру счастливого покупателя, поднимают на этом самом роутер пускай тот же Ваергард, но уже сервер (можно даже не светить его в вебморде в люсе), на стороне ВПС настраивается проброс портов, а дальше продаётся доступ к нему уже настоящим клиентам, а не лицам обманутым хулиганами, которым почти бесплатно подарили "роутер для ютуба".
Выход в сеть с подобных адресов - это очень ценная и очень недешёвая услуга, т.к. эти адреса - "чистые", принадлежат блокам провайдеров, т.е. предполагается что за ними сидит настоящий человек, не робот, не программа, соответсвенно, они очень очень нужны разным людям, которым необходимо скрыть свой настоящий адрес, но при этом не спалиться антифрод системам на выходе из прокси, ВПНа или ТОРа. Такое нужно как разным темщикам, авторегам, мультаккаунтерам, так и мошенникам, и хакерам, особенно тем, кто атакует российские сервисы, и т.д. Сами понимаете, что в случае последнего полицаи с бутылкой придут именно за счастливым владельцем роутера для ютубчика, и, скорее всего, именно на него скинут всю уголовную ответсвенность за противоправный движ, который прошёл через его адрес.
Поинтересуйтесь, сколько стоят резидентные прокси. Даже в России, самая минимальная их цена будет выше, чем цена за ВПН для того чтобы смотреть ютубчик. На них также обычно тарифицируется трафик, и продаётся по одному или несколько гигабайт, так что только один клиент может приносить тысячи рублей в месяц за один такой прокси. А если брать максимально чистые провайдерские резидентные адреса, да ещё и в самых чистых странах, да ещё и мобильные, то цены запросто могут быть по несколько десятков долларов за один-два гигабайта трафика.
Даже если мы посмотрим на совсем мелочи. Вот конфиг ваергарда например. Там явно было искусственно сделана возможность проброса доступа к продаваемому роутеру, ведь заизолировать клиентов - не сложно, более того, они даже по умолчанию изолированы друг от друга. Т.е. кто-то явно прописал адрес для пира на роутере с маской, условно, /24, хотя по умолчанию идёт именно /32 и никакие другие клиенты этой сети маршрутизироваться не будут, кто-то явно прописал правила в iptables, которые дают одним клиентам сети иметь возможность форвардинга к другим, т.к. в самом тупом конфиге по умолчанию (всё на выход) этого не подразумевает. Через VLESS, кстати, при желании обратный прокси тоже реализуется.
Допускаю, что во мне говорит моя профдеформация безопасника, и люди кто делают эти роутеры на самом деле занимаются благотворительностью, или просто создают доступную по цене услугу под ключ для сограждан, которые не обладают достаточной технической грамотностью в вопросе сетей. Но, говорят, когда что-то ходит как утка, плавает как утка, крякает как утка и летает как утка, то это скорее всего утка.
Домашний роутер - устройство очень интимное. От него зависит очень многое в личной безопасности, и такое устройство необходимо контролировать самостоятельно. Доверять каким-то мутным людям со, скорее всего, недобрыми намерениями, вроде продавцов с авито или интернет провайдеров иметь контроль над ним - очень плохая идея
Автор обращает внимание на риски доступа со стороны тех поддержки, а он не задумывался насчёт банковских приложений?) есть ли доступ к его деньгам у неведомых ему людей)
Пожизненный VPN. Угар.
Исследую роутеры с «вечным VPN» с российских маркетплейсов: admin:admin, открытые порты и доступ к соседям