Комментарии 159
и ждёт его дорога дальняя и казённый дом…
Однако этот подход работает только потому, что «торчков» немного. Относительно. А вот если бы их были сотни тысяч… или миллионы… то вообще неясно как с этим легально бороться при существующем состоянии дел…
Недавно, например, чисто случайно обнаружил, что у относительно крупного PaaS провайдера, открыт наружу MySQL сервер, просто в настройках не задан жестко localhost. «Закрытый» роутер уберёг бы. Это я к тому, что зачастую так «открыты» и все остальные ресурсы, вроде админ-панели того же маршрутизатора…
Это защита от ботнета. Всем «кукарекам» только молчать в тряпочку можно.
А садить тут только владельцев роутера или тупого провайдера.
Так же и тут, можно скинуть адреса взломанных роутеров на абузу провайдеру, а он пусть разбирается, не хочет/не может/не сделал — на абузу его аплинкам. У меня такие вещи были прописаны в провайдерском договоре, что он может заблокировать меня до выяснения причин, если посчитает абузу обоснованной.
Тема достаточно спорная, но по закону LMonoceros неправ.
Однако dura lex, sed lex: с точки зрения закона это по-прежнему уголовное преступление.
Ведь никто не докажет, что такие патчи происходили. Админы как спали, так и спят до сих пор (если вообще какие-то админы у тех серверов были).
> Некоторые сказали «спасибо», но большинство были возмущены.
Ну и вам, кстати, тот же совет. «Однажды мне приснилось, что я патчил старые версии Windows» :)
Как в демуровской Алисе: «И пусть тебе приснится сон про то, как ты спишь, и во сне тебе снится, что ты заснула».
и ждёт его дорога дальняя и казённый дом…
Лучше бы он ботнет ставил, как все нормальные люди.
Никаких незаконных действий. Пакеты с данными он не перехватывал, чужие данные не расшифровывал.
Установка патча распространяемого производителем Микротик — законов тоже не нарушает.
Чтобы привязять к этим действиям какуюто статью, надо постараться доказать почему какая либо статья имеет отношение к этому случаю.
Один из основных факторов для осуждения — умысел. Судят конечно же за злой умысел.
Так как злого умысла нет, кроме того, на «взломанных» устройствах в результате его действий повышена безопасность, к тому же полностью отсутствует ущерб — человек не виновен.
К сожалению они-же, используя уязвимости, позволяют получить доступ к роутеру.
Из причин их непопуляризации называть их тут не буду. Кто ищет тот сам найдет.
Комьюнити эдишн для некомерческого использования бесплатен
Grey hat в РФ уголовное преследование почти не грозит.
Но не стоит забывать поговорку:
«Был бы человек, а статья найдётся».
Американскому правосудию по-барабану, что тобой двигало — правонарушение есть, а значит 100% будут последствия.
Простите, но вы — это кто? Горе-админы, выставляющие глючный управляющий интерфейс маршрутизатора голой попой в публичную сеть? При этом страдающие потерей памяти в результате не в состоянии поддерживать прошивку up to date? Вот честно — лучше бы вы не существовали. И проблем было бы куда меньше.
Если чей-то роутер начинает досить соседей, то это уже далеко не личная проблема хозяина того роутера, так как он своим пофигизмом нарушает работу других.
А терпеть их дос не хочется. Это нарушает мою работу и тоже попадает под какую-нибудь статью.
А по поводу статьи, например, есть такая: en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
И преступление я не оправдываю. Скорее, наоборот — защищаюсь от такового.
Если на прогулке на меня с девушкой напал какой-то нарк на улице, то у меня нет времени писать заметку в газету или полицию и упрашивать кого-то среагировать на ситуацию. Я считаю, что могу дать ему отпор даже если у меня нет права на нарушение закона в виде «удара по морде».
И уж тем более как простой пользователь я не буду каждый месяц лазить в роутер и обновлять его.
Да, лучше бы меня не существовало в такой ипостасти. Я бы и сам был бы рад.
