Názory k článku Analýza: zranitelnost „rom-0“ postihuje 1,5 milionu domácích routerů
-
Tomáš Hlaváček (neregistrovaný)
Já to sice nechtěl původně rozmazávat, ale budiž...
Zkusil jsem stáhnout rom-0 a vyextrahovat hesla z asi ~1000 náhodně vybraných routerů. Z toho 30 mělo heslo "PortablePwned". A jedno z těch míň nápadných hesel (nějaká číselná kombinace, teď nevím která) se tam opakovalo 116x. Vícenásobě opakujících-se hesel bylo dohromady asi 300, takže z toho vzniklo tvrzení, že "30% routerů je napadených".
-
Tomáš Hlaváček (neregistrovaný)
No právě, tam je spousta boxů, co jen někdo otevřel a zjistil, že to je nějaká exotika a s OpenWRT nikterak nepokročil. :-(
Mám dojem, že opravdu slušně fungující OpenWRT s podporou ADSL2+ je jen na SoCech Lantiq, ale nikdy se mi nepovedlo dostat k tomuhle HW. A pokud jde o VDSL, tak mám pocit, že ani Lantiq ještě není funkční, i když se na tom snad pracuje.
Rád se nechám poučit: Máte tu někdo funkční instalaci OpenWRT na ADSL2+/VDSL2 routeru, pochopitelně s funkčním *DSL?
-
Richard Faila (neregistrovaný)
Nevím jestli se to úplně počítá, ale my máme DrayTek Vigor 2750n (http://www.draytek.cz/cz/vdsl-routery/346-vigor-2750n) VDSL funguje a když jsem se tam podíval před SSH, tak na mě vykouklo logo OpenWRT a co jsem se tam tak rozhlížel, tak se to i jako OpenWRT chovalo.
-
Filip JirsákStříbrný podporovatelCož ale řeší jenom zrovna tuhle chybu a jí podobné. I v softwaru zařízení, které bude přepnuté do bridge módu, může být taková chyba nebo backdoor, která umožní nějaký jiný útok. Pravda, pokud se budete moci spolehnout alespoň na DNS resolver v tom bezpečném routeru, budete na tom o něco lépe.
-
Martin (neregistrovaný)
Ano, funguje. Treba ponastavovat rozne veci ako napr. vymenit ANNEX A za ANNEX B. Je to stary DLInk DSL-G684T. Wifi nepouzitelna, driver uz nikto nevyvija a preto pozna max. WEP. Urcite lepsia alternativa ako sice novy, ale neopatchovatelny ZyXEL. ADSL2+ je od O2 CZ. Linka je pouzivana ako zalozna a je vceku stara, rychlost pripojenia 517/8195 ale touto rychlostou sa pripajal aj ZyXEL.
-
Na tom co napsal to nic nemění
Srovnejte si tu tabulku stím co je aktuálně na trhu. Podpora prehistorických ADSL routerů nikoho nevytrhne. Ten problém je aktuální a je třeba ho řešit pomocí aktuálního HW nebo SW.
Jedno jaký WRT opravdu naaktuální xDSL modemench a Docsis modemech\routerech nefunguje. Hlavně už vidím jak Franta uživatel demontuje mainboard a flasuje přes COM port nový firmware
-
hugochavez (neregistrovaný)
Cisco ma jine "delikatesy" ;o) http://news.hitb.org/node/34897 ale ten backdoor je "lawfull" takze se vlasten neni ceho bat........ :o)))) aneboi zeby preci?? http://news.softpedia.com/news/Cisco-quot-Concerned-quot-with-NSA-Building-Backdoors-Into-Its-Products-412777.shtml
http://www.jupiterbroadcasting.com/57397/nsa-collect-it-all-unfilter-97/ (sroluj dolu na ty slides) -
... (neregistrovaný)
Nekteri operatori (minimalne o jednom vim) to delaji takto. Beznemu BFU davaji IP adresu dynamicky dle potreb operatora a na takove adresy je zakazano navazovan IP spojeni. Pokud to nejakemu zakaznikovi vadi, muze si pozadat o tzv. statickou IP adresu (to muze byt zpoplatneno) a na tu zminene restrikce neplati. Zakaznik ma jako bonus vyzdy stejnou IP adresu a je na nem aby si ohlidal zarizeni co k tomu pripojuje.
-
Tomáš Hlaváček (neregistrovaný)
Přesně tak.
