Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 173
А производитель роутеросодержащих продуктов как Netcrazy будет обновляться?
Будет, там же точно такая же прошивка и обновление вышло параллельно с Keenetic.
Нет. Потому что это не 'Netcraze', а какая-то китайская подделка с буквой 'y' в конце.
Решение действительно спорное, а что, если этот удалённый доступ был необходим, и у владельца теперь нет возможности зайти на устройство? А роутер за полмира от него? Пингвиний поклон вам, господа разработчики
С другой стороны, съездить на удалённый объект менее болезненно, чем невольно поучаствовать, например, в кибероперации ГУР и потом смотреть, как ФСБшники, скрутившие вас, зачем-то несут полевой телефон.
Да, если кто-то думает "ну они разберутся, что я невольный соучастник!", то посмотрите, например, как пожизненные сроки запросили фигурантам дела по подрвыу Крымского моста (которые понятия не имели об истинном характере груза) или какие сроки запросят водителям фур, невольно поучаствовавшим в операции "Паутина". Когда до настоящих преступников добраться невозможно, а удобный стрелочник - вот он, то возникает соблазн посадить его и отчитаться, что дело закрыто.
Я на Вашем месте, больше боялся ваших дырявых ФСБшников...)))
Если в прошивке роутера есть бекдор, позволяющий удаленно обновлять прошивку, то где гарантия, что там нет и других бекдоров, которыми будут пользоваться иностранные спецслужбы, а вы за это отвечать будете?
В данном случае для принудительного обновления прошивки не нужен бэкдор, так как в роутере уже есть известная уязвимость, позволяющая получить полный контроль над роутером. Можно использовать её для того чтобы обновить прошивку и закрыть уязвимость, по такому принципу действовал когда-то Linux.Wifatch. Есть конечно мнение, что подобные уязвимости это и есть специально оставленные бэкдоры, а не случайные ошибки, но тут мы уже ступаем в область утверждения, которые невозможно ни доказать, ни опровергнуть.
так в ОС Виндовс точно также на умолчательных настройках ставятся КРИТИЧЕСКИЕ обновления BIOS/UEFI современных ноутбуков/материнок через Windows Update
Настроить удалённый доступ и запретить обновления, решение тоже спорное.
Так запрет обновлений то ни при чем, апдейт прошивки выключает удаленку, если роутер посчитает, что настройки небезопасны. Это прям подстава подстав
Не настройки, а если пароль: "1234".
Ага. Вы купили роутер, настроили как хочется, но производитель решает, что имеет право удаленно настройки менять. Прекрасно.
Ага, несколько тысяч или десятков тысяч таких идиотов потом становятся ботофермой, источником DDoS атак(и т.д. и т.п.) и в новостях пестрят заголовки что роутеры кинетик опасны. У производителя падают продажи и он несёт убытки из за того что люди своей безответственностью сами и создали небезопасные условия.
Давайте делить наличие вендорского backdoor'а и его использование без ведома/разрешения пользователей.
По факту идиоты должны таки быть ограничены в правах. Это нормальный подход.
На производителя орут истерички в интернете, которые ему не платят, то он начинает портить жизнь тем, кто ему заплатил.
И это отраслевой стандарт такой.
В таком случае нужно уже много лет назад было выставлять минимальные требования к паролю. И позволить дефолтного админа выключить (до сих пор нельзя…). А если у человека стоит запрет обновлений, но он обходится, то это уже 272й статьей попахивает.
Выставлять наружу роутер с дефолтными данными для входа крайне сомнительная затея. Удивительно, что такой человек потерял доступ только из-за обновления
Владелец одновременно и чайник с паролем админ-админ и шарит в удаленном доступе за полмира? Реально маловероятный кейс.
(удалено, неверно прочёл фразу)
Только что проверил: версия 4.3.6.1, автоматические обновления отключены. Роутер — Keenetic Giga (KN-1011).
Это значит что обновили вам принудительно или что нет? Поясните для тех, кто не в теме.
У нас на кн-1811 тоже 4.3.6.1.
До 4.3.6.3 обновится предлагает, но абсолютно штатно - без психологического давления даже.
Удаленный доступ был выключен, надеюсь? :)
Это вероятно значит то, что обновили только тем, кто настроил удалённый доступ, но запретил автообновления. По умолчанию то оно ровно наоборот.
Почитал про условия обновления. Прошивка должна быть древнее 4.3(т.к. устройство не обновлялось больше года), должен быть настроен удалённый доступ.
Как говорится "чпок, добрый вечер".
С час назад обновилось. Прошивка была 4.3.6.1 (достаточно свежая). Автообновление было отключено. Удалённый доступ был отключен.
Вечер перестает быть томным. У меня у локального роутера 4.3.6.2. Регион EU. Послежу...
А у вас какой регион роутера? EA или EU? Просто, если EA, то обновление прошивки инициировал российкий Netcraze. Keenetic Cloud access включен?