Но альтернатив мне нету. Разве что нанимать за много денег профессионального админа, чтобы он каждый месяц за кучу бабла следил за моей локалкой.
Но это фантастика.
Выйдет 3 неравнодушных человека (если не меньше, айтишники довольно пугливые), что дальше?
А если не на одно устройство, а на целую сеть таких устройств…
В такие моменты доброжелателей хочется послать
Лучше стать частью ботнета и потерять доступ вместе с работой сети?
Тут холиварная тема, нет однозначного ответа.
1. Взламывается админ.
2. Роутер обновляется до последней допустимой (важное уточнение, потому что некоторые обновления радикально меняют логику работы с устройством) версии прошивки;
3. Создаётся ещё одна учётная запись администратора с паролем в комментариях;
4. Взломанной учётной записи понижаются права до read-only;
5. Уходим не меняя пароля забывая о роутере.
На выходе получаем роутер с закрытой уязвимостью и административным пользователем, который видим только текущим администраторам. И это гипотетический сценарий — один из многих.
Дадите гарантию, что роутер перезагрузится корректно с новой прошивкой, и что конфиг с ней корректно взлетит? Думаю даже тот, кто этот конфиг делал не поручится.
Возможно и так. Но реалистично, что провайдеру будет пофиг. А цель была убрать уязвимость быстрее, чем устройства взломают.
Я ж говорю — аргументов по обе стороны масса.
Но реалистично, что провайдеру будет пофиг
Знайте, где-то есть небольшой местечковый провайдер с админом в лице меня, который на эти абьюзы реагирует :)
Но много жалоб слышал типа «а вот %PROVIDERNAME% ничего не блокирует ни за какие вирусы!»
удалённо перешивать роутер? не всегда это возможно, не всегда заканчивается успехом, не всегда конфигурация не слетает или остаётся валидной для новой прошивки.
обращаться к админу? а как?
хм, оставлять доступ только себе, блокировать доступ снаружи и сообщение админу — позвоните нам перед апдейтом мы вернем доступ? опять — как сообщить?
обращаться к провайдеру? наверное лучший способ, но провайдеру-то абсолютно по барабану проблемы индейцев…
в общем, не очень ясно… вот ботнет сделать — это да, просто и брутально.
Также и эти роутеры — позволяющие создавать через их уязвимости ботнеты.
Люди, которые не следят за своими данными и безопасностью, должны страдать.
Ну а кто должен беспокоиться об этом?
что в лицензионном соглашении есть пункт по которому «производитель не несет ответственности»Естественно, такой пункт должен быть незаконным, а при его наличии не имеет юридической силы.
На основании каких статей и пунктов в них вы делаете данные утверждения?Это не как сейчас, а как должно быть.
А то майкрософт давно бы разорилась в России…Ну я говорил не только про Россию. Microsoft бы разорилась — пришёл бы тот, кто лучше следит за безопасностью. Но а вообще я сказал, что штрафы должны быть лимитированы. +Microsoft исправляет уязвимости. +Нужно смотреть масштабы продукта (и реакцию производителя).
Ну и вообще я больше подразумевал аппаратные продукты, а не программные. В случае с системой я могу без проблем поставить другую, если она дырявая или больше не обновляется. А вот как поставить другую систему на роутере? На мобильном телефоне? На клавиатуре? В большинстве случаев придётся отправлять их на помойку. А почему я должен терять свои деньги?
Не, понятно, что долгая поддержка требует затрат. Но вообще, во-первых, большинство устройств не должны содержать такие критические уязвимости, а во-вторых, если пользователей ещё много, значит исправление 100% нужно, а если мало, то можно просто выплатить им компенсацию или обменять на новые устройства — раз таких людей мало, компания не понесёт значительные убытки.
В общем решение не очень сложное, но тем не менее получаем, что большинство производителей ничего не обновляют и даже строят архитектуры так, что обновление затруднено.