Ačkoliv *DSL modemy mají někdy více navázaných PVC pro různé služby (Internet, TV, VOIP...) a některý z nich může být v PPPoA/PPPoE mode a né v bridged mode. V různých zemích jsou vidět různé věci. U nás je, AFAIK, i O2 TV bridged. Každopádně se hodí zkontrolovat to, že aktivní je jen PVC pro internet a že ten je bridged.
-
hugochavez (neregistrovaný)
https://www.pfsense.org/ snad dokazes nainstalovat i z Ceska ne? a routovani to zvlada taky (RIP, OSPF, BGP....) staci si jen najit cas a trochu chtit.
-
Filip JirsákStříbrný podporovatel
Bude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Pokud by něčeho chtěl dosáhnout jeden koncový uživatel, nezmůže nic. Ale nevím o nikom v ČR, kdo by byl z tohoto pohledu v lepším postavení než CZ.NIC – uvažujete o nějakém spojení se zahraničními organizacemi, které se také zabývají bezpečností? Myslím, že by bylo správné teď se pokusit výrobce donutit alespoň k vydání záplaty a nějaké její propagaci.
-
Bude v tom CZ.NIC nějak pokračovat? Moc se mi nelíbí představa, že výrobci teď zjistí, že se jim nic nestalo a že pouze uvědomělejší uživatelé vyhodili staré routery a koupili nové, takže pro výrobce je to čistý zisk (a příště se postará, aby se svět o podobné zranitelnosti dozvěděl dřív, aby měli rychlejší obrátku zboží).
Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb. Myslici clovek zkusi neco od vyrobce, o jehoz vyrobcich neni znamo, ze by trpeli timto problemem.
Mam na siti Linksys, TP-Link a Netgear, ani jeden tim netrpi. Zda se, ze novejsi TP-Linky jsou take ciste, ale proc podporovat bastlire a nekoupit jinde?
-
Filip JirsákStříbrný podporovatel
Vzhledem k tomu, že tam ten samý systém cpou různí výrobci, moc to nepomůže. Navíc tady nejde jenom o tenhle jeden případ, který se provalil. Jde o princip, že výrobce bude ručit za bezpečnost svého zařízení, že na něj bude vydávat záplaty po dobu, kdy ho uživatelé používají, a to záplatování proběhne, aniž by uživatel musel sám sledovat, co má kde záplatovat. A v tomhle jsou na tom všichni výrobci stejně. Nebo ne?
-
Jeste jsem nevidel router, u ktereho by se vyrobce za neco zarucil, krome poruchy v dobe zaruky, k cemuz ho nuti zakon. Urcite pak se nezaruci za bezpecnost a za to, ze budou zaplatovat po dobu, po kterou ten jejich krap pouzivam. A automaticky update firmware jsem zatim videl jen u jednoho zarizeni od Netgear. Vsude jinde se to muselo pekne rucne stahnout a nahrat.
-
Filip JirsákStříbrný podporovatel
Ale to je právě potřeba změnit. Protože drtivá většina koncových uživatelů si to nemůže nijak ohlídat. A nemůžeme mít k internetu připojeny desítky milionů zařízení, které budou rozesílat spam, účastnit se DDoS útoků a umožňovat okrádat a vydírat uživatele. To by ten internet byl k ničemu.
-
Tak to jsem tedy ziskuchtivy, kdo a jak to zmeni. Ledaze by EU vyhlasila zakon a vyrobce by za kazdy modem skladal kauci, ktera by my byla vracena pri sesrotovani.
BTW, miliony zarizeni, ktere rozesilaji spam a DDoSuji, uz pripojene mame. Rika se tomu PS s Widlemi. Na tyto ucely jsou tato zarizeni mnohem vhodnejsi, nez nejake soho krabicky s nesourodym HW, mozna nekompatibilnimi verzemi OS, pomalym CPU a malo pameti. Neni nad to, kdyz muzete v malware vyuzit komfort vyssich programovacich jazyku, jako VB, Javascript... Usetri vam to patlani s kompilaci pro nezdokumentovany OS na MIPSu. Ovsem pro NSA jsou tyto soho krabicky bozskou mannou. Takze dnes, i kdyz jste za firewallem v soho pixle, mejte firewall i na kazdem stroji za ni. Poklud tedy na to nemate dedikovany stroj.
-
myslim, ze v dnesnom svete sa toto bude menit dost casto. princip vyroby cinskych SOHO (teda 99% krabiciek od uplne najlacnejsich az po uplne najdrahsie) zariadeni je v tom, ze v case, ked sa to cloveku dostane na trh, firma, ktora vyrobila povodny kremik, ho uz davno nepodporuje. firma, ktora osadila kremik na nejaky referencny design dosky zariadenia prave jeho vyrobu ukoncuje (cim pada podpora, pretoze jej vyvojove oddelenie sa uz sustredi na novy kremik vyssie uvedenej firmy). firma, ktora pre tento referencny design vytvorila SDK prave vydala poslednu verziu SDK, ktora tuto dosku bude podporovat (a aj tak nepodporuje vsetky jej funkcie a je polofunkcne) a firma, ktora to cele zaskatulkovala to predava ako brand new high performance zariadenie.
fakticky je to zariadenie v podstate obsolete uz v dobe, ked sa dostava na trh. pri troche stastia je postavene na SoC / referencnom designe, ktory nejaky ten cas vydrzi a pojde nanho zohnat nejake aktualizacie FW, obvykle toto ale nikto neriesi. cinania vydavaju SDK uplne hala bala sposobom tak, ze featury HW sa sem tam stavaju podporovane davno po tom, co uz dany HW nie je podporovany ako celok. a vyrobcom sa moc nechce buildovat ten isty software na povedzme 5tich roznych verziach SDK z ktorych kazde je opatchovane inou sadou hackov, pretoze im to par rokov po realnom skonceni predaja zariadenia nikto nezaplati. a dobre meno spolocnosti v dnesnej dobe tiez nic neznamena, ked prve a najdolezitejsie pri kupe zariadenia cez e-shop je zotriedit podla ceny, vzostupne.
-
Tomáš Hlaváček (neregistrovaný)
Ovšem, s tím vývojovým cyklem máte celkem pravdu i když tak dramatické to přece jen není. :-)
U těch routerů je navíc výhoda, že nepotřebují každých půl roku zdvojnásobit výkon, protože linky, na kterých sedí, se zrychlují jednou za pár let generační obměnou typu ADSL2+ -> VDSL2.
A model, který umožňuje dlouhodobou podporu a provoz starého HW tu máme - komunitní podporu OSS. U normálních počítačů to funguje skvěle. V mém okolí bylo poslední dobou několik domácích počítačů běžných uživatelů přeinstalováno z WinXP (když teď skončila podpora) na Ubuntu nebo LinuxMint a vyvolalo to opatrné nadšení a nebo tiché uspokojení. Opravdu. :-)
-
Tak máme rok 2014 a jaký je stav v routerech pro domácí použití?
Kolik jich má:...
-1000 Mbit switch a to i do WAN
-2.4 GHz a 5 GHz
-Nkovou Wifi na 300
-IPv6 i s firewalem
-podporu USB 2.0 nebo rovnou 3ku
-DLNA a uPNP atd...
Takže je pravda, že nepotřebují každých půl roku zdvojnásobit výkon. Není to jen o výkonu. Ale většina těch routerů technologický 5-10let stará. Takže jsou zralé na výměnu, už víc než před 2ma léty.
-
Lol Phirae (neregistrovaný)
- Gigabit do WAN? K čemu?
- N-ková wifi? Pán dělá marketing pro výrobce těch 300/600Mbps nesmyslů, co jsou reálně pomalejší než G?
- USB/DLNA - jo, to je terno, na těch krabicích to vytáhne až nějakejch 6MB/s, na ukládání dat vyloženě "ideální"
- UPnP? Ty tam těch bezpečnostních děr máš málo? -
Pavel (neregistrovaný)
Co z toho potřebuje 95% uživatel, který si tak přečte mejl, koukne na novinky a pustí nějaký porno? Odpovím vám - vůbec nic. Tak proč by si to měl pořizovat?
V okruhu mých (neprofesních) známých jsem za boha jen tím, že umím připojit k počítači televizi - i na to normální BFU kouká jako tele na nové vrata. Tak k čemu jim bude ta hromada zkratek, co jste tam napsal? Pro ně to jsou stejně jen nesmyslné shluky písmen.
-
j (neregistrovaný)
90% uzivatelu nic z toho co jsi jmenoval nepotrebuje, nebo o tom aspon nevi. A router, kterej by zvladal DLNA ... NEEXISTUJE - pokud tedy za router neprohlasis neco se 4jadrovou I5tkou, to pak jo. Protoze DLNA je predevsim o remuxu a rekompresi. Pokud tvoje zobrazovadlo umi ... je daleko vhodnejsi pouzit neco jinyho.
"Rychla" wifi je pak uplne stejna chimera ... PR zvast ... mel sem na stoje vedle sebe dve Gcka, konektly na 54mbit ... linksys takze zadnej vylozenej shit ... a dalo se z toho vyzdimat neco kolem 30Mbit ... halfduplex samo. Na zhruba kilak to dava neco kolem 5ti.
S Nkem je to presne totez, fyziku nevochcijes.
-
Lol Phirae (neregistrovaný)
A v příštích 14 dnech se bude upgradovat Comtrend. :)
To budou mít zákazníci radost. Zvlášt když se ten shit po každém upgradu resetne do defaultní konfigurace. Ale jinak už zbývá jen pár set tisíc zařízení, pro které žádný aktualizovaný FW neexistuje a bude to v cajku. :-P
-
Ne, netusim. Na Wikipedii pisi, ze to slouzi vzdalene sprave, ne updatu.
Nicmene vim, ze existuji zarizeni, ktera nejak jsou ISP na dalku updatovana. Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
To se netyka zarizeni, ktera si sam koupite v krame a popravde receno, si to dost dobre nedovedu predstavit. Predstavte si nejakeho velkeho vyrobce soho pixel, jak mu domu porad volaji modemy, aby mu rekli, kde jsou, protoze nejsou nekde na jedne siti, jako u ISP, ale jsou rozptyleny po tisicich sitich, casto i za nekolika NATy. A neni jich 20 tisic, ale 20 milionu nebo take 200 milionu. A chudak vyrobce to ma na dalku updatovat. A kdyz se nepovede, tak si zakaznik vleze do letadla, zaleti do Ciny a modem si necha vymenit, jako by zasel treba v Praze do pobocky O2, kdyz mu O2 updatem dokurvi modem.
Tak to uz si predstavuji spise to, co jsem videl v Netgearu: Ve web rozhrani kliknu na tlacitko pro vyhledani updatu firmware. Netgear si najde update a pak se snad i sam zupdatuje. O dost lepsi, nez jinde, kde clovek prehrabuje hafo souboru se skoro stejnymi nazvy na FTP serveru nejakeho bordelarskeho vyrobce a nikdy si nemuze byt na 100 % jisty, ze stahl spravny firmware a muze jen doufat, ze pokud ne, ma tam vyrobce nejakou kontrolu pro pripad omylu, protoze ne vzdy tomu tak je.
-
Lol Phirae (neregistrovaný)
Ovsem jedna se o zarizeni, ktera ISP dodava zakaznikum, casto s jeho vlastni verzi firmware, ktera je casto jakousi znacne dokurvenou verzi puvodniho firmware.
No vždyť. Co se týče DSL modemů vod kyslíků, tak se k nim obvykle výrobce vůbec nehlásí a tváří se, že nic takového nevyrábí. Ono při objednané odpadní konfiguraci (např. v rámci úspor vynechané antény na wifi) a celkově shitóznímu HW (víceméně odpad) se není co divit. No, a k tomu dodá na zakázku jednu verzi FW a tím obvykle padla. Když nastane velký průser, tak provider jednou za uherský rok zaplatí nový FW. Pokud se jedná o menší průsery, tak provider zákazníka vyfuckuje a když hodně otravuje, tak mu vrátí 1Kč za zařízení zaplacenou.
-
To asi mluvite o trochu jinych zarizenich. V tech cinckych krabickach nejake SSL asi nikdy nikdo nevidel. Krome toho vy mate par tisic zariceni, asi na siti, kterou znate a kterou jste si mozna i postavili a muzete modifikovat. Vyrobce krabicek by mel take miliony zarizeni, ruzne modely, ruzne HW revize a na vselijakych sitich, o kterych vi leda to, co se docte ve whois. Situace toho vyrobce je tedy ponekud jina.
-
Aha, wifi termostat. To kdyz nekdo potrebuje zmenit teplotu, tak se pres webove rozhrani vaseho serveru prihlasi do sveho uctu, tam si nastavi pozadovanou teplotu, eventuelne jeji prubeh v case, napriklad utlumeni za pul hodiny.... Vas server pak zavola termostatu vaseho zakaznika a nastavi teplotu. Vyhodou pak je, ze zakaznik nemusi zvednout prdel a jit otocit knoflikem nebo mackat cudliky.
Jinak kdyz byste se na ta zarizeni vykaslali a akorat davali updaty firmware na nejaky zaprasenymi pavucinami pokryty FTP server, tak byste asi docela katovali kosty, coz prave ti Cinani asi delaji. Ne, ze by to jinak neslo, ale o prachy jde az v prvni rade a nejakou firmu, ktera se za rok uz bude jmenovat jinak, to nezajima.
-
Kdysi byly doby, kdy se zařízení neptalo do nekonečna na změny konfigurace, ale naopak při změně konfigurace se kontaktovalo (jednou) to zařízení. Přijde mi úsměvné mluvit o úspoře trafficu za situace, kdy je ten traffic vyplýtván na neustálé zbytečné dotazy na server (nehledě na procesorový výkon).
-
j (neregistrovaný)
Vyrobce ti rad takovej support proda, zadnej problem ... na 5 let za 5x cenu HW ... beres? Zrovna mam pred sebou nabidku na prodlouzeni supportu na serveroveh HW ... za nejakych 50k/rok ... jelikoz se za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil ...
BTW: Automobilka by mohla rucit za auto dokud snim budu jezdit, beru ... s radosti ...
-
Lael Ophir (neregistrovaný)
Ad za 50k da ten HW koupit celej (jetej na ebay) tak nejsem magor abych to platil - když si koupíte podporu HW, za jak dlouho bude v případě HW problému ten server zaručeně znovu funkční? A za jak dlouho v případě že si objednáte přes ebay náhradní HW (pokud ho zrovna někdo bude nabízet)? A jak velké finanční a jiné ztráty přinese odstavení serveru na hodinu, den, týden?
Samotný poměr ceny jetého HW a ceny roční podpory nemá valnou vypovídací hodnotu.
-
Jenda (neregistrovaný)
„Jenze v takovem pripade si novy router od *stejneho* vyrobce koupi jen blb.“
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
„Mam na siti Linksys, TP-Link a Netgear.“
No to sis pomohl.
http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html
http://sekurak.pl/tp-link-httptftp-backdoor/ -
Lol Phirae (neregistrovaný)
No jo, ale co si mám koupit, když to mají úplně všichni výrobci? (možnost odpojit se od Internetu neberu)
Např.. Co si tam nainstaluješ je na tobě.
-
Petr M (neregistrovaný)
I bridge se musí nějak do toho bridge módu dostat, mít možnost upgrade FW, nastavení při změně ze strany poskytovatele... Takže na 100% na "něco" reagovat bude. Teď jde jenom o to, aby to "něco" fungovalo jenom po bezpečné lince, kde se to nedá napadnout (uvnitř routeru, router se zakázaným portem na to "něco" a nutností napřed rozlousknout router, který se zase musí dát konfigurovat jenom zevnitř z portu, který je blokovaný na všech strojích uvnitř sítě... atd.
-
Filip JirsákStříbrný podporovatel
Takže ta zranitelnost rom-0 vás netrápí, klidně budete router nebo modem s touto chybou provozovat (také tam nejsou žádné informace, ať už to znamená cokoli). Tady se ale řeší problém, že i bridge může klidně způsobit to samé, co způsobuje rom-0 zranitelnost (tedy únos DNS dotazů pocházejících z vnitřní sítě).
-
Tot otazka. V routeru/ADSL modemu mate DNS server. Tomu zmenite adresu vnejsiho serveru na podvodnou a jste v suchu.
V bridgi zadny DNS server nemate. Musel byste tam presmerovat provoz na DNS port na vas server. Umi to bridge nebo byste tam musel dohackovat vasi binarku, kterou byste horko tezko bastlil, protoze nezdokumentovanu OS a ktera by asi neprezila reboot?
-
Filip JirsákStříbrný podporovatel
Když ten router / DASL modem přepnete do bridge módu, ten DNS server tam nejspíš zůstane. A firewall, který umožní přesměrovat DNS pakety, v těch zařízeních také bývá.
Ty vaše námitky by platily tehdy, pokud byste měl ADSL modem nebo třeba WiFi klienta, který by na úrovni IP opravdu nic jiného než bridge neuměl (ani by neměl IP adresu). Takové zařízení byste dnes těžko sháněl, trend je spíš opačný, čím dál tím levnější switche mají IP…
-
j (neregistrovaný)
ono spis jde o to, ze pokud ten bridge i presto ze je to bridge bude na nejake prichozi pakety odpovidat a komunikovat, tak jej lze ovladnout ... a trebas ho donutit k uprave nejakych paketu - trebas prave DNS odpovedi.
A ze to delat nebude je spis otazka viry nez otazka reality ...
-
Petr M (neregistrovaný)
Otázka víry? To je spíš to, co se děje u ISP.
Když jsem u známých zkusil jenom tak ze srandy tracert, nestačil jsem se divit, kolik toho bylo po cestě, kolikrát se měnila IP adresa,... NAT v routeru, NAT v APčku pro připojení, NAT v APčku na straně poskytovatele, NAT na vstupu k poskytovateli,... Počítám cestou ještě další zařízení jako mail servery, managovaný switche,... Vechno to může být děravý.
Je fajn, když můj stroj je bezpečný a nedostanou se ven moje lokální data, ale prasárny u ISP člověk neovlivní. Ale pokud na agregované lince 1:10 visím s osmi zavirovanýma routerama od BFU a spustí to DDoS, tak jsem bez připojení i já, nebo mám minimálně omezený / zpomalený přístup... A pokud něco u ISP saturuje spoj do NIXu, je vymalováno.
-
hugochavez (neregistrovaný)
zas takovej blud to neni.......zalezi jakyho ISP si clovek vybere (a taky trochu v jaky zemi) -> https://parknet.dk/internet/ jen na vysvetleni 65dkr = cca 240kc/mes, za tu cenu je GARANTOVANYCH MINIMALNE 50/50Mbps PRO KAZDEHO uzivatele = ZADNA AGREGACE A PODOBNE nesmysly, lze vsak dosahnout i na rychlosti 80 ci 500Mb -zalezi podle bydliste. Cena je vzdy stejna= flat rate a mnozstvi prenesenych dat NENI NIJAK OMEZENO ci Xtra zpoplatneno. Ja mam standartne 95/95 a kolega z prace ma rovnou 1 Gbit :o) To co predvadej ISP v Cesku je saskarna za nekrestansky $.
-
Taky dobre. Ale aspon to je zadarmo, z elektrosrotu. ;-) Ale koukam, ze jedinou cestou je pouzit tyhle routery akorat tak jako adsl modem a za to si hodit linuxovy stroj jako router + nejakou jinou krabici jako AP. To je asi nejbezpecnejsi kombinace, co clovek muze mit, ale kdo do toho ma platit elektriku?
-
hugochavez (neregistrovaný)
http://securityaffairs.co/wordpress/20941/hacking/netgear-linkys-routers-backdoor.html udelali to jednou udelaji to znovu......... jen blb se spali 2x na tom samym
-
Filip JirsákStříbrný podporovatel
Jedině pokud jste si jistý, že na ten router nezaútočí žádný počítač ve vnitřní síti. Třeba přes webový prohlížeč.
-
Tomáš Hlaváček (neregistrovaný)
Ano... Ono je to celé takové babrání v historii. Nakonec původ všech těch firmwarů je nejasný, ale to jsem naznačoval opakovaně v článku. A platí, co jsem psal na konci: Uživatelé si představují životnost routerů jinak, než výrobci. Já měl donedávna doma taky modem/router z roku 2007, který neměl už pár let žádnou podporu. :-(
-
Nox (neregistrovaný)
Otazka je, jaka by ta zivotnost mela podle vyrobcu vlastne byt. Pochybuji, ze to nekde oficialne zminuji. A pokud ano, tak to bude asi naivni predstava jako "uzivateli, vymen vse 1x rocne". A kdo si to muze dovolit? Ted nemyslim jen router, ale i veskere ostatni zarizeni domacnosti tezko budu neustale menit, ucit se nove ovladani, atd.
Chtelo by to neco realne pouzitelneho pro neznale uzivatele i pro firmy. V pripade ADSL routeru, ktere dodava poskytovatel internetu by to mela byt starost firmy. -
Ondřej CaletkaZlatý podporovatelPrávě jsem se popsaným mechanizmem naboural do routeru jednoho známého, který si stěžoval na nefunkční Seznam a Google, opravil nastavení DNS a nastavil ACL, aby přístup z WAN nadále nebyl možný.
Možná by se taková oprava dala zautomatizovat :)
-
V. (neregistrovaný)
V principu stačilo, když jsem tohle potřeboval ošéfovat, tj. vypnout WAN přístup ... tohel mít v clipboardu ...
heslo_do_routeru
24
8
config edit firewall active no
config save firewall
exit
99heslo_do_routeru
24
8
config delete firewall set rule 8
config save firewall
exit
99těch 24 a 8 je příkazový řádek z menu ... bylo nutno upravit jedno pravidlo a zapnout firewall, občas se kousnul, když jsem to dělal tuším na zapnutém firewallu.
Pokud máte lokální přístup, tak se neni čeho bát, opravíte si to.