Интерфейс на русском, в "управление - параметры системы" :"Страна: Россия".
В "статус - системный монитор - гарантия" стоит " Ultra (KN-1810) EAEU ".
Keenetic Cloud access включен?
Не заметили сразу вопроса. Доменное имя есть, но "доступ из интернета: выключено". Если мы правильно поняли вопрос.
Из "внешнего официального доступа" стоит включенным IKEv2/IPsec VPN , правда мы им не пользуемся уже с год.
Спасибо.
EAEU - это евразийский экономический союз (Россия, Казахстан и т.д.). Т.е. ваше облако (Keenetic cloud access/Доступ в облако Keenetic) это ea.master.keenetic.cloud . У европейских роутеров - eu.master.keenetic.cloud, у турецких - tr.master.keenetic.cloud, Есть еще и ru.master.keenetic.cloud - для старых моделей/прошивок, видимо.
До весны 2025 года все эти записи вели на один и тот же IP в Германии (Hetzner). Но как от европейской (или Тайваньской?) фирмы Keenetic вынужденно отделился российcкий Netсraze, IP адрес у ea.master.keenetic.cloud и ru.master.keenetic.cloud поменялся на российский, Селектел, СПб. Т.е. конкретно ваши претензии - к российской фирме Netcraze.
Если бы я оказался в вашей ситуациии, то немедленно бы отключил доступ в облако, да еще и постарался бы проверить, что он отключился. Собственно говоря, я почти что и оказался, но тогда еще общая тех.поддержка Keenetic'а поменяла всем 3 моим роутерам в СПб регион с EAEU на EU. Тоже непонятным способом. Итого я всех их, включая еще и "финский", вижу в приложении Keenetic, а не Netcraze.
В последние месяцы в Telegram-группе Keenetic участились жалобы пользователей на появление странной учётной записи
adminr(мимикрирующей под стандартнуюadmin).
Надо было как недавно с мс делали - adrnin
Интересно, а если владелец роутера является осознанным ССЗБ и таки хочет слабый пароль и удаленный доступ? Сможет ли он обойти защиту в новой прошивке, установив сильный пароль, разрешив удаленный доступ и вернув слабый пароль?
Теоретически можно ещё и сделать бэкап конфига, поменять в нём пароль (он хранится в виде хэша, но существует сторонний сайт, который позволяет захэшировать произвольный пароль) и залить обратно. Не знаю, предусмотрели ли разработчики такую защиту от дурака.
Конечно сможет, защита от дурака бессильна против мотивированного дурака. Если человек очень хочет выстрелить себе в ногу, он всегда найдет способ
А воооот, что это было... Пришло уведомление об обновлении. Пока что на одно устройство из около 30 в мониторинге (причем не на интернет центр, а на один из сателитов)
Решение неоднозначное. Причём больше всего доставляет их возможность досылать обновление даже если сняты галки обновления...
Я самого начала выпил из их роутера все что связано с remote-*. В т.ч их keen dns
Вот и как теперь с этим жить. В любой момент прошьют "нужную прошивку" с зондом.
Ставить OpenWrt или что там сейчас модно.
Европейский keenetic не должен, а вот российский филиал...
То есть ГУР нужно только подломать офис Кинетика - и потом карта попрет? Раз можно всем запушить "обновление"?
Только не Keenetic, а NetCraze, а точнее облако eа.master.keenetic.cloud, которое нынче в Selectel (СПб). Это чтобы роутером управлять.
А вот откуда скачиваются прошивки, мне не очень понятно, потому что как бы они не были кастомизированными в соответствии с выбором доп.компонет для роутера. Типа хочешь новый VPN клиент, ставь галку и качай прошивку. Летом в Лен.области (Yota) роутер с Европейским регионом наличие новой прошивки видел, но скачать не мог. И в мобильном приложении не был виден, даже если я на телефоне из Амстердама "спрашивал".
Градус вашего пафоса удивляет... Вы уже выкинули ВСЕ ваши мобильные телефоны?
Ведь свободного GSM-модема, работающего в современных сетях, просто не существует. И именно он, а не так называемый CPU является, основным процессором любого телефона.
В телефонах, кажется, Самсунг смогли частично расшифровать программу модема и нашли команды чтения и записи любых фрагментов памяти CPU. А какие там еще есть команда и какие команды есть в модемах всех остальных мобильных телефонов - это исключительно предмет веры и wishful thinking.
Какой пафос? Учитывая новые требования и законы,не очень хочется чтобы по кого надо команде роутер начал накапливать и отправлять инфу о моих путешествиях в сети.
Не хочется, верно.
А ещё, напоминаю, провайдерам вменили фингерпринтить абонентов. У кого "обычный магазинный кинетик/тплинк/длинк/асус", а у кого подозрительная нестандарная фигня.
Поэтому те, кому на самом деле не хочется светиться
никогда не доверяли стоковым прошивкам
ставили свой раутер внутри, после "провайдерского", чтобы снаружи выглядело "обычная магазинная ерунда для просмотра кошечек"
А на форуме поболтать никогда не плохо, но на броневичок залезать при этом немного смешно. Особенно смешно, учитывая, что внутри вашего суперогороженного периметра по Wi-Fi подключается стопка смартфонов, в которых подконтрольность производителю и секретность его бэкдоров - принципиальное и защищенное законами (тем же DMCA) требование.
несёт дополнительные риски: в случае совершения противоправных действий через такой VPN, первым под подозрение попадёт владелец устройства.
Какие риски то? тут же прям определение ложного подозрения написано. А если в стране законы, суд, право не работают, то уж проблемы с роутером - это прям наименьшая из проблем. Повод тут могут выдумать любой и даже не утруждаться его выдумыванием.
"Мне не нужно бежать быстрее медведя, мне нужно бежать быстрее тебя". Если у гражданина Н будет повод, а у гражданина М его не будет, то возьмут гражданина Н. И только если у обоих не будет повода, то ваша логика начинает иметь силу — но не раньше.
Какие риски то?
Как минимум, повторить путь Дмитрия Богатова, который посидел несколько месяцев в СИЗО, а потом и под домашним арестом за действия другого лица, совершённые через его прокси. Но там поднялась шумиха, возможно, в том числе благодаря ей обвинения сняли.
По ссылке написано, что человек поставил у себя Tor. Сознательно.
Это сильно не то же самое, что у вас взломали смарт-чайник.
Не взломали чайник, а поставили прокси прямо на роутер и добавили его в пул residential IP у агрегатора.
То есть, если я кор-сетевик в провайдере, я должен сесть на ящик бутылок автоматически за то, что один из 100500 юзеров нигерийские письма разослал? Еще сразу можно захватить главбуха, того, кто провел инет юзеру и колцентр. Правильно понимаю логику?
Диверсий через интернет пока не проводят, но я бы не стал зарекаться.
Если ты "кор-сетевик в провайдере", то ты сам пойдешь с документированной заявой к товарищу майора, потому что и логи у тебя уже все есть, заранее настроены вместе со сканерами аномалий, и работе сети нигерийские принцы мешают, тут у твоего работодателя с товарищем майором интересы совпадают с твоими. И пойдешь свидетелем.
А вот если ты просто дурак, который привык делать как проще не думая о последствиях, то вряд ли ты озаботился вовремя узнать и начать логировать, что там через твой раутер делает ботнет. И пойдешь как минимум подозрительным по "отказался сотрудничать со следствием"
А "запустить процесс обновления всех роутеров, даже тех, у которых автоматическое обновление было отключено в настройках" разве не попадает под классификацию несанкционированного доступа к устройству? Какое теперь может быть доверие к производителю?
разве не попадает под классификацию несанкционированного доступа к устройству?
Вряд ли производитель дурнее всех дурных, стопудова где-то в соглашении есть пункт, что "галочка автоматическое обновление означает лишь пожелание обновляться автоматически" (кстати автоматом по галочке обновляется медленнее чем в ручную и если верить мануалу - не будет обновляться, если роутер перезагружался в течении последних 24 часов).
Какое теперь может быть доверие к производителю?
Хз, лично для нас в 2025 году вполне очевидно, что любое пользовательское (в смысле не корпоративное) устройство может делать что угодно по желанию левой ноги его производителя. И телевизор (спасибо lg отключившим сначала возможность переключения дорожек по длна, а потом и таймшифт) и вебкамеры (просто перестающие работать), и кормушки для котов (ладно хоть высыпали все что есть, а не наоборот) и все остальное. Так что такое вот обновление - лично для нас - вполне в духе современности. До сих пор уверены, что даже intel amt все еще существует в каком-то виде.
Перефразируя старую фразу - есть только 10 вида производителей, одни уже попались на скрытом доступе, другие еще нет. Нет, ну реально, у Вас есть доверие к какому-то другому производителю каких-либо сетевых устройств? Из тех что для обычных юзеров, не корпораций и не госслужб.
кстати автоматом по галочке обновляется медленнее чем в ручную
Там не каждая прошивка помечается на сервере как "готовая для автообновления", а лишь те, которые разработчики считают особо стабильными и протестированными (на тех, кто обновляется вручную).
Мануал объясняет это так
кусок мануала
автообновление может произойти и через достаточно долгий срок, после выпуска новой версии, это зависит в том числе и от загрузки сервера и количества обновляющихся устройств.
Для оперативного получения обновления отключите функцию автообновления, и самостоятельно периодически проверяйте наличие новых обновлений на стартовой странице Системный монитор и устанавливайте их вручную,
Автоматическое обновление роутера не сработает, если устройство перезагружается, выключается или теряет подключение с нашим сервером чаще 1 раза в сутки.
Ну вообще-то разница есть. Производителю, которого я подозреваю, что он может заложить бекдор, я все-таки доверяю больше, чем тому, про которого я точно знаю, что в его прошивке есть бекдоры и он ими пользуется.
В соглашении, даже при устройстве на работу, вы можете написать хоть то, что работник должен отдать почку, котика и сводить в кино его родителей . Вот только половину каляк-маляк не действует, т.к. нарушают вышестоящие закон.
Пример тому наклейки о том, что нельзя снимать в магазинах или игра магазинов и любом публичном месте. Также с занижением срока гарантийного обслуживания и возврата товара. И многое другое до банального: запрет разглашения ЗП и условий договора коллегам.
А Вы мелкий шрифт точно читали? Типа что «покупая это устройство, Пользователь предоставляет Производителю право подключаться и делать всё, что он пожелает...»
На сайте Кинетика есть описание служебного трафика, который используется в роутере. Одна из служб - проверки подлинности и лицензирования которую отключить нельзя. И в ее описании "регулярная передача версии KeeneticOS и канала обновления используется для сервиса автоматического обновления ". При включении роутера, при смене WAN IP или раз в сутки.
Вполне можно в эту службу встроить флаг ответа когда при запросе на сервер ответ воспримется как "важно, принудительно нужно обновить". Никаких бэкдоров все штатно.
Вполне можно в эту службу встроить флаг ответа когда при запросе на сервер ответ воспримется как "важно, принудительно нужно обновить".
Если роутер по команде извне делает то, что было явно отключено в конфигурации, то чем это не бекдор?
Возможность смены региона в роутере удаленно по сути такой же бэкдор. Разработчики на сервере кладут файл с командой и служба лицензирования после перезагрузки или начала нового дня при очередном коннекте с сервером видит этот файл и выполняет определенные внутренние команды. Однако никто не кричал, что все пора расставаться с роутером. Много лет назад уже проскакивали сообщения по форумам что кто-то просил как поменять регион, обращался в поддержку и ему меняли удаленно. По сути бэкдор был всегда, не оглашен просто набор команд который роутер умеет выполнить.
Много лет назад уже проскакивали сообщения по форумам что кто-то просил как поменять регион, обращался в поддержку и ему меняли удаленно. По сути бэкдор был всегда, не оглашен просто набор команд который роутер умеет выполнить.
Про много лет, не знаю, как-то повода не было интересоваться до весны 2025 года. А тогда, да, мне на трех роутерах поменяли EAEU на EU. Но когда просил, я не ожидал, как это будет сделано. Кричать тогда не стал, поскольку остался а немецком облаке и понадеялся на законопослушность Keenetic GmbH.
У меня нет, не обновили, все облачные службы выключены и удалённый доступ тоже. Надо наверное быть привязанным к облаку, чтобы такое можно было сделать.
То есть в прошивке роутера есть backdoor, через который можно дать команду на загрузку новой прошивки, а может и ещё какие-то?
Достаточно только команды на загрузку новой прошивки... А "и еще какие-то" уже будут в ней...
Роутеры обновляются по изолированному каналу, а не просто качают прошивку с торрента.
Что это за изолированный канал?
Замотанный волшебной синей изолентой! /s
Подозреваю, речь шла про HTTPS.
Шифрованный канал до сервера производителя. Сервера жёстко зашиты в прошивке.
это Вы в самой прошивке увидели? Она ж закрыта, не?
Если она закрыта, как её на десятки роутеров других производителей устанавливают?
Да и не нужно мне этого для понимания, это базовые правила безопасности для любого производителя всего, что напрямую торчит в интернет. Хотя конечно некоторые успешно забивают. Особенно на этой почве поднаторели китайцы.
Да не очень.
Если производитель может заставить все роутеры принудительно обновиться, то кто ему мешает выложить прошивку, в которой будут активированы другие бекдоры и заставить всех на нее обновиться?
Большинство роутеров работают с настройками по умолчанию, потому что 95% людей идиоты. А настройки по умолчанию, это включенное автообновление. Так зачем производителя подозревать в такой мелочи, если есть гораздо более простой способ?
работают с настройками по умолчанию, потому что 95% людей идиоты
Если не секрет, Вы у всех используемых Вами программ просмотрели все настройки и конфиги?
Не только посмотрел, но и поменял. По умолчанию меня не долго устраивает, либо сразу не устраивает. Настроек по умолчанию, которые всех устраивают, это как универсального кресло пилота военного истребителя, не существует. Ну разве что программа совсем примитивная и настроек просто нет.
У меня даже ютуб работает с четырьмя плагинами, хотя казалось бы.
По моему жизненному опыту, большинство живёт с настройками по умолчанию, потому что слишком ленивы или не могут задуматься над вопросом как облегчить себе жизнь. А потом когда приходишь и парой кликов решаешь проблему, видя как человек мучается, вопят: "А ЧТО, ТАК МОЖНО БЫЛО???".
Не только посмотрел, но и поменял
Учитывая, сколько во современной ОСи разных программ и их настроек, я прям впечатлён. Круто.