Это не как сейчас, а как должно быть.Так не должно быть, поскольку большинство проектов закроется так и не поднявшись. Вы же не просите наказывать автопроизводителей, чьи автомобиле дешевле и ломаются чаще.
Все решит рынок. Уже сейчас, можно спокойно найти информацию о качестве поддержки производителя, если покупатель не ищет ее, это его проблема.
Вы считаете, что покупатель должен быть экспертом во всех областях. Решил купить одну вещь — должен быть экспертом по ней. Вторую — снова экспертом. Третью — снова экспертом.
Нет. Должна быть гарантия минимального качества. Пользователь когда приходит в магазин купить печенье, не ожидает, что он от него отравится, потому что не является экспертом в химии. А тем более, если отравление будет незаметным.
Вы же говорите «ну он сам виноват». Вот понравилось бы Вам, если бы Вас отравили?
Пользователь действительно может быть экспертом. Но быть им во всех областях нереально. В нескольких областях — вполне. Это не значит, что он сам дурак. Как минимум человеческие возможности не безграничны, чтобы знать всё. Поэтому должна быть гарантия минимального качества.
— обновлять, хотя бы иногда, софт
— не использовать публичные сети или хотя бы не делать в них ничего важного
— использовать https при заполнении форм. это наверное самое-самое важное
— не использовать до идиотизма простые пароли
Это не rocket sience. Это как не есть на ночь или переходить дорогу на зеленый свет.
Виноват тот, кто выставляет менеджмент интерфейсы в мир и не обновляет прошивку. Но и наказывать за это должен его тот, кто имеет право.
Или может быть разделить их на две категории — в которых производитель обязывается пожизненно устранять уязвимости, и в которых не обязывается. Ну то, что сходит с рук, такого не должно быть.
1. Уязвимость давно закрыта. Я себе, к примеру, следующий роутер буду брать микротик, причем в первую очередь из-за обновлений, и только потом уже из-за функционала.
2. На сегодняшний день, весь зоопарк оборудования не поддерживает никто, даже железо из верхних энерпрайс и карьер сегментов идет с определенными EOS/EOL, как и весь софт.
3. Идеального софта не бывает, баги и уязвимости будут всегда.
4. Обновление оборудования и софта — это проблема пользователя. Производитель может только напоминать.
Обновление оборудования и софта — это проблема пользователяПричём, когда производитель софта берёт эту проблему на себя — поднимается вой «как мне отключить обновления в Windows 10??!!!1». А никак, дорогой пользователь, потому что кого ты хочешь обмануть — хрен ты сам будешь вовремя обновляться. Эти обновления будут так и висеть не установленными в течение многих месяцев.
Аналогично с Ubuntu: при включенных автоматических обновлениях безопасности, то они просто молча накатываются и все, ты этого даже не замечаешь. Это при том, что в Linux с обновлениями бывает все сложно.
А вот машину с Windows 10 мне недавно напрочь убило одно из обновлений. То есть она просто перестала грузиться, вообще, безопасный режим они выпилили, штатными средствами никак не отремонтировать. Решилось загрузкой с Ubuntu и внесением некоторых изменений, но проблема вот в чем: я никак не могу отключить обновление, которое вызвало проблему (если установлена не Enterprise редакция, конечно же). То есть оно упорно будет накатываться вызывая проблему и сделать с этим нельзя вообще ничего. От таких обновлений больше вреда, чем пользы.
Причем это далеко не единичный случай, до этого сталкивался с тем, что на ноутбуке обновлялись драйвера для видеокарты, которые ломали HDMI (проблема там была в том, что несмотря на то, что это была встроенная интеловская графика, вендор что-то сделал, что оно нормально работало только с его модицицированными драйверами. При этом сам Intel знал о проблеме, потому что при попытке установить свежие драйвера от Intel они не ставились и отсылали на сайт вендора. А вот Microsoft об этом не знали). И, опять же, запретить устанавливать это обновление нельзя (я пробовал какие-то утилиты, но ни одна не помогла, а штатных способов вообще не предусмотрено, если это не Enterprise редакция).