-
kdave (neregistrovaný)
http://www.gnucitizen.org/blog/router-hacking-challenge/#comment-115540
---
February 24, 2008 at 9:12 pmbtw guys, Kender has been working on a quite neat ZyXEL reverse
engineering project. He wrote a tool that allows you to read the admin
password from the config file (rom-0) in the clear, which is not possible by
default. Sweet!
---Sweet indeed.
-
Tomáš Hlaváček (neregistrovaný)
Záleží (asi) na verzi FW, ale nějaké HG520 jsem našel taky děravé, né ale přímo ten Váš typ. Konkrétně mám třeba tohle:
Product Name EchoLife HG520s
Physical Address xxxxxxxxxxxxx
Software Release V100R001B026
Firmware Release 3.7.9.98-1.0.7.0Takže: Zkuste to... Je to snadné a stačí na to prohlížeč.
-
j (neregistrovaný)
Treba proste nechce vyhazovat funkcni vec ... ja vim, vyrobce musi neskutecne srat, kdyz ma doma nekdo CRT telku uz 30let ... a porad mu funguje ... ;D, pravda, ted uz tak nejak polovicate a z naprosto udesnym vysledkem (ale tomu nova telka nepomuze, protoze holt 2Mbity/kanal ...jsou tak nejak podstatne min nez 5-8MHz analogu).
-
ebik (neregistrovaný)
Hádám, že pokud ano, tak za dost vysokou cenu. Poptávka po takovém zařízení bude téměř nulová, když můžete koupit levný modem s cdc-ether na usb, nastavit mu bridge mód, a máte prakticky stejnou funkcionalitu. Z venku by se na to měl dostat teoreticky jen váš ISP a tomu musíte beztak věřit (že není zkompromitovaný ani ten jeho konec DSL přípojky). Zevnitř to chce mít za tím skutečný zabezpečený router, který bude filtrovat provoz směřující z vnitřní sítě na IP toho modemu tak, aby neprošel nežádoucí paket z nějakého prohlížeče nebo flashe spuštěného ve vnitřní síti.
-
Ales Hakl (neregistrovaný)
Nasel jsem treba za 38GBP, coz mi neprijde jako uplne vysoka cena (cekal jsem o dost vyssi), Linux to pry podoporuje.
http://linitx.com/product/adsl2-pci-card-single-port-adsl-modem-annex-a/12181
-
me (neregistrovaný)
Pred par dny jsem zjistil, ze jeden moravsky ISP presmerovava veskere DNS dotazy na svuj interni DNS server. Je uplne jedno, co mate v routeru nakonfigurovano, DNS na portu 53, obslouzi server ISP, takovy "man in the middle attack".
Osobne se mi takovy napad nelibi, ale asi je to ochrana BFU proti utoku popsanemu v clanku.
Mozna ze je takovych ISP vice, ale presmerovani DNS se dost spatne detekuje, takze to uzivatel nemusi vedet a ISP takovou prasarnu neinzeruje a vetsine uzivatelu je to vlastne jedno.... Presmerovani lze zjistit, treba OpenDNS ma specialni stranku, ktera se zobrazi, pokud DNS zaznam neexistuje. Takze pokud nastavite na routeru DNS na OpenDNS, lze zjistit, zda je DNS presmerovane anebo ne. OpenDNS ma take peknou diagnostiku, detaily vcetne programu zde:
https://support.opendns.com/entries/21841580-Diagnostic-Tool-Link
Jinou moznosti detekce muze byt pouziti nejakeho exoticky DNS serveru, ktery podporuje "divne" TLD, treba OpenNIC.
DNScrypt take pomuze, ale zatim neni soucasti Linux distribuci...
http://www.opendns.com/about/innovations/dnscrypt/ -
Withy14 (neregistrovaný)
Znám jednoho takového poskytovale internetu, který, pokud nemáte jeho DNS, tak blokuje POP3 a SMTP (plus pár dalších věcí). Tak co je teď větší prasárna? I když je pravda, že kdyby mi můj hlavní poskytovatel (využívám bohužel jen sporadicky) tohle udělal, tak jdu od něj pryč.
-
Tak to by mne zajimalo, jak tohle udelat. Rekl bych, ze je to spis tak, ze nejak zapomneli publikovat adresy POP3 a SMTP a akorat si je natvrdo napsali do sveho DNS serveru. To byste mohl vyzkouset prikazem dig pres jejich server a pak pres jiny. Obejit by to slo asi pouzitim /etc/hosts nebo zapsani ip adresy natvrdo namisto jmena serveru. Tipoval bych, ze ten ISP je spis chlivak, nez svine a bastli to nekde v garazi na kolene. To neni vzdy ta nejlepsi metoda, tak nejak vznikl Microsoft.
-
me (neregistrovaný)
Pokud timto zpusobem ISP bojuje proti malware ktery meni DNS, tak je to efektivni reseni. Nicmene ISP by mel o teto skutecnosti informovat a pripadne umoznit uzivatelum na prani toto "vylepseni" vypnout. Take by bylo dobre mit nejaky whitelist DNS serveru, ktery by presmerovavany nebyly, ale nevim, jak je slozite takovou konfiguraci udelat.
Dobrym zpusobem jak muze koncovy uzivatel sveho ISP obejit je pouzit DNScrypt, ten jiz nabizi dlouhy seznam DNS serveru, ktere jej podporuji. Ale to znamane, ze musite mit lokalni PC na kterem pobezi DNS proxy. DNScrypt neni soucasti dnesnich Linuxovych distribuci a uz vubec jej nenajdete v SOHO routerech; ty ani neumi smerovat DNS dotazy na jiny port, coz by se take hodilo...
Kdyz tak nad tim premyslim, na trhu se treba jiz brzy objevi nova SOHO krabicka, bezpecny DNS server... ;-)
Taky me napadlo, ze se musim podivat, zda DNScrypt uz ma podporu od CZ.NIC. (https://labs.nic.cz/odvr/). Asi ne, ale pry je podpora na strane DNS serveru snadna, jen nejaky modul...
-
fe (neregistrovaný)
Jsem majitelem ADSL routeru Edimax, který obsahuje tuto "chybu" možnosti zkopírovat konfiguraci, avšak tak nějak jsem nenašel ve stáhnutém souboru ono administrátorské heslo. Pravděpodobně tam bude ve formě hashe, ale to by pak útočník musel rekonstruovat z hashe to heslo, nebo se mýlím?
-
Ondřej CaletkaZlatý podporovatel
Nebo je možné použít online dekodér, třeba zde:
http://198.61.167.113/zynos/ -
David1234 (neregistrovaný)
No a pro lamy s Windows je tu i Windows aplikace: http://www.hakim.ws/huawei/rom-0/
-
kdave (neregistrovaný)
> Pravděpodobně tam bude ve formě hashe, ale to by pak útočník musel
> rekonstruovat z hashe to heslo, nebo se mýlím?Neni to hash ale jen komprese LZS.
-
Lucnikonik (neregistrovaný)
dle mého názoru, podpořeného zkoumáním několika ks TP-Link ADSL routerů se domnívám s velkou jistotou, že tyto TP-Linky jsou na 100% jen přebalené Edimaxy - menu je identické s Edimaxem (běžné TP-Linky mají jiné menu) a druhak, měl jsem otevřené 3ks 8901ky a na desce bylo FCC ID, patřící Edimaxu, nikoli TP-Linku, 8951/8961 jsem ještě v ruce neměl, nemohu tedy soudit, nicméně tipuji, že to bude stejné
-
MikyB (neregistrovaný)
Po precitani clanku som vyskusal stiahnut subor podla zmieneneho linku v clanku a podarilo sa, takze moj modem obsahuje tuto zranitelnost? Je to
Huawei EchoLife HG520i
Software Release V100R001B020 TO2Proxy
Firmware Release 3.7.9.68-1.0.7.0
Batch Number UTC20P9.020.37968
Release Date 2008/07/03Upravil som nastavenie pre pristup z WAN a zmenil heslo pre istotu. Da sa este nieco okrem hodenia do popelnice? Necital som celu diskusiu.
-
potvrzuji zranitelnost svého: AirLive WT-2000ARM Turbo-G ADSL Routeru
i když jsem zamezil přístup administrace z internetu, tak rom-0 lze stále stáhnout. Takže moji konfiguraci si útočník stáhne, jenom se nezaloguje - pokud se tedy neobjeví další bezpečnostní problém..
nový firmware čekat nemůžu, je to už nepodporované zařízení.
-
flack (neregistrovaný)
Tak sa zda ze TP-LINK reaguje na tuto bezpecnostnu chybu. Pre spominany router TD-W8951ND existuje firmware s opravou rom-0 zranitelnosti + par dalsich fixov. Skoda len je ze oprava sa tyka len verzie V5 (http://www.tp-link.com/en/support/download/?model=TD-W8951ND&version=V5)
Ostatne verzie V1,V2,V4 zatial nic...a ja mam v rukach zrovna V4. Clanok by si mozno zasluzil tuto informaciu zverejnit.
ČLÁNKY DO MAILU