Если, конечно же, Вы действительно просмотрели настройки прям всех программ, а не одного лишь браузера.
Всех программ, которыми я пользуюсь, очевидно же. Вы бы ещё не установленные программы в пример привели.
Всех программ, которыми я пользуюсь, очевидно же.
Вы пользуйтесь настройками операционной системы и всякими системными программами внутри неё.
Вы их настройки все проверяете? Все конфиги Линукса? Весь реестр Винды?
Шиндус это операционная система, среда для работы программ.
Ну, то есть, из хреналиона дефолтных настроек, Вы изменили парочку и считаете, что это как-то сильно отличается от того, когда люди не меняют ни одной настройки из этого хреналиона.
По моему жизненному опыту, большинство живёт с настройками по умолчанию, потому что слишком ленивы или не могут задуматься над вопросом как облегчить себе жизнь.
Я живу с настройками по умолчанию потому, что точно знаю, что в любой момент эти настройки могут быть сброшены, изменены или просто перестать быть актуальными, при очередном апдейте программы или операционной системы.
Если речь не идёт о развлечении "посидеть, поковыряться, настроить под себя", то оно совершенного того не стоит.
Сервера жёстко зашиты в прошивке.
В том числе и до облака. Но если до весны ea.master.keenetic.cloud указывал на тот же IP в hetzner, что и eг.master.keenetic.cloud, то потом, раз и на selectel в СПб. Другое дело, что прошивки должны иметь правильную цифровую подпись. Интересно, до сих пор одну и ту же для двух "филиалов"?
То есть в прошивке роутера есть backdoor, через который можно дать команду на загрузку новой прошивки, а может и ещё какие-то?
И известно про это с весны, когда тех.поддержка удаленно меняла регион устройства с EA на EU по просьбам владельцев. Я себя успокаивал тем, что продолжение использованиея немецкого облака (а не принудительный переход на российкое) избавит меня от дальнейшего использования вендорского backdoor'а без моего ведома, но и года не прошоло как... Хотя, вроде как, известили, и нынешнее использование меня и не коснется.
Кроме того, компания приняла спорное решение запустить процесс обновления всех роутеров, даже тех, у которых автоматическое обновление было отключено в настройках.
Шикарный ход. То есть устройство-то вы может и купили, но оно всё равно не ваше вне зависимости от комбинации установленных галочек в GUI.
Что тут нового и удивительного? Для тех, кто хочет владеть своим устройством, давно есть OpenWrt.
Это не новость, так работает почти весь современный софт и железо. Tesla может удаленно обновить или отключить функции в вашей машине. Apple может заблокировать ваш iPhone. Microsoft - принудительно обновить вашу Windows
Так цимес-то в том, что обновилось и у тех, кто автообновление отключил! Это галочка оказывается ничего не значит = производитель обманул потребителя в части этого функционала)
Именно поэтому приходится NAS запирать в домашней сети через файрвол на роутере, а в винде делать дополнительные телодвижения чтобы никаких принудительных обновлений не было.
Не оправдываю Keenetic, но предполагаю что они рассуждали так: Либо это обновление поставим мы, либо фейковое обновление с "бэкдорами" поставят солдаты Нато злоумышленники)
Кстати, у меня давно нет их устройства, так что не могу проверить. Но если галочка называется "автообновление" то вас никто не обманул. Устройство действительно не обновлялось автоматически, то есть "само". Его обновил сотрудник Keenetic)))
даже тех, у которых автоматическое обновление было отключено в настройках
А потому что не существует "запретил в настройках", а есть лишь "робко выразил желание". :)
Жаль. Кинетик был хорошим устройством.
Неудивительно, любители Кинетиков небось опять будут говорить что это не бэкдор, а удобная фича.
:)
Неудивительно, любители Кинетиков небось опять будут говорить что это не бэкдор
Ага ;)
Я бы не сказал, что это прям бэкдор, ведь доступа производителя к устройству и внутренней сети, данное действие никак не доказывает. Чтобы принудительно запустить обновление, достаточно отправить нужную последовательность, которую ждёт модем. А там он уже сам инициирует обновление. Да, есть теоретическая возможность загрузки прошивки к примеру со скрытым неотключаемым удалённым доступом, но софт популярных роутеров многие тщательно изучают и после нахождения явного бэкдора производителю резко поплохеет.
Я бы не сказал, что это прям бэкдор,
Вендорский. Пока производитель не лажанется, никто другой этим способом воспользоваться не сможет. Там надо еще DNS запись поменять, но когда роутеры с регионом EA переводили на российское облако, так и сделали, перенаправив облачный трафик на Селектел, модифицировав IP для ru.master.keenetic.cloud и eа.master.keenetic.cloud.
Чтобы принудительно запустить обновление, достаточно отправить нужную последовательность, которую ждёт модем
Вы считаете, что роутер явно ждал и конкретно команду на смену региона? Тоже на "следующий"? Тот, который из пользовательского (WWW или SSH) интерфейса документированными командами пользователю не поменять. Он ведь явно где-то в read-only области энерго-независимой памяти прошит должен был. Но как только я письмо в тех.поддержку написал, так и стал ждать? Какой он умный. Вы себя на место разработчиков поставьте.
