Именно что недоумение, потому что в голову не могло прийти, что и они тоже тащат к себе в облако всё, до чего могут дотянуться. Тот факт, что оно еще и хранится никак не зашифрованным, уже мало что добавляет к общей картине. Этого вообще не должно было происходить.
Уж на что ругают Apple, но они в сравнениие с Кинетиком прям белые и пушистые. Скажем, настройки Wi-Fi синхронизируются через iCloud, а вот настройки VPN вчера переносил ручками между четырьмя компами, лучше уж бы они синхронизировались. :)
Как человеку, имеющему в настройках роутера около двух десятков VPN-аккаунтов, 5 личных VPN-серверов, 2 рабочих, публичный VPN-аккаунта, несколько соединенных через IPSec или WG роутеров, мне довольно удивительно видеть спокойную реакцию сообщества на этот грандиозный факап производителя, но, с другой стороны, я понимаю, что у большинства такой разветвленной кухни в хозяйстве нет, отсюда и вопросы по типу того, что выше ("Для РФ я так понимаю нет опасности или как?")
А мне пришлось всё это перенастраивать сегодня. Ручками. На всех серверах, во всех аккаунтах — менять пароли, ключи, параметры IPSec... всё, абсолютно всё. Включая настройки на резервных устройствах, а также резервные копии, парольные менеджеры и проч. Вожусь уже несколько часов, не прошел и половину квеста. Хотя в сущности там не так и много. Причем это всего лишь мое личное хозяйство, я не админ в компании с десятками/сотнями юзеров, а то бы точно вешаться пришлось. :)
И всё из-за того, что сугубо внутренняя приватная информация оказалась без малейшей на то технической необходимости слита в облако без какого-либо предупреждения меня как пользователя.
Являясь практически фанатом (хоть и не люблю это слово) кинетиков уже 13 лет, вынужден признать, что пределам моего разочарования нет границ. Они, по моему личному мнению, переплюнули микротик просто в разы. Дело ведь не в том, что информация утекла (кого этим сейчас удивишь?) — дело в том, что было чему утекать. Хотя его не должно было быть.
Буду ли я пользоваться кинетиками в будущем? Наверное, да. Хотя, конечно, уже не так безальтернативно, как до сего момента, когда других роутеров для меня практически не существовало. Но буду ли я пользоваться удаленным доступом через какую-либо их встроенную службу? Конечно НЕТ! Never again! Первое, что сегодня сделал — вынес из прошивки всё, что имеет к этим службам хоть малейшее отношение.
P.S. Поначалу даже сообразить не мог, с какого конца начинать, просто сидел, представлял в уме объем работ и громко матерился. Вам там не икалось, дорогие мои?
Автор ясно же сказал, почему "уроды" — потому что своей политикой запрета вынуждают ремонтников отключать эту защиту. А позволяли бы заменять готовыми блоками с донора — никто бы из ремонтников эту защиту не отключал, потому что гораздо проще поставить исправный блок целиком. И всем было бы только лучше — и ремонтникам (меньше гемора и вероятности сделать что-то не так), и пользователям (быстрый ремонт плюс работающая система защиты).
Лишь добавлю, что в вышеприведенных экспериментах управление через приложение было разрешено и работало. А речь выше шла именно о пробросе доступа к веб-интерфейсу, это не связано с приложением никак, это отдельно настраивается.
Что касается "уточните, кто может" — ну уточнили же. Если KeenDNS не разрешен, то 403 не будет, будет таймаут. Если разрешен, то будет форма логина.
403 бывает, когда лезем на 80-й порт, т.е. по http, причем он там всегда 403, независимо от включенности KeenDNS.
Вы правы: я недостаточно тщательно провел эксперимент — стучался на 80-й порт (на нем возвращается 403 вне зависимости от того, включен ли на роутере KeenDNS).
Если стучаться на 443, то при выключенном KeenDNS действительно таймаут.