Именно поэтому люди и хотят отключить эти обновления, а не потому что они автоматически устанавливаются.
Просто Ubuntu не принуждает пользователя перезагружаться, а оставляет его сидеть на уязвимом ядре, пока он сам не перезагрузит.
Насчёт „откатить, отключить“ — основная масса претензий к обновлениям Windows со стороны пользователей связана не с этой обязательностью установки всех обновлений, а как раз с принудительной перезагрузкой и историями типа „я включил ноутбук, хотел показать аудитории презентацию, а он стал обновлять Windows с 1803 до 1809“. Это раньше можно было до бесконечности жать кнопку „Отложить“, когда Windows просила перезагрузку, а теперь нельзя. Ну и я примерно представляю, почему. Потому что у пользователя каждая секунда охрененно важная, перезагрузиться ну никак нельзя, поэтому он будет долбить это откладывание до конца дня, а потом уведёт ноутбук в сон, так ничего и не обновив.
Оффтоп: когда я слышу про пользователей, которые знают такие слова, как „откат обновлений“, я напоминаю себе, что большая часть пользователей — в точности, как моя подруга, которая при фразе „открыть управление дисками“ смотрит на меня укоризненно за то, что я начинаю говорить всякие непонятные вещи.
То есть она просто перестала грузиться, вообще, безопасный режим они выпилили, штатными средствами никак не отремонтировать.Погодите — а как же восемь способов? Все не работают?
Какая была техническая необходимость в убирании меню по F8 я не знаю. Наверное это как-то связано с UEFI. Но стало явно не так удобно. Даже в OSX есть некое подобие безопасного режима, которое вызывается нажатием комбинации клавиш при загрузке.
3 раза прервать загрузку, нажав Reset или обрубив питание. Запустится среда восстановления. Если восстановление системы не было отключено, то откатываешь на время до установки обновления.
Это же можно сделать с установочного диска.
И первый результат в гугле про offline удаление обновлений interface31.ru/tech_it/2015/04/kak-udalit-paket-obnovleniya-esli-zagruzit-sistemu-nevozmozhno.html
… проблема вот в чем: я никак не могу отключить обновление, которое вызвало проблему (если установлена не Enterprise редакция, конечно же). То есть оно упорно будет накатываться вызывая проблему и сделать с этим нельзя вообще ничего.Почему же ничего? Вы можете обратиться в поддержку Microsoft и вам выкатят решение под вашу проблему. Есть примеры, когда вам могут выкатить патч под ваш случай, или, в случае тотальной жопы, как минимум подробно рассказать что конкретно вызывает сбой.
Обычно среднестатистический пользователь СНГ об этом не знает потому что:
1. Покупать лицензию — это зашквар.
2. Обращаться в поддержку ОС — ещё больший зашквар — вдруг спалят что пиратка.
3. (Бонус) Я шо, тупее какого-то компуктера? Вон у соседа-сварщика утилита скачанная с торрентов которая точно поможет лучше.
sc delete bits
пока что срабатывает
Это же не ОС. Перезагрузить роутер — просто несколько минут даунтайма сети. Можно даже подобрать время, когда он не используется (у 90% пользователей такое время есть). Если можно исправить и без перезагрузки — вообще круто.
На крайний случай роутер должен хотя бы уведомить пользователя и сказать, как обновить прошивку.
Но вообще конечно я в своих комментах больше имел ввиду устройства, которые не обновляются. Если Microtik обновился — уже хорошо, хотя и всё-равно странно и обидно, что такое количество взломанных пользователей. Уверен, большинство из них даже не знают про уязвимость, а если и знают, то не знают, как обновиться.
У сковородки есть такая уязвимость — на ней стейк может подгореть, а автомобили могут попасть в аварию. Вперед и с песней, засудите производителя сковородок за подгоревший стейк и автопроизводителя за то, что вы не знаете ПДД, и не проводили ТО своего автомобиля 8 лет.
Никто не заставлял владельцев покупать девайс, которым они не умеют пользоваться и не хотят учиться.
Но вообще статья говорит обратное. Написано, что работает более двух миллионов роутеров, и из них аж 420 тыс взломаны.
Если пользователь не следит за своим оборудованием — то виноват производитель?
Если вы не чистите обувь, то вас должен инспектировать производитель и напоминать «Виталий, не забудьте почистить свои замшевые ботинки перед сном!»?
Это проблема пользователя, его первоначального выбора, его незнания предмета, его нежелания читать документацию и инструкции.
или ты его должен руками эти порты наружу выставитьДа я верю, просто удивительно, как 420 тыс пользователей выставили их наружу. Это роутер для контор?
зря так уверены, большинство тех кто купил микрот знают как он обновлаяется, а если его купила домохозяйка то там дефолтный конфиг который не торчит винбоксом наружу
2) Отключение сети, а в админке предупреждение об уязвимости.
Но вообще статья говорит обратное. Написано, что работает более двух миллионов роутеров, и из них аж 420 тыс взломаны.
Хотите автообновление — посмотрели в гугле, и нашли на первом месте в выдаче ссылку
Но вообще статья говорит обратное. Написано, что работает более двух миллионов роутеров, и из них аж 420 тыс взломаны.Если за ними не следят владельцы, то почему должен быть виноват производитель?
А перезагрузить роутер — просто несколько минут даунтайма. Естественно, это лучше, чем потенциальный пожизненный даунтайм.
Если за ними не следят владельцы, то почему должен быть виноват производитель?Выходит 420 тыс владельцев разрешили какую-то штуку, т. е. они разбираются, но за обновленями не следят? Мне кажется, они и не знают про уязвимость в итоге.
Вообще я как покупатель роутера предполагаю, что я его один раз купил и забыл. Он должен просто работать. А если это не так, меня должны хотя бы уж уведомить, что нужно обновить прошивку.
Вообще я как покупатель роутера предполагаю, что я его один раз купил и забыл. Он должен просто работать. А если это не так, меня должны хотя бы уж уведомить, что нужно обновить прошивку.Не было такого никогда. В роутерах постоянно находят уязвимости, а в потребительском сегменте еще попробуй найди роутер, который будет нормально обновляться, хотя бы через месяц после публикации уязвимости. А уведомление без костылей сделать нельзя.
сколько еще часов вы проработаете в этой конторе?
А теперь представьте что у вас тсаких контор штук тцать по всему городу и ближайшему пригороду
UPD можете после этого даже не пытаться их обновить, сразу меняйте пол, фамилию и страну проживания
Вообще должна быть настройка автообновления. Либо он обновляется автоматически (по умолчанию) — подойдёт для обычных пользователей. Либо если это контора, то сисадмин может взять задачу по обновлению на себя, чтобы избежать каких-либо рисков либо хорошо рассчитать эти несколько минут даунтайма.
Т. е. во всех своих решениях я подразумевал, что у пользователя будет выбор. В итоге в плюсе будут и как пользователи, которые хотят один раз поставить и забыть (либо которые плохо разбираются во всём этом и не понимают важность обновлений), так и те, кто готовы сами за всем следить.
Микротики популярны в soho не просто так, у них очень хороший баланс цена/качество.поддержка. И при правильной конфигурации доступ к роутеру получить с помощью этой уязвимости нельзя.
Микротик постоянно выпускает апдейты и патчи, развивается. Лично у меня к ним нет ни малейших претензий. Их оборудование, в принципе, можно ставить даже в довольно крупные конторы. Но не надо забывать, что это практически профессиональное оборудование! Его надо уметь настраивать и понимать что ты настраиваешь.
Проблема же в том, что 80% купивших микротики не понимают что они купили. Они прочитали про дешевизну, возможности и прочее, обрадовались, купили. По советам на форуме кое-как настроили и запустили в работу. И — забыли. А то, что админка осталась открыта всем ветрам, что dns-сервер обрабатывает запросы извне и т.п. они просто не в курсе.
Думаю, большая часть «инфицированных» — это как раз устройства с старой прошивкой, которые настраивали люди плохо понимающие что у них в руках вообще. Да, какая-то степень вины микротика в этом есть, но, имхо, покупая практически профессиональное оборудование и не понимая как оно работает — пользователь сам раскладывает перед собой грабли.
P.S. Что же касается апдейтов и прочего — у микротика на текущий момент лучшая политика из всех производителей маршрутизаторов домашнего и soho сегмента. Патчи выходят постоянно на всю продаваемую даже 10 лет назад линейку. Попробуйте найти обновление прошивки на асус, зюхель и иже с ними — хрен! Максимум 3 года и забыли про модель. А уязвимости находят постоянно не только в микротиках…
Те, кто оставляют дырки в конфиге, сами себя наказывают, как и те, кто не закрывает дверь в квартире или оставляет ключи в машине. И если человек берется за работу по администрированию сети, а по факту заливает на железо свой дефолтный конфиг, оставляя торчащими наружу интерфейсы управления, я не буду ничего делать, но могу спокойно утверждать, что это не специалист, а — обезьяна, которая выучила трюк.
Перед тем как отвечать перечитайте тред. Я не поддерживаю подход LMonoceros. И считаю, что если взялся делать что-то вне рамок закона, то будь готов к тому, что с тебя могут спросить.
Если вы о том, что происходит, если не следить за дверью или правилами фаервола — то я написал, что в случае проблем виноват будет тот кто настраивал/оставил открытой дверь.
Если вы о законности применения наказания, то я нигде и не писал, что может быть по-другому.
100% грамотность недостижима в принципе. Не говоря уж о том, что потребительское отношение к вещам, которые должны просто работать, сильно упрощает жизнь
В одном году один мой добрый знакомый обнаружил, что в сети провайдера, где повсеместно используются устройства одного производителя, логины-пароли стоят дефолтные, почти у всех клиентов. Он сообщил об этой находке провайдеру, но тот мер не принял.
Через некоторое время, в прошивке этого оборудования обнаружилась дыра, позволяющая получить доступ к железке под администратором. Каким-то образом в эту сеть из сотен (нескольких тысяч) устройств попал червяк, который инфицировал устройство и долбился по всем адресам в поисках новой жертвы. Это все генерило адский трафик, и, наверное, очень красиво выглядело из космоса в диапазоне 2.4ГГц.
Начался натуральный "пожар в лесу", а провайдер ничего не предпринимал. По итогам работы червя, устройство кирпичилось и требовало выезда саппорта на место установки.
Мой знакомый неоднократно звонил провайдеру, обозначал проблему, предлагал помощь, но провайдер бездействовал или не справлялся.
Тогда, по прошествии нескольких недель, мой знакомый плюнул, и начал удалять червя и устанавливать прошивку с фиксом на все девайсы, которые постучались в его, знакомого, логи.
Через неделю ситуация начала выправляться, а через месяц признаков наличия червя не осталось.
Вы думаете, после этого провайдер начал регулярно обновлять прошивки, сменил пароли? Да вот нет, все так же и поныне.
Мой знакомый решил, что стучаться наверх бессмысленно, если процессы в компании выстроены таким образом, что (1) эта ситуация вообще возможна, и (2)саппорту на первой и остальных линиях наплевать.
Помню историю, нашли в стороннем софте баг. Софт корпоративный, куплен, на поддержке.
Пишем — у вас в программе там-то и там-то такой баг, внесли такую-то правку (ошибка была в хранимке), заработало.
Сообщите, пожалуйста, о существующей проблеме разработчикам.
Ответ
— Сейчас у вас все работает?
— Да.
— А что вам тогда от нас нужно?!
И отношение к ним такое же: незаконно, но молодец, беги в лес пока не поймали!
Или там будут какие-то нестандартные настройки, которые он исправит?
И админ будет сидеть и в 3 часа ночи все восстанавливать?
Хакер Алексей, который защищает маршрутизаторы MikroTik без разрешения владельцев, стал знаменитым