Názory k článku Postřehy z bezpečnosti: chyba routerů TP-Link umožňuje ovládnutí z WAN

Opět založeno na otevřeném management rozhraní do WAN. Jak unikátní.....

O to je to uzasnejsi pokud vam ven do internetu cumi management port ktery nejde zakazat/zablokovat fw a diky vasemu uzasnemu operatorovi (Vodafone) nemuzete ani vymenit zarizeni nebo flashnout firmware (B2368). O provisioningu jiz opraveneho firmware ze strany operatora nemluve.

2. 5. 2023, 10:57 editováno autorem komentáře

Věci tzv. "chytré domácnosti" jsou esenciální zlo usnadňující strategii "You'll own nothing and be happy". Je třeba víc útoků, víc kompromitací a ukončených podpor (viz čerstvé ukončení Amazon Halo), aby se i BFU konečně poučili a přestali "chytré" nesmysly kupovat (tak hojně, jako dosud).

A ano, s tím TPLinkem... nejradši mám ty modely, na kterých běží OpenWRT :) A ani ty nevystavuju do internetu.

Naopak díky tomu, jak jsou ty věci děravé, tak se lidi můžou ujmout jejich kontroly výrobci navzdory. Když to výrobce udělá „pořádně a bezpečně“, tak to teprve bude "You'll own nothing and be happy".

A kdo to dělá “pořádně a bezpečně”? Apple třeba?

Ano, dokonce jsem přemýšlel, že iPhone dám do svého komentáře jako příklad.

Tomu ale brani EU ktera chce sideloading pro vsechny. Takze za chvili bude patrne uplne bezny malware na iphonech…

Ono samo o sobě TP-Link provozovat je fušerství... zlatý ASUS...

Co je na tom za fušérství? prostě před něj dám linuxový firewall a neřeším. Stačí něco malého typu maliny. Mně zase jako to fušérství přijde ASUS a ještě víc mi jako fušérství přijde připojovat JAKÉKOLIV takovéto zařízení přímo do WAN.

Tohle mě trochu přípomíná komentář paní Pohlové "Já bych všechny ty internety a počítače zakázala". To že nerozumíte tomu v čem je chytrá domácnost výhodná a proč si ji pořídit neznamená že o tom musíte všude psát :-) Samozřejmně to je ale další zařízení, které vyžaduje péči... Jak od výrobce tak od uživatele.
Imho, pokud jste zkušenější uživatel, můžete jít do výrobců kteří stavějí své produkty na opensource a starat se o to sám.

Nejdulezitejsi vlastnost pri vyberu teto kategorii routeru je, jesli do nej lze nacpat OpenWRT. Spolehat se, ze by vlastni firmware nejakou nahodou sam vyrobce udelal poradne a pak dusledne nekolik let proaktivne sledoval zranitelnosti je proste naivni.
Presto zadne eshop nema zaskrtavatko na vyber routeru s OpenWRT podporou. Skoda.

Tak dá se jít opačnou cestou, tj najít si podporované zařízení na wiki openwrt a pak si ho koupit. A můžete si zkontrolovat i to, jaké verze HW jsou podporovány. Někdy je třeba Router123 HW.ver1 s plnou podprorou openwrt, ale Router123 HW.ver2 totálně nepodporovaný a dokud ho nerozeberete tak to ani nezjistíte:( Tohle vám žádný eshop sledovat nebude, když imho 90% zákazníků ani neví, co je to OpenWrt?

Třeba takový ASUS má velkou podporu v OpenWRT, jelikož částečně je ASUSWRT.
Jinak výrobce routerů má cíl vydělat... tudíž nepotřebuje mít nově aktulizované zářízení a tím být tudíž aktuální.. OpenWRT prostě postupně roste....
Takový TP-Link má v OpenWRT víceméně podporu tam, kde je microtik v nějaké části.

Tak Asus so svoim AsusWRT sa dost zlepsil(aj vdaka komunite). Mam napriklad Asus DSL-AC52U VDSL router. Vydany tusim 04/2016. Posledny update dostal v Septembri minuleho roku.
V tomto smere aj EU podnika urcite kroky.

Nebo mikrotik. Pokud zvladnete OpenWRT, zvladnete RouterOS. Bonusem je podpora toho konkretniho kusu hardwaru.
Mne v teto kategorii nedava smysl hledat podle podpory OpenWRT. Ale otevrene webove rozhrani ma WAN v defaultu je fail.
Schvalne, je poptavka po znacce, ktera by dala (treba skrz pojistovnu) na sva zarizeni garanci, ze takhle pitoma chyba tam nebude? Existuje vubec neco takoveho?

U svých domácích routerů jsem prošel, nepočítám-li bazarové PC s Mandrake Linuxem, od Asusů (s Olegovým firmware) k TP-Linkům (s OpenWRT), s drobnými odbočkami a zastávkami u jiných strojů (včetně Mikrotiku).
Ale asi jediné, které mají IMHO slušnou podporu a aktualizace, jsou Synology a Turris.

Ocekavani, ze si BFU bude zarizeni (jakekoli) flashovat a vubec zkoumat jaky firmware ma ci nema, je naivni mnohem vice.

Proto ho k tomu jako dodavatel technologii radi donutime v prvni fazi jednani nez dojde k jednani dalsimu.

Pokud to tedy neni instituce typu zmlknete a vemte si moje penize, zeleni spuntovkari nebo "sousedka s dalekohledem".

U toho WordPress pluginu mě zaