Vlákno názorů k článku Nenechavý router botnet útočí na Ubiquiti airRouter od fe - Hlavně by si to měli přečíst poskytovatelé Internetu,...

Hlavně by si to měli přečíst poskytovatelé Internetu, kteří zákazníkovi dodají zamčený AP (případně zamknou AP vlastněný zákazníkem) a nestarají se o aktualizace firmware a myslí si, že je to OK. V poslední době se s takovýmito poskytovateli setkávám čím dál častěji – bohužel.

Jenže zákazník je BFU, a pokud se do toho dostane a zboří vám konfiguraci, bude nasraně volat, že to nejde. A zkuste si říct 500 za výjezd, přejde ke konkurenci. Já tohle řešení chápu.
BFU taky většinou nemá veřejku. A ti, co mají, se stávají snadnou kořistí.

Takový ISP si ale taky neuvědomuje (nebo uvědomuje, ale ignoruje) spoustu dalších mnohem větších bezpečnostních děr, třeba že telnetem skrz nešifrovanou wifi letí před pár skoků heslo ke switchi. No to heslo se používá všude, však ho zná jen pár vyvolených techniků, takže se ven přeci jen tak nedostane.
Stačí se pohybovat poblíž vysílače s telefonem, a máte ho.

Zamknout router vlastněný zákazníkem, pro to už nenajdu žádný argument. To je sviňárna. Po mně zase kdysi chtěli přístupové údaje k mému routeru, aby "mohli ověřit, že v síti nemáme víc počítačů, a nesdílíme to." Víc počítačů samozřejmě bylo, sdílení konektivity ne. Nakonfigorval jsem to nějak, dal jsem jim přístup, po týdnu konfiguraci i s heslem smazal, a udělal si to podle svých představ. Naštěstí už do toho nikdy víc lézt nechtěli.

Jenže já jako zákazník mám fyzický přístup k AP, čili nabourat se přes seriovou (USB) konzoli do Mikrotiku nebo Ubiquiti je otázka minut. Heslo konkrétně z Mikrotiku dešifrovat pomocí online dešifrátoru a rozšířit tak někomu slovník pro bruteforce útok. Ve výsledku je tak zamykání klientova HW spíše vysoce nebezpečné než bezpečné.

To jednak.
A jednak zrovna Mikrotik nebo Ubiquity není běžný uživatelským routerem. S routerem z článku jsem se nikdy nepotkal, vím, že se takové věci prodávají, a tak na ně existuje poptávka, ale že by to rozdával ISP?
ISP vám dá "anténu", ze které stejně povede kabel do wifi routeru, BFU ví maximálně to. Byla by zajímavá statistika, kolik lidí si myslí, že když UTP kabel zapojí do satelitní antény, druhým satelitem ho můžou zase vyvést do UTP a používat to jako ethernet bridge :-D
No a krásně se v ČR rozjíždí OpenWRT na TP-Link pro ISP na míru, to útok značně komplikuje.