Ну что ж — среди пользователей кинетика есть аж 120 тысяч высоквалифицированных сетевиков! :)
А! Ну это "несколько" меняет дело. Вот смотрите — я глянул в настройках своего кинетика имя его хоста/домена (причем KeenDNS у меня отключен) и натравил на этот хост nmap. Тот выдал кучу портов, при обращении на любой из них прилетает 403.
Вопрос — чьи это порты и кто отдает этот 403? Мой кинетик или KeenDNS'овский "портал"? Портал. И куча портов — это тоже портал. До моего кинетика вы таким способом в текущей его конфигурации не доберетесь. Если же включить KeenDNS, то вовсе не факт, что на сам кинетик с портала будет проброшено что-либо, кроме 443 и, возможно, 80 (перенаправление 80->443 проще сделать на самом портале).
И я сомневаюсь, что в общем массиве этих доменов наберется хотя бы несколько процентов устройств с включенным KeenDNS, на которые действительно можно физически попасть, т.е. установить с ними соединение. Впрочем, тут автору статьи все карты в руки — посчитать, сколько из этих 120-ти тысяч доменов при обращении возвращают 200 и логин-форму, а сколько — 403. Тогда и будет что-то понятно. Пока что эти 120 тысяч — "потенциальные" устройства, а не реальные. Просто потому, что доменное имя генерируется для каждого выпущенного кинетика, а не только для тех, в которых включен KeenDNS. По-дефолту же KeenDNS отключен, его надо специально включать на девайсе.
Мне вот интересно, откуда в выдаче взялись Keenetic'и. Не слышал (и не видел за 12 лет), чтобы они по-дефолту светили наружу всякими "интересными" портами.
Можете поделиться, какие именно порты были обнаружены? А, может, это вообще не Keenetic'и были?
Годы проходят, а аргумент "вы просто не умеете их готовить" никуда не девается.
Отвечу — устройство, предназначеннное не для профессионалов (а именно к этой категории относятся электрочайники, скороварки, стиральные машинки, умные колонки и домашние роутеры) должны с завода быть настроены так, чтобы быть безопасными. В них должно быть закрыто всё или почти всё, что не нужно обычному потребителю.
Это не "случилось", это происходило постепенно, на моей памяти - в 2000-е годы, ещё на 10/100Mb/s сетях
10-мегабитные коммутаторы существовали еще в начале-середине 90-х. Правда, стоимость такого коммутатора в те времена была примерно равна стоимости 100-мегабитного хаба.
С изумлением обнаружил, что в столь подробной и детальной статье автор совершенно оставил без внимания тот момент, когда логическая (подчеркиваю) топология сети из "шины" превратилась в "звезду". И то, чем отличается хаб от свитча/коммутатора. Как следствие, не упомянуто то обстоятельство, что полный дуплекс в шинной топологии (по крайней мере в те времена, когда он появился) был невозможен.
Не упомянуты, как будто их совсем не существовало, такие понятия, как CSMA/CD и домен коллизий. Не проговорено, что физическая топология "звезда" в StarLAN (и 10Base-T) предпологала, тем не менее, логическую топология "шина" — ровно тем же способом, что и предшествующие коаксиальные варианты.
А ведь это принципиальные моменты, фундамент, так сказать. Обескуражен, если честно.
P.S. Впрочем, выше в комментах на это тоже обратили внимание.
Следуя вашей логике, в автомобиле 2 стоп-крана — педаль газа и педаль тормоза. Только на одну надо нажать, а другую — отпустить. И ни в коем случае не перепутать.
P.S. А, и третий тоже есть — собственно, "ручник". ;) P.P.S. И четвертый — ключ зажигания.
Именно что недоумение, потому что в голову не могло прийти, что и они тоже тащат к себе в облако всё, до чего могут дотянуться. Тот факт, что оно еще и хранится никак не зашифрованным, уже мало что добавляет к общей картине. Этого вообще не должно было происходить.
Уж на что ругают Apple, но они в сравнениие с Кинетиком прям белые и пушистые. Скажем, настройки Wi-Fi синхронизируются через iCloud, а вот настройки VPN вчера переносил ручками между четырьмя компами, лучше уж бы они синхронизировались. :)
Ну кстати ndmsystems.com резолвится на адрес Хетцнера
Как человеку, имеющему в настройках роутера около двух десятков VPN-аккаунтов, 5 личных VPN-серверов, 2 рабочих, публичный VPN-аккаунта, несколько соединенных через IPSec или WG роутеров, мне довольно удивительно видеть спокойную реакцию сообщества на этот грандиозный факап производителя, но, с другой стороны, я понимаю, что у большинства такой разветвленной кухни в хозяйстве нет, отсюда и вопросы по типу того, что выше ("Для РФ я так понимаю нет опасности или как?")
А мне пришлось всё это перенастраивать сегодня. Ручками. На всех серверах, во всех аккаунтах — менять пароли, ключи, параметры IPSec... всё, абсолютно всё. Включая настройки на резервных устройствах, а также резервные копии, парольные менеджеры и проч. Вожусь уже несколько часов, не прошел и половину квеста. Хотя в сущности там не так и много. Причем это всего лишь мое личное хозяйство, я не админ в компании с десятками/сотнями юзеров, а то бы точно вешаться пришлось. :)
И всё из-за того, что сугубо внутренняя приватная информация оказалась без малейшей на то технической необходимости слита в облако без какого-либо предупреждения меня как пользователя.
Являясь практически фанатом (хоть и не люблю это слово) кинетиков уже 13 лет, вынужден признать, что пределам моего разочарования нет границ. Они, по моему личному мнению, переплюнули микротик просто в разы. Дело ведь не в том, что информация утекла (кого этим сейчас удивишь?) — дело в том, что было чему утекать. Хотя его не должно было быть.
Буду ли я пользоваться кинетиками в будущем? Наверное, да. Хотя, конечно, уже не так безальтернативно, как до сего момента, когда других роутеров для меня практически не существовало. Но буду ли я пользоваться удаленным доступом через какую-либо их встроенную службу? Конечно НЕТ! Never again! Первое, что сегодня сделал — вынес из прошивки всё, что имеет к этим службам хоть малейшее отношение.
P.S. Поначалу даже сообразить не мог, с какого конца начинать, просто сидел, представлял в уме объем работ и громко матерился. Вам там не икалось, дорогие мои?
Автор ясно же сказал, почему "уроды" — потому что своей политикой запрета вынуждают ремонтников отключать эту защиту. А позволяли бы заменять готовыми блоками с донора — никто бы из ремонтников эту защиту не отключал, потому что гораздо проще поставить исправный блок целиком. И всем было бы только лучше — и ремонтникам (меньше гемора и вероятности сделать что-то не так), и пользователям (быстрый ремонт плюс работающая система защиты).
Лишь добавлю, что в вышеприведенных экспериментах управление через приложение было разрешено и работало. А речь выше шла именно о пробросе доступа к веб-интерфейсу, это не связано с приложением никак, это отдельно настраивается.
Что касается "уточните, кто может" — ну уточнили же. Если KeenDNS не разрешен, то 403 не будет, будет таймаут. Если разрешен, то будет форма логина.
403 бывает, когда лезем на 80-й порт, т.е. по http, причем он там всегда 403, независимо от включенности KeenDNS.
Вы правы: я недостаточно тщательно провел эксперимент — стучался на 80-й порт (на нем возвращается 403 вне зависимости от того, включен ли на роутере KeenDNS).
Если стучаться на 443, то при выключенном KeenDNS действительно таймаут.
Ну что ж — среди пользователей кинетика есть аж 120 тысяч высоквалифицированных сетевиков! :)
А! Ну это "несколько" меняет дело. Вот смотрите — я глянул в настройках своего кинетика имя его хоста/домена (причем KeenDNS у меня отключен) и натравил на этот хост nmap. Тот выдал кучу портов, при обращении на любой из них прилетает 403.
Вопрос — чьи это порты и кто отдает этот 403? Мой кинетик или KeenDNS'овский "портал"? Портал. И куча портов — это тоже портал. До моего кинетика вы таким способом в текущей его конфигурации не доберетесь. Если же включить KeenDNS, то вовсе не факт, что на сам кинетик с портала будет проброшено что-либо, кроме 443 и, возможно, 80 (перенаправление 80->443 проще сделать на самом портале).
И я сомневаюсь, что в общем массиве этих доменов наберется хотя бы несколько процентов устройств с включенным KeenDNS, на которые действительно можно физически попасть, т.е. установить с ними соединение. Впрочем, тут автору статьи все карты в руки — посчитать, сколько из этих 120-ти тысяч доменов при обращении возвращают 200 и логин-форму, а сколько — 403. Тогда и будет что-то понятно. Пока что эти 120 тысяч — "потенциальные" устройства, а не реальные. Просто потому, что доменное имя генерируется для каждого выпущенного кинетика, а не только для тех, в которых включен KeenDNS. По-дефолту же KeenDNS отключен, его надо специально включать на девайсе.
Мне вот интересно, откуда в выдаче взялись Keenetic'и. Не слышал (и не видел за 12 лет), чтобы они по-дефолту светили наружу всякими "интересными" портами.
Можете поделиться, какие именно порты были обнаружены? А, может, это вообще не Keenetic'и были?
Годы проходят, а аргумент "вы просто не умеете их готовить" никуда не девается.
Отвечу — устройство, предназначеннное не для профессионалов (а именно к этой категории относятся электрочайники, скороварки, стиральные машинки, умные колонки и домашние роутеры) должны с завода быть настроены так, чтобы быть безопасными. В них должно быть закрыто всё или почти всё, что не нужно обычному потребителю.
> На Микротиках TR-069 не стоит по умолчанию
Ну там Winbox стоит(ял) по умолчанию, нет?
Супер! Спасибо.
10-мегабитные коммутаторы существовали еще в начале-середине 90-х. Правда, стоимость такого коммутатора в те времена была примерно равна стоимости 100-мегабитного хаба.
С изумлением обнаружил, что в столь подробной и детальной статье автор совершенно оставил без внимания тот момент, когда логическая (подчеркиваю) топология сети из "шины" превратилась в "звезду". И то, чем отличается хаб от свитча/коммутатора. Как следствие, не упомянуто то обстоятельство, что полный дуплекс в шинной топологии (по крайней мере в те времена, когда он появился) был невозможен.
Не упомянуты, как будто их совсем не существовало, такие понятия, как CSMA/CD и домен коллизий. Не проговорено, что физическая топология "звезда" в StarLAN (и 10Base-T) предпологала, тем не менее, логическую топология "шина" — ровно тем же способом, что и предшествующие коаксиальные варианты.
А ведь это принципиальные моменты, фундамент, так сказать. Обескуражен, если честно.
P.S. Впрочем, выше в комментах на это тоже обратили внимание.
Спасибо за zset — сообразил как через него сделать одну нужную мне штуку. Прям в тютельку.
...и номеров было мало ;) И набирали их вручную, поэтому и помнили.
ChatGPT прекрасно пишет код с уязвимостями типа "SQL injection". Просто замечательно пишет.
Следуя вашей логике, в автомобиле 2 стоп-крана — педаль газа и педаль тормоза. Только на одну надо нажать, а другую — отпустить. И ни в коем случае не перепутать.
P.S. А, и третий тоже есть — собственно, "ручник". ;)
P.P.S. И четвертый — ключ зажигания.
В заголовке: "Учёные предлагают ввести единый часовой пояс для Луны".
В тексте: "На недавней встрече в Нидерландах представители космических организаций".
Еще в тексте: "сказал инженер навигационных систем".
Снова в тексте: "объясняет Бернхард Хуфенбах, руководитель отдела стратегического планирования ЕКА"
Где же учёные? Их дальше заголовка не пустили? Это фейс-контроль такой, да?
По собственной. Для "за деньги" там избыток технических подробностей.
Deleted
Да ладно, уймись.