Názory k článku Turris: Jak jsme si nechali nabořit router a jak to dopadlo
-
letec (neregistrovaný)
Obrovský dík klukům a holkám z tohohle projektu, že se touto náročnou ale důležitou prací zabývají. Ta zjištění jsou skutečně nepříjemná a každý takto odhalený zmetek (tentokrát z dílny Asusu) přispívá ke zvýšení bezpečnosti nás všech.
Ono totiž díra do domácí sítě je jistě nepříjemná, ale upřímně zrovna ti vlastníci těch napadených routerů moc "ohroženi" nejsou - o jejich data nikomu nejde. Ale jsou to tyhle routery, ze kterých se pak odpalují prodané útoky na větší ryby. Skoro si říkám, že kdyby se ty často cílené a zajímavé cíle mezi sebou domluvily a rozjely nějakej fond na sponzoring podobných výzkumně-bezpečnostních aktivit, tak je to vyjde k důsledku levněji, než pak hasit škody.
No a nebo jít cestou plné zodpovědnosti výrobce - natvrdo zažalovat výrobce z "ohrožování bezpečnosti na internetu". Pár takových prohraných soudů a pokut a oni by si výrobci rozmysleli pouštění takových zmetků do světa. (A nebo přestali vyrábět routery úplně. :D)
-
iop (neregistrovaný)
Chyby jsou to silene. Tipuji ze se jedna o dilo nějakého chudáka z exotické ciziny ktery netusil co cini a nikdo jeho dilo netestoval natouz bezpecnostne.
Problém vidim v tom ze výrobce nenese žádnou odpovědnost za chyby. Tak v rámci optimalizace nákladů najímá na práci co nejlevnější personál.
Dokud nebudou bezpečnostní problémy znamenat náklady pro výrobce software, situace se nezlepší.
-
M. (neregistrovaný)
Proč? Tohle se děje už roky, že se helso předává domů. To někoho ještě vzrušuje?
Vždyť tu máme i mobily, kdy když si pustím email klienta, v něm vyplním údaje pro přímý přístup k mailu POP3/IMA/SMTP, tak se nejprve kompletně pošlou výrobci mobilu (přes HTTPS), ze serverů výrobce proběhne kontrolní spojení, že jsou srpávně a teprve pak mobil je dovolí uložit a spojovat s epřímo.
Na otázku, proč to mobil neudělá přímo, ale takto údaje protečou přes výrobce je odpověď, že je to v rámci zlepšování služeb klientům. :-) -
Vy konstatujete fakt, že výrobce prodává výrobky, o kterých ví, že mají vadu, a navíc tuto vadu ani není schopen na vlastní náklady opravit. Já k tomu dodávám fakt, že pokud výrobce takový výrobek prodává spotřebiteli, porušuje tím zákony.
Odborná instalace je hezká věc, ale co to znamená? Má snad někde ASUS seznam certifikovaných odborníků, kteří ten router nainstalují? Navíc odborná instalace neřeší případ, kdy je po té objevena ve firmwaru bezpečnostní díra. Vymezení odpovědnosti je také hezká věc, ale výrobce se jím nemůže vyvléci ze záruky. To by mohl udělat jedině tak, že bude předem deklarovat, že výrobek má tu a tu vadu, a bude jej prodávat s odpovídající slevou.
Já s vámi souhlasím, že router na "živé" přípojce k veřejné síti vyžaduje správu. Jenže tak ho nemá výrobce prodávat jako samoobslužný. Když výrobce prodává samoobslužný router, který samoobslužbný není, mám plné právo si na výrobce stěžovat - a je to selhání výrobce i prodejce routeru.
Mám tady zrovna jednu krabici od webkamery D-Link, u routerů to bude určitě podobné. Je tam napsáno "easy home monitoring", dále je tam obrázek "Easy Install 1 Insert CD, 2 Run Wizard 3 Connect", česky pak na jiném místě "jednoduché nastavení a přístup ke kameře přes portál mydlink". O nějaké odborné instalaci nebo dokonce průběžné odborné správě tam není ani slovo.
-
rat (neregistrovaný)
Z článku kromě hromady balastu vyplývají pro BFU pouze dvě podstatné informace:
1) Zvykněte si, že router pro přípojku do internetu už v dnešní době není nic, co je bezpečné a "zdravé" si instalovat a zabezpečovat svépomocí, nebo pomocí Toníka studentíka odvedle. Kdo chce mít klid (že mu nehrozí bezpečnostní problém) a čisté svědomí (že jeho zařízení nebude působit problémy jiným), má svěřit výběr, instalaci a konfiguraci odborníkům, a zaplatit si ji jako pokročilou službu.
2) Zlaté pravidlo říká, že zařízení jako je router má dělat přesně jen to, co je třeba aby dělal, a ani kousek navíc. Je tedy naprosto absurdní, že jakýkoliv router má instalováno a spuštěno cosi jako "web management", telnet, uPnP a další obskurity, ještě ke všemu dostupné přes WAN rozhraní!
Takže si můžete vybrat - buďto si koupíte podivnou krabičku za pár stovek, a "nainstalujete" si ji sami - pak se ale vůbec ničemu nedivte a nestěžujte si, že výrobce krabičky "zapomněl" zprovoznit nějaké zázračné updatovací "klikátko".
Anebo se skutečně zeptáte někoho, kdo tomu rozumí, připlatíte si, a získáte jistotu nebo alespoň záruku.Což koneckonců (možná nevědomky) dovozuje v závěru i sám autor článku:
"Je to obecný problém zařízení, která nejsou pod přímým dohledem, a vzhledem k jejich ceně si výrobce často ani nemůže dovolit je donekonečna aktualizovat. " - toto tesat do kamene! -
V našem civilizačním okruhu se považuje za normální, že výrobce dodá to, co dodat slíbil, a pokud to má vady, na vlastní náklady je odstraní. V EU je to u spotřebitelských smluv zakotveno přímo v zákoně jako dvouletá záruční lhůta.
A přesně tenhle princip já aplikuju na ten router. Výrobce měl vyrobit a dodat takový router, který je bez vady. Pokud to nezvládl, je jeho starostí, aby to napravil. Neexistuje žádný důvod, proč bych si to měl opravovat svépomocí nebo za to někoho platit - je to chyba výrobce, ne moje, takže on má nést veškeré náklady, ne já. Ono už je u ostatních výrobků nespravedlivé to, že já musím trávit čas nějakou reklamací, musím např. objednat opraváře, pak si musím udělat čas v době, kdy přijde - úplně správně by tohle všechno měl výrobce proplatit. Zrovna v případě softwarové závady v routeru je to docela jednoduché, protože router se může opravit úplně sám, bez mého zásahu, nanejvýš si může vyžádat můj souhlas.
Ano, současné spotřební routery vyžadují správu odborníkem. (Přeborníkem v této taktice je Microsoft, který na lži, že jeho systém nemusíte spravovat, postavil svůj úspěch.) Ale to ještě neznamená, že je chyba v uživatelích - tak to mají výrobci jasně deklarovat, že jejich výrobek vyžaduje odbornou správu, a třeba na to správce certifikovat. (Zde to opět dotáhl k absurdní dokonalosti Microsoft - na jednu stranu tvrdí, že jeho systém nepotřebuje žádné správce, na druhou stranu poskytuje tunu certifikací pro správce.)
-
rat (neregistrovaný)
Naprosto přesné a výstižné. Jenomže český BFU si představuje, že si koupí koncové zařízení za 150 Kč, které si sám "nainstaluje" a "nakonfiguruje", a o zbytek se mu bude starat nejméně po deset následujících let tým špičkových odborníků na straně výrobce, a to vše samozřejmě zdarma, aby se BFU mohl cítit bezpečně a "v suchu". Bohužel...
-
Erm.... náročnou, ale důležitou? Tak "kluci a holky" objevili 1,5 roku známou díru v routerech, která je opatchovaná a "jediné" co nezafungovalo je vyhledávání patchů přímo z routeru.
Nicméně moc díky Lupě za zveřejňování takových článků, je dobře, když si lidi budou uvědomovat že i ty nevinné krabičky jim můžou přidělat dost starostí. A rozhodně bych netvrdil, že o data lidí za krabičkami nejde. Ale dokud taková reportáž nebude na Nově/Primě, stejně se nic nestane. -
Nevím, jaké distribuce používáte vy profesionálové. Ale distribuce, které používáme my laikové (Debian, RedHat/Fedora, Ubuntu, Gentoo, ArchLinux, Slax, SUSE/OpenSUSE) používají balíčkovací systém, kde si správce snadno vypíše seznam aktualizovaných balíčků a jedním příkazem je nainstaluje. Opravdu nemusí informace o aktualizacích shánět pomocí Googlu a pak je instalovat bůhvíjak. Nás laiky totiž nikdo nebude platit za to, abychom hodiny hledali aktualizace a instalovali je, když to jde s pomocí balíčkovacího systému udělat dvěma příkazy.
My laikové taky na tahle domácí zařízení vystavená do internetu instalujeme aktualizace hned, jak vyjdou, ideálně pokud je možné nastavit, aby se instalovaly automaticky. Protože kdybychom čekali, až se nad tou aktualizací hluboce zamyslíme a po pár týdnech odborně prohlásíme "OK, nainstalujeme to", bude ten router už dávno napadený.
Pro nás laiky je domácí router stroj na perimetru, který je v přímém kontaktu s nebezpečným venkovním světem. Ale bohužel se vzhledem k současnému počtu domácích internetových přípojek zdá velmi nepravděpodobné, že by se o každou domácí přípojku mohl starat tým odborníků, kteří budou aktualizace routeru shánět Googlem, pak je nainstalují v laboratoři a budou několik týdnů zkoumat, a mezi tím budou děravý router bránit vlastním tělem.
-
Ale on je na tom ASUSu defaultně ten firewall zapnutý. A management z LAN nepřístupný. Takže ten váš BFU si musí firewall aktivně vypnout aby celá ta sranda s hackováním fungovala. Navíc každý i nejlevnější router dnes ma aktivně zapnuto šifrování wifi a opět musíte vykonat poměrně dost aktivity na to abyste ho vypnuli.
-
Neopravil. Když funkce pro aktualizaci, která je v tom routeru implementovaná, tu opravu nedokáže najít a nainstalovat, není to opravené. Výrobce to opravil částečně, a pokud někdo chce, má na to znalosti a chce se tomu věnovat, může tu opravu dokončit za něj. To je jako kdyby vám opravář opravil pračku tak, že vám podá těsnění s tím, že vyměnit si to už máte sám.
-
Hlavně, že ty jsi takový odborník, že v každé diskusi v rámci jednoho příspěvku vyprodukuješ diplomovou práci ...
Dle tvého tedy můžeme vše uzavřít se slovy "to se stává", zrušit novináře, publicisty, diskuse ... stejně nenaděláme nic a dělají to tak všichni.
Mimochodem bych rád znal někoho, kdo se vyzná ve všech výrobcích této kategorie. Možná bych si ho najal, aby se o ty routery staral.
-
Jenže protékající pračky si všimnu i jako BFU, který o praní neví vůbec nic ... Zneužitého routeru si nemusím všimnout ani pokud o tom dost vím.
Pokud výrobce velikosti ASUS nedokáže udržet funkčnost aktualizačního serveru i pro starší zařízení, tak to se omlouvat prostě nedá.
Zveřejnit heslo v kódu stránky WEB GUI se omluvit také nedá.
Možná dokážu omluvit dostupnost GUI z WAN při zakázaném firewallu. Čekal bych sice, že to tam bude zmíněno, ale budiž.
Firewall na těchto krabičkách zakazuje kdekdo - když zjistí, že přes to blbě funguje jeho oblíbená online hra a vypnutí je zadarmo.
-
Nox (neregistrovaný)
Bohuzel, v realu vetsina domacnosti nema na to, aby dala nekolik tisic za router nebo si platila odbornika za podobne castky. Jinak router si vetsina BFU stejne nenastavi a musi to delat nekdo alespon se zaklady sitariny, byt to z nej nedela odbornika.
I v jinych oborech se v tom lide stouraji, vzhledem k caste nekvalite prace napr. remeslniku obcas uspesneji nez ti, co se tim zivi. -
To, že vy někomu radíte, ať si k internetovému připojení za 300 Kč měsíčně ještě zaplatí odborníka minimálně za 1000 Kč měsíčně, který mu to bude spravovat (ano, vím, že takto jste to nikdy nenapsal), ovšem neřeší ten problém stovek tisíc nainstalovaných routerů, o které se nikdo nestará.
Na tom, že si uživatel vybere, koupí a provozuje sám zařízení připojené do sítě, nevidím nic špatného. Akorát se o to zařízení musí starat někdo jiný, výrobce nebo distributor. Funguje to tak více či méně u chytrých telefonů nebo tabletů, funguje to tak třeba u Turrisu. U těch chytrých telefonů a tabletů to nejhůř funguje tam, kde se o to výrobce nebo distributor stará málo - bohužel proto, že rádobyodborníci šíří pověru, že to, že se o to stará výrobce/distributor je špatně a má se o to starat sám uživatel (a úspěšně tak pokračují v šíření téhle Microsoftí lži).
Já nikomu samoobslužný router nedoporučuju, ale trvám na tom, že když výrobce něco jako samoobslužný router nabízí, tak to také má být samoobslužné.
Mimochodem, to, že webové rozhraní hlásí, že je firmware aktuální, i když to není pravda, by nevyřešilo ani najmout si na správu odborníka. Protože ani ten by nepředpokládal, že to webové rozhraní kecá. Pokud by u každého routeru ten odborník měl hledat na webu, zda náhodou pro daný router není nějaká známá bezpečnostní díra nebo nový tajný firmware, nestál by tisíc měsíčně, ale řádově víc. A pokud by ten odborník nespravoval kdejaký router za tři stovky, ale pouze svá řešení, neexistoval by tu trh s těmito routery. Jenže popis reality je bohužel takový, že nebezpečné routery se prodávají, a to tak že hodně.
-
To klikátko ve webovém rozhraní má mnohem větší šanci nalézt tu správnou aktualizaci, než "odborník" který to bude hledat někde na Googlu. Navíc to klikátko by mělo ty aktualizace kontrolovat pravidelně, není důvod, aby tím ztrácel čas skutečný odborník. Dobře to funguje v linuxových distribucích, kde máte správce balíčků, který aktualizace kontroluje sám a v ideálním případě je i nainstaluje. Jiné systémy se snaží více či méně úspěšně tenhle systém distribuce software napodobit.
Možná vás to jako laika překvapí, ale zcela běžně jsou v praxi najímáni lidé na bezpečnostní analýzy hraničních zařízení, a hledání, testování a nasazování nových verzí firmware je běžnou náplní práce IT odborníků ve všech oborech.
V tom případě jsem opravdu laik, protože pro připojení domácnosti se dvěma počítači k internetu dělat penetrační testy routeru by mne opravdu nikdy nenapadlo.Kdyby ta zařízení ve vnitřní síti za něco stála a spravovali je odborníci, jak tady pořád prosazujete, nepotřebujete žádné hraniční zařízení, protože ta zařízení ve vnitřní síti by klidně mohla být vystavena na internetu. Druhá úroveň zabezpečení by v domácích sítích vůbec neměla být potřeba, zvlášť když nikdo ani nedokáže nadefinovat, jaká by měla být pravidla pro přístup do té vnitřní sítě ("no ale vlastně bych se někdy chtěl k těm dokumentům dostat když jsem třeba na dovolené"). Ono tedy ve skutečnosti by vzhledem k úrovni zabezpečení těch routerů měla být ta zařízení ve vnitřní síti považována za vystavená na internetu už dnes.
-
E-Ryc (neregistrovaný)
IPv4 adresy dochazely uz pred skoro 20 lety, kdyz jsem zacinal vysokou a verim, ze tu jeste chvili budou.
A co se tyce NATu, nenapada me zadna aktualni aplikace (s netrivialnim poctem uzivatelu), ktera by za nim nebezela. Mozna nejake multi hry, nevim...
To cele se samozrejme muze zmenit s masivnim nastupem internetu veci (uzivatel bude chtit kontrolovat lednicku primo, ne prostrednictvim serveru vyrobce). Ale to taky tak zhave nebude
-
fd (neregistrovaný)
Jiste, a take jim proto nic nefunguje a pokud maji libovolnou jinou moznost, prchaji pryc. Staci se porozhlednout, miliony dotazu proc nefunguje to ci ono a ve 100% pripadu je odpoved "protoze nemate internet".
Tyka se to veskere p2p komunikace, prakticky vsech IM, spousty her atd atd.
-
M. (neregistrovaný)
To nemá smysl znova točit, že CGN/NAT nemá sám o sobě ochrannou funkci. Nicméně řada těch ISPíku už tma nějaký základní firewall i u CGN má, takže takto otevřené routery jsou proti jednoduchému skenovacímu útoku z vnějšku odstíněné. Buďme rádi, že ISPíci
pokročili aspoň sem.
Že jde stále dělat snadno útoky z vnitřku jejich sítí, to ještě bude chvíli trvat, než to většinou pochopí... -
M. (neregistrovaný)
Už dneska je většina domácností za CGN u operátora. U malých totální většina a u O2 už to také 2 roky dělají a nezdá se, že by jim lidi utíákali. Zkrátka to lidi většinou neřeší a jdou jen po nejmenší ceně.
A ohledně té správy - ano, dneska už řada menších ISP dfělá správu routerů domácností v té ceně cca 300 Kč/měsíc jako svoji konkurenční výhodu! A kolikrát je problém je vyhnat, že nechci, aby mi na to sahali. :-)
Část jich to dělíá tak, že funkci home routeru dělají na své infrastruktuře a člověk má doma jen hub, případně tupé AP. Router je přesunut na krabici ISPíka. Když je to wifista, tak router někde centrální v baárku, co port to koncák a na jeho port je puštěno DHCP, NAT (někdy ne), ... Pokud je to jeden koncák, tak ta funkce je součástí koncového rádia a zákazník do toho nemá přístup. Na optice je to někdy dotažneo přes VLANy jako L2 až na hlavní router a teprve tak se to obsluhuje - občas je sranda koukat do routeru, kde je několik set VLAN, na každé DHCP server, ....
A pak jsou ti, co strkají lidem domů router, klasická malá krabička, dost často nějaký TPlink a pak ISPík řeší často jak provést downgrade firmware na verzi 2-3 roky zpět, aby mu snadno fungoval management přes WAN port, protože u nových to nějak zkomplikovali.... U tohoto je jen dobře, pokud je zákazník za CGN a jeho WAN domácí port je dostupný snadno jen ze sítě daného ISP. Opět koncák vůbec nemá přístup do routeru (ale jsou i tací střelci, a to subjekty velikosti kraj, kde ten domácí router je nezahelsován, takže se do něj dostane každý a aspoň si pak můžu sousedy přenastavit a přeházet jim wifiny tak, abych měl pro svoji pěkně volné místo)....
Takže ono je to dneska v tom našem rybníčku dosti složitější s tím, kdo co ne/dělá v tom minipaušálu (někteří s nadšením, někteří z donucení a neví jak z toho pryč). -
M. (neregistrovaný)
Takovou zkušenost u rezidentního segmentu nemám. Zkrátka při nabídce připojneí přes neveřejku (plus přesměrováno pár portů) za 250 Kč/měsíc a nebo s veřejkou, ale třeba o 150 Kč/měsíc dráž, tak si vleká část žadatleů to rozmyslí (ať už přechod k jinéme nebo zůstat a připaltit si). A to ještě minimálně polovina těch ISPíků si pod pojmem veřejná IP představuje, ž eudělá na své hlavní bráně NAT1:1 a v routeru mám stále neveřejku...
Něco málo zachrání kombo neveřjená IPv4 a k tomu blok IPv6, ale také moc po tom se neshání.
Jistě, stále je dost věcí, co s CGN mají problém. Největší je asi reálný u herních konzolí, kdy je problém, pokud chce spolu hrát víc hráčů a jsou za stjeným NATem. Nicméně u těch konzolí, např Xbox to řeší ta IPv6.
Těch utečenců kvůli veřejné IPv4 adrese, když to znamená zdražit, je zcela minimálně. Hlavně v případě menších měst, kde obvykle nejsou ISPíci, kteří dávají veřejku globálně v ceně, větěina těch okresního formátu je rádo, pokud má aspoň jedno Céčko na ten svůj houf oveček a tak s ním silně škudlí. Tady začíná platit, že kde nic není, tka ani smrt nebere a těch lokalit s levně dostupným ISPíkem automaticky dávající veřejku je už minimum. -
Ten, co tomu rozumí, musí vědět, že dnes nejde pořídit síťové zařízení, o které se nikdo nebude starat. Takže buď nějaký router klidně za pár stovek, ale pak se o něj musí starat někdo, kdo tomu rozumí, nebo něco jako Turris, kde se o to bude starat dodavatel - mimochodem, tohle by měli nabízet ISP jako bezpečnostní řešení, ne nějaké pochybné antiviry.
-
rat (neregistrovaný)
Dobrá - nechám vám vaší tezi o porušování zákona a vyvlékání se ze záruky, a přeji mnoho štěstí v soudním sporu, který jistě povedete - minimálně je vaší povinností jako občana nahlásit každý případ, kdy dochází k porušování platné legislativy. Tak směle do toho. O výsledku sporu nezapomeňte informovat.
Nicméně to jen zavádíte diskusi více a více do absurdity, a mimo původní téma - router si nemá co BFU vybírat, kupovat a "instalovat" sám, a pokud to udělá, tak pak si nemá vůbec na co stěžovat nebo nad čím brečet.
Tedy pokud p. Jirsák radí "kupte si samoobslužný router, a když se vám nebude jako samoobslužný zdát, tak jej reklamujte, nebo rovnou žalujte výrobce", tak já radím - zapomeňte, že něco jako router existuje, a oslovte odbornou firmu nebo jednotlivce, ať vám vaši přípojku k internetu vybaví a spravují. A pak vám může být jedno, jestli tam budete provozovat to či ono, a na jaké platformě - prostě vám to bude fungovat, bez starostí, nutností pohoršovat se v diskusích na Lupě, a za úplně zanedbatelných nákladů.
-
Těch dalších pár set napadených Asusů je důkaz, že nemáš pravdu.
Ono totiž bezpečnost by měla být nastavena už standardně, a ne, že si náhodou jeden ze 100 BFU uživatelů (což jsi ty) to nastaví dobře, a druhých 99 (kteří to prostě neumí, protože routery se dnes kupují jako housky na krámě, a vrchol vědění lidí, je u nich nastavit šifrování Wifi) budou mít vesele doma botnet...
-
Rat (neregistrovaný)
Nekolik tisic je naprosto adekvatni castka za funkcni a prijatelne bezpecne reseni s kontinuitou a zarukou supportu a update. A potom je uplne jedno, jakou platformu a jake reseni kdo zvoli, ale rozhodne se to neda delat tak, ze si BFU dojde koupit krabicku do Tesco a kouma nad tim doma sam.
Meritum veci je v tom, ze budto investujete nekolik tisicovek a pak vam pojmy jako LAN, WAN, firewall, telnet, port, NAT apod. nemusi vubec nic rikat a nemusite brecet nad kvalitou ci nekvalitou te ci one "zazracne krabicky", anebo to vyresite par stokorunami za krabicku a svepomoci, ale potom je jen a pouze vas problem, ze to nedela co delat ma, ze tomu nerozumite anebo ze to dokonce je relativne nebezpecne.
Zajimave je, ze v jinych oborech by nikoho ani nenapadlo stourat se v necem, cemu nerozumi, svepomoci, a bez problemu si za sluzbu zaplati, ale v teto oblasti se vsichni nepochopitelne a nelogicky snazi byt "sobestacni" a prijde jim divne platit za neco, co je prece "tak jednoduche"...
-
Rat (neregistrovaný)
Je mi líto, pane Jirsáku - vaše názory sice jinak respektuji, ale tady se pouštíte do evidentně úplně neznámého prostoru, ve kterém jenom spekulujete nebo vyjadřujete svá přání.
Já absolutně neřeším, co je a co není správné, nebo jak by co mělo asi tak být a není - konstatuji realitu. Pokud se vám podaří dosáhnout významné systémové změny, klobouk dolů před vámi, a všichni budou jistě rádi. Ovšem do té doby je třeba zůstat nohama na zemi.Ale můžeme udělat pokus - zakupte router například v některém velkém českém e-shopu, a až bude zjištěna bezpečnostní (nikoliv FUNKČNÍ) chyba v jeho software, zkuste ho dojít do toho e-shopu reklamovat. Pak se zkuste poradit s právníkem, jak na podobnou reklamaci nahlíží česká legislativa. Také občas pročtěte takové ty papíry, co jsou v krabici s elektronikou a dalšími věcmi ještě než je rovnou vyhodíte - v drtivé většině z nich najdete konstatování o odborné instalaci, spoustu varování, a také vymezení odpovědností.
To už ale ženete ad absurdum a uhýbáte od základního faktu, že router na "živé" přípojce k veřejné síti není rozhodně hračka pro děti ani pro kutily, a pokud ano, tak pak si jedni nebo druzí nemají vůbec na co stěžovat, natož cokoliv prezentovat jako selhání výrobce či prodejce routeru.
-
Dobrovolně to asi dělat nebudou. Buď to po nich musí chtít zákazníci (což by podle mne nastalo jedině tehdy, pokud by byl zákazník za tu svou přípojku zodpovědný), nebo pokud by za tu přípojku musel být zodpovědný ISP. A nebo, což mi připadá nejpravděpodobnější, se budou muset ISP postupně zapojovat do projektů, jako Fenix (akorát že aktivní neustále - protože bez toho budou jejich sítě neustále terčem útoků a jejich klienti se nedostanou k jiným zdrojům, které už v té chráněné síti budou), budou tedy muset určitým způsobem ručit za provoz ze své sítě a tohle bude jeden ze způsobů, jak to zařídit.
-
rat (neregistrovaný)
Ne, vy byste si odborníka nenajal proto, aby se vám "staral o ty routery", ale proto, aby vám navrhl a dodal řešení v oblasti bezpečnosti internetové přípojky, o které se by se posléze staral. Jak je to ostatně zcela běžné u vyšších technologických celků ve všech oborech.
Ano, máte pravdu - tento typ článků, a natož pak diskuse, je naprosto zbytečný pro laickou veřejnost, a je na úrovni vyvolávání paniky = tedy naprosto zbytečný.
-
Rat (neregistrovaný)
Nikdo, kdo to má v hlavě v pořádku a rozumí věci, se nebude nikdy spoléhat na žádné klikátko v tzv. "webovém rozhraní". Možná vás to jako laika překvapí, ale zcela běžně jsou v praxi najímáni lidé na bezpečnostní analýzy hraničních zařízení, a hledání, testování a nasazování nových verzí firmware je běžnou náplní práce IT odborníků ve všech oborech.
Nemá smysl tu řešit konkrétní sumy a jejich korelace, spokojme se s tím, že i zde platí staré známé konstatování, že za kvalitu a spolehlivost je prostě třeba si připlatit a svěřit ji odborníkům. Žádný výrobce nenabízí nic jako "samoobslužný router", protože toto spojení nedává smysl. Byť si může laik myslet opak.
-
rat (neregistrovaný)
No vás jako laika zatím nenapadly ani jiné, mnohem zřejmější věci, takže u penetračních testů se to dá pochopit.
Žádný odborník nedodá, neponese a nepřevezme odpovědnost za zařízení, které obsahuje cosi jako "klikátko" na získávání aktualizací, které jinou snadnou cestou opatřit nepůjdou. Tak se profesionální zařízení nechová a tedy pryč od něj.
Stejně tak se nejprve nějakého skutečného administrátora z praxe zeptejte, jak zachází s aktualizacemi OS na produkčních strojích, serverech zejména. Leda kaskadér nebo šílenec si nechá na cokoliv v produkci automaticky stahovat a instalovat jakékoliv aktualizace, záplaty nebo dokonce nové funkcionality, zvlášť pokud to nejsou stroje na perimetru, a tedy v přímém kontaktu s potenciálně nebezpečným venkovním světem. Nedělá se to ani u koncových stanic. I pro ty se například v Microsoft světě zřizují WSUS servery, každá aktualizace se nejprve izolovaně testuje, a až po důkladném otestování teprve pouští na všechny stroje. V linuxovém světě lze pak obdobného docílit používáním lokálních repositářů, do kterých se též aktualizované balíčky dostanou až po testování.
K tomu vašemu exkursu do linuxového světa - když pominu fakt, že mnoho distribucí ani nic jako balíčkovací systém nemá, tak vámi zmiňovaná funkcionalita se týká v podstatě výlučně desktopů, a nevím o nikom z praxe, kdo by ji měl v pracovních stanicích uživatelů povolenou - leda v kombinaci s výše uvedenými lokálními repositáři, ale i tak nepoužívanou v čistě automatizovaném režimu, ale spouštěnou ručně nebo dávkově.
Nechávat automaticky jakkoliv měnit SW vybavení jakéhokoliv produkčního zařízení jen z vůle dodavatele dotyčného SW je tedy nesmyslné riziko, které může svědčit pouze o neodbornosti, lenosti nebo lhostejnosti jeho správce. -
TIRO (neregistrovaný)
Asusů mám několik. Vzdálená správa se přes ně dá omezit na konkrétní IP dresu. Nebo ji zrušit a připojovat se na něj přes VPN. Pro mě jediná pointa. Celý proces včetně té prasárny byl nasimulován úmyslně zřejmě s cílem oslavovat Turris. Než si pořídit Turris a nechat si špiclovat domácí LAN, tak to raději Asus.
-
Jenda (neregistrovaný)
Nokia měla mail nějak podobně přes svoje servery. http://mobil.idnes.cz/microsoft-ukonci-nokia-messaging-services-f2c-/mob_nokia.aspx?c=A141118_132528_mob_nokia_vok
Další případ http://www.beneaththewaves.net/Projects/Motorola_Is_Listening.html
Přesně o tom co píše předřečník jsem ale neslyšel.
-
Rat (neregistrovaný)
Tak to se zaprvé pletete, a jen správně ilustrujete, že je lepší se nepouštět do řešení ani diskuse o něčem, o čem nevím buď vůbec nic, anebo jen mlhavě v obrysech tuším, anebo se mi nad tím nechce moc přemýšlet, chci s tím být "rychle hotový" - pračka vám nemusí protékat hned na podlahu, ale průsak se může vytvářet uvnitř pračky v místě, kam voda jinak nepatří, může to trvat i velmi dlouhou dobu, a průšvihem skončit až v momentě, kdy objem průsaku dosáhne nadkritického množství. Což je ostatně dobrá analogie i na ten router, kdy bezpečností chyba může trvat léta, a vy se do problémů dostanete až v momentě, kdy ji plošně někdo využije na nekalý účel, nebo prostě jen začne využívat vaši konektivitu tak "nadkritickým" způsobem, že vám z ní nic už nezbyde a nebude vám připojení fungovat.
Nicméně za druhé - proto já nemám metafory a příměry obecně rád, protože jsou v drtivé většině zavádějící, nepřesné a tendenční.
Jinak, to co popisujete, mohou a jsou obvykle jen softwarové chyby či přehmaty, kterých všechny softwarové a hardwarové firmy "vyprodukují" tucty každý den. A právě proto je dobré nepouštět se sám do nějakých operací, a najmout si raději někoho, kdo ví, zná a a umí.
Prskat pak tu na ASUS, tu na Zyxel, tam na D-Link nebo tuhle na Ovislink je naprosto zbytečné a úsměvné...
-
Tomáš Kapler (neregistrovaný)
A co takhle využít těch fondů a znalostí (a toho, že máte v baráku tlupu právníků) a výrobce zažalovat, pakliže neopraví aktualizaci (ostatně znamená to pro ně zkopírovat jeden soubor do správného adresáře, do kterého si ten router sahá)? Protože tady už vzniká škoda a výrobce je za ní zodpovědný.
-
Rat (neregistrovaný)
Ale jistě - Linux nebo FreeBSD, Mikrotik nebo OpenWRT-like box, klidně i Cisco SOHO 70 nebo 90 - jak je libo. Ale o možné alternativy tady ani tak nejde, jde spíše daleko více o to, že danou technologii musí opatřit, nainstalovat a spravovat někdo, kdo té technologii rozumí a umí s ní pracovat. Pak lze docílit velmi robustního a bezpečného řešení, aniž by BFU musel klikat někde na nějaké podivné tlačítko "Update" a myslet si, že tím bude zachráněn.
-
Tohle je trochu jiný scénář, heslo sice zbytečně putuje, ale jen k předem dané skupině subjektů. U těch routerů to ale odpovídá situaci, kdy by Vaše přihlašovací údaje byly předávány komukoliv, kdo Vám pošle mail. Přístup "Chce naprosto kdokoliv mé heslo? Stačí se zeptat." rozhodně moc rozšířený není.
-
Jo jo, donutili ASUS vyrobit firmware s takovouhle chybou, pak ho rozdistribuovali po celém světě, donutili 9000 majitelů vypnout firewall, aby se ta chyba projevila, a pak ještě hackli ASUSu servery, aby nefungovalo vyhledání nové verze firmwaru z webového rozhraní. A vy jste součástí toho spiknutí, protože pokud by někdo měl takové podezření, přečte si váš komentář a dojde mu, že je to kolosální pitomost, takže na své podezření rychle zapomene. Jenže já jsem vás teď odhalil.
Jinak když má kdokoli přístup k plné administraci toho ASUSu, může domácí LAN špiclovat také. Takže předpokládám, že jste to myslel tak, že jste pro rovné podmínky, a když už někdo může špiclovat vaši domácí LAN, tak ať to mohou dělat všichni.
-
Lol Phirae (neregistrovaný)
Mimochodem bych rád znal někoho, kdo se vyzná ve všech výrobcích této kategorie. Možná bych si ho najal, aby se o ty routery staral.
O to by se vám nikdy seriozní nestaral ani za peníze - pokud tam nejde flashnout DD-WRT, OpenWRT nebo něco podobného. Není to totiž možné. Jeden vedle druhého to jsou katastrofické zmetky s nulovou podporou výrobce. Za necelý rok označené za end-of-life, a na trh jde další zmetek se stejně dojebaným firmwarem, akorát s tím rozdílem, že obsahuje pár záplat na ty největší díry, o kterých zákazníci měsíce řvali.
-
Rat (neregistrovaný)
Tento komentar je mistrovska ukazka toho, jak se snazit budto prevest do metafory neco, cemu vubec nerozumim, anebo snahy svest BFU na falesnou stopu a obratit jejich neschopnost ve vztek na vyrobce krabicek, kteri ale za nic nemohou.
Spravne prirovnani totiz je, ze vyrobce vam prodal pracku s tesnenim, ktere proteka. O chybe byl informovan, analyzoval ji a zacal vyrabet a dodavat opravene tesneni. Ale uz neni jeho problem, zda se rozhodnete
, ze si tesneni dokazete zakoupit a vymenit sami svepomoci, zda si zaplatite servismana, ktery to umi a udela, nebo zda ho budete reklamovat u vaseho PRODEJCE a pozadovat ODBORNOU vymenu treba v ramci zaruky ci zvolite jinou cestu, napriklad celou pracku date na charitu a od dotycneho vyrobce si uz nikdy nic nekoupite.Nejake obskurni klikatko ve web managementu v tom nehraje zadnou roli, protoze jeho fungovani muze byt ovlivneno sto a jednou veci, pocinaje webovym prohlizecem, pres firewall (dotaz na update neprojde) az po prostou nedostupnost nove verze FW pres klikaci nastroj proste proto, ze vyrobce na svych strankach a ve svem newsletteru oznamil, ze to od jiste doby zacina delat jinak.
Zkuseny odbornik obvykle tohle vsechno vi a umi si s tim poradit - a BFU se do toho nema co "montovat". A kdyz to udela, tak si pak nemuze stezovat (leda u sebe), ze vlivem jeho neodborneho zasahu mu ta vase pracka vytopila byt a vsechna patra pod nim.
ČLÁNKY DO MAILU