софт популярных роутеров многие тщательно изучают и после нахождения явного бэкдора производителю резко поплохеет.
Ключевое слово - явного.
Хорошие настоящие бакдоры давно маскируют под уязвимости. Подумаешь кто-то где-то случайно == вместо === поставил. Это же не бакдор, это ошибка, у всех бывает, спасибо что нашли уязвимость - ага. Ну или обновление, это же не бакдор, это просто возможность залить любой софт и запустить его.
Которые регулярно закрываются, теми самими обновлениями.
Кстати, о птичках.
достаточно отправить нужную последовательность, которую ждёт модем. А там он уже сам инициирует обновление
И чем это отличается от того, что делает любой ботнет, кроме частных деталей типа конкретных деталей протокола и адресов управляющих серверов?
Ну у меня 1611 на 3й версии прошивок, тк на 4х тяжеловато ему с IPv6 провайдера, надеюсь не обновится автоматом, тк либо отключать v6 либо покупать новую железку. Обновление до последней ос доступно, но версия не сменилась пока.
Интересно.
А то как-то так удачно совпало, что приспичило мне вот-прям-срочно заменить роутер на самопальный шлюз на Линуксе, и тут такая новость.
Ну, знаете, типа когда так не хочется сегодня ехать куда-то по дороге, и то колесо спустило, то какой-то вопрос срочный задержал - а вечером в новостях читаешь о массовой аварии как раз на этом участке, и как раз в то самое время...
Что-то как-то фу. Из-за отдельных безответственных ССЗБ:
а) внезапно вопреки настройкам обновили устройства даже тем, кто больше минуты задумывается о защите/пароле
б) обнулили, а точнее загнали в минус репутацию производителя/прошивки и соответствующее к ним доверие
Всё это ещё "красивей" смотрится на фоне недавнего деления на Кинетик старый и "адаптированный" NetCrazy NetCraze. Отличный план, надёжный, как швейцарские часы. А ведь я давно любил и уважал Кинетики, наивный юноша. Планировал сменить свою старенькую Ультру на его современного преемника, теперь точно нет. Жаль.
Проверил свои два кинетика, ни один не обновлялся недавно и тем более тем, что мне неведомо. Чувствую себя каким-то не тем сортом.
Обновляют всех подряд или только тех, у кого слабый пароль / открыт удалённый доступ?
Выше(правда в комментариях, а не в статье) уже приводили ссылку на статью в базе знаний, процитирую:
До KeeneticOS 4.3 пользователи могли устанавливать слабые пароли администратора и при этом открывать доступ к веб-конфигуратору интернет-центра из интернета, что создавало высокий риск компрометации.
Последняя версия KeeneticOS 4.3 требует более надежных паролей и блокирует публичный веб-доступ, если установлен известный скомпрометированный пароль.
Затронутые устройства / конфигурации
Устройства: интернет-центры Keenetic с версиями KeeneticOS ниже 4.3.
Обязательное условие для конфигурации: веб-конфигуратор интернет-центра должен быть доступен из интернета и удаленный веб-доступ должен быть включен.
Насколько я понял, требование сложных паролей появилось ещё в 4.3.*, а в последней версии добавили блокировку удалённого доступа в случае известного скомпрометированного пароля(т.е. по которому есть данные что он уже уплыл). Мне кажется это, в неотключаемом режиме, выглядит даже более сомнительно чем односторонняя блокировка за простой пароль, которого в 4.3.+ "по-определению" быть уже не может.
Вот это обновление прошивки полностью решает вышеописанную проблему
Кинетики покупают не для того чтобы ставить туда OpenWRT. И вся история из за людей необезображенных интеллектом, настраивающих удалённый доступ с паролем: admin/admin, и сидящих на древних прошивках. Некоторые интеллектуалы ещё на 4.1 сидят. За это время закрыли кучу уязвимостей в прошивке, а они за более чем год так и не нашли время актуализировать её. Скорее всего, они банально не задумывались о своей безопасности.
Это масс-маркет. Человек приходит в магазин бытовой электроники, чтобы купить там коробку "для интернета". В одну специальную розеточку кабель от провайдера, в другую ... А зачем, у них же ВайВай есть?
Какое там обновление? Какая там версия? Если коробочку купили лет так 10 назад - как ее актуализировать, кроме замены? (И зачем, если ВайВай работает?)
В случае данной коробочки автообновления включены по умолчанию, а удалённый доступ по умолчанию выключен. Плюс длительный срок обновлений. Конкретно для кинетиков это четыре года актуализации прошивки.
Десять лет поддержки ни у кого нет. Да что уж там, большинство годом или даже меньше ограничиваются. А там хоть трава не расти.
Конкретно для кинетиков это четыре года актуализации прошивки.
Десять лет поддержки ни у кого нет.
Ну почти. Giga KN-1010 вышла в начале 2018, до сих пор получает официальные обновления - в начале 2026 будет 8 лет. Но не каждой модели так "везёт". Четыре года - это "гарантированные", а дальше зависит от "удачности" конкретного железа, которая не всегда очевидна на релизе.
А вот последние Zyxel Keenetic (Ultra II, Giga III), вышедшие в 2015, как раз справили юбилей поддержки - до сих пор получают полуофициальные обновления, но там требуется вручную переключиться на другой канал обновлений. Под "неофициальными" подразумевается, что новые версии не проходят тестирование на этом железе и выпускаются "как есть" только потому, что есть похожие по железу актуальные модели.
Не знаю с чего такая реакция, да ещё и с минусом в карму: "Политика или пропаганда". Но это официальная позиция производителя. Да для популярных активных моделей поддержка продляется, но в любом случае это никак не противоречит моему комменту. Десяти нет.
Конкретно для кинетиков это четыре года актуализации прошивки.
kn-1810 от 2018 года. В интерфейсе горит предложение апгрейдится на 4.3.6.3
Честно говоря, когда выкатили 4.х (а покупался роутер вроде с 3.х) думали что прокатят с апгрейдом, но нет, не прокатили. Хотя обновляться было стремно - столько предупреждений было, что что-нибудь может пойти не так.
Я не дописал коммент, видимо это и вызывает такую реакцию. Четыре года это гарантированный минимум, дальше уже на усмотрение производителя.
У меня автообновления выключены(но и удалённый доступ тоже). После выкатки очередного обновления, жду минимум пару недель. Потому что даже основной канал обновлений не гарантирует отсутствие косяков. Если фиксов нет, значит можно актуализироваться.
Так кажется поэтому автообновление включено по умолчанию
а что, вывести пользователю вместо первого открытого сайта страничку с баннером "выявлена критическая уязвимость" - это прям офигеть какая сложная задача?
Кажется, всё-ещё не остановит от атак типа DNS Rebinding: https://habr.com/ru/companies/fbk_cs/articles/439522/
Что не остановит? Где не остановит?
В кинетике давно есть
С версии KeeneticOS 3.4.1 в интернет-центрах реализована блокировка атак типа DNS Rebinding и она включена по умолчанию.
Спорное решение, говорите? А вот и нет. Это классический пример ответственности производителя - у тебя есть информация о массовой компрометации устройств и ты знаешь, что большинство пользователей - чайники, которые никогда не обновятся сами. Что делать? Сидеть и смотреть, как твои роутеры превращаются в гигантский ботнет, а репутация бренда летит в трубу? Или принять волевое решение и принудительно залатать дыру? С инженерной точки зрения, выбор очевиден
Имхо назвать это спорным решением - это как раз то, что нужно. Не говорится, что оно плохое. Но есть разные точки зрения и это предмет для споров. У их решения есть логика. Единственное что, я бы был не против получить пуш в приложении, или письмо с объяснением того, что происходит.
Или принять волевое решение и принудительно залатать дыру? С инженерной точки зрения, выбор очевиден
С инженерной точки зрения, выбор будет "я не вправе лезть к тем, кто меня на это не уполномочил".
Любой другой выбор будет каким угодно, но не инженерным
ох5ь! то есть вы считаете нормальным что ваше усройсво могут удолённо вот так вот обновить?! интересно через какой миханизм это реализовано? через захардкожаные скрытые учётные данные суперюзера?! или через уязвимосьт или как-то по-другому? в любом случае теперь никаму не порекомендую этого проезводителя, вот микротик например да у нас была уязвимость но вы сами должны обновиться или тут на сцену появляется вот такой человек https://habr.com/ru/companies/globalsign/articles/426409/ тут хотя бы есть в кого пальцем тыкать
Роутер время от времени залезает на сайт производителя и проверят наличие обновлений, если на сайте лежит новая прошивка, обновляется, если на сайте лежит новая прошивка, помеченная как критичная, принудительно обновляется, даже если автоматическое обновление отключено. Никакой магии тут не нужно...
А т.к. пока гром не грянет, мужик не перекрестится, потом появляются новости на подобии этой. Производителю резко становится не скучно, ведь у него обваливаются продажи, а ещё и иски требования могут посыпаться.
У этой уязвимости есть имя и должность.
Человек сел?
Было бы очень странно, если на покупателей железа возложена ответственность и им принудительно ломают настроенную ими систему, а реальный виновник наказан не был.
Вам этот мир абсолютно понятен, но вы как будто не в РФ живёте(или живёте, но в душе). Поговорка: "Разберутся как следует и накажут кого попало", не на пустом месте появилась.
Вы так говорите, как будто у Вас какой-то особенный интернет, в котором нет американских новостей "спустя 50 лет оказалось, что в тюрьме сидит невиновный".
Ну да, а у них там негров линчуют. Во первых, мне как то без разницы, что там у них. Во вторых, ошибки у всех бывают, вопрос в проценте таких ошибок. Но если у нас, следователь в первую очередь, должен найти виновного, это показатель качества его работы. То у них, высокий процент ошибок оправдательных приговоров, снижает вероятность переизбрания на должность.
Один человек точно сел на три с лишним месяца за решётку за то, что другой человек воспользовался его инфраструктурой в противоправных целях.
И это ещё хеппи-энд, а если бы дело не стало резонансным, кто его знает.
Как выяснилось, ASUS поступает аналогично
Интересно как будет вести себя железка, если "правовые и нормативные требования" будут не устранять, а создавать серьезные проблемы в безопасности :)
ASUS поступает аналогично
Аналогично чему? В веб-интерфейсе Keenetic'ов ничего подобного приведенном тексту нет.
Аналогично чему?
Аналогично Keenetic, встраивая возможность принудительного обновления.
В веб-интерфейсе Keenetic'ов ничего подобного приведенном тексту нет.
Большинство возмущающихся возмущаются не отсутствию текста, а наличию такой возможности в принципе.
Аналогично Keenetic, встраивая возможность принудительного обновления.
Только вот ASUS задокументировал эту возможность, и нет никаких предпосылок думать, что существуют и другие способы взаимодействия с роутером, а Keenetic - нет, мы знаем уже о двух разных вариантах, а недокументированный способ воздействия на пользовательское устройство - это и есть вендорский backdoor.
Да, только что с отключенным автообновлением пропала связь с ротуером и через 10 секунд захожу в оболочку и прошивка обновлена)
Круто с бэкдорами жить, господа!
Одни ноют что им роутер обновили без спроса.
Другие ноют что им НЕ обновили.
Третьи ноют что первые два ноют.
Как хорошо что я запитываюсь высокоскоростным интернетом от wifi-роутера который находится в тамбуре отеля в коробке из под бананов и мне эти проблемы чужды))0
Некоторые вопросы:
А что делать тем, кто получил кирпич по итогу? Причины могут быть банальными: место кончилось во время следующего бута на разделе.
И гарантия например закончилась?
Тем, у кого обновилось по ошибке?
"Обновления гейта любого формата удаленно - это к поездке"
В целом ситуация "ну такая себе". По хорошему высылается уведомление клиентам с определенным сроком фикса и принудительным OOB. И планируемыми действиями с точными датами. А не вот так вот.
А если это банально какой-нибудь S2S бранч у какой нибудь компании?
А что делать тем, кто получил кирпич по итогу?
https://help.keenetic.com/hc/en-us/articles/213966149-Restoring-KeeneticOS-for-advanced-users
чет у меня после обновления мой xkeen перестал работать на кинетике, такое чувство что напрямую связано с обновлением которое я не заказывал.
Компания объяснила свои действия
Для усиления безопасности в целом и обеспечения непрерывной защиты данных пользователей будет проведено обязательное обновление программного обеспечения для устройств, работающих на KeeneticOS версии ниже 4.3, в соответствии со статьей 6 Лицензионного соглашения с конечным пользователем и в соответствии с Законом ЕС о киберустойчивости (CRA). Это обновление включает улучшенные меры безопасности, инструменты для создания более надежных паролей и исправления критических ошибок, которые повышают стабильность системы и защищают учетные записи пользователей.
Мы приносим искренние извинения за неудобства, которые могут быть вызваны этим обновлением. Чтобы свести к минимуму перебои в работе, мы стараемся проводить обновление в нерабочее время.
Интересно, а каким боком закон ЕС распространяется на гонконгскую компанию, ведущую бизнес в России?
Если вы откроете ссылку из предыдущего сообщения (https://keenetic.com/global/security?lang=ru#weak-passwords-pre-keeneticos-43), там перейдете в support, то увидите, что это сайт немецкой фирмы Keenetic GmbH, которая владеет облаком в Генрмании же, обслуживающее "европейские" роутеры (регион EU). А Тайваньская компания - производитель железа.
В РФ с весны 2025 года бизнес ведет Netcraze: https://blog.keenetic.ru/pre-keeneticos-43-update/ Если тут перейти в support, то увидите ООО «Неткрейз». Обако, куда перетащили все роутеры с регионом EAEU, - в России.
Где сидят разработчики (прошивки то общие), фиг знает. Я лично очень надеюсь, что разработчики из РФ немецким облаком рулить не могут.
Для windows начиная с 8 есть неплохая программа windows update block. Которая препятствует обновлению и контролит его.
А для кенетика можно ли сделать подобное? Скрипты какие либо. Которые будут контролить и блокировать установку прошивки? Прошивка же скачивается куда-то ,с названием конкретным. Keenetic update block - нужен.
Откатиться на старую нужную версию прошивки и законтролить обновление.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Производитель роутеров Keenetic принудительно обновил все устройства из-за массовых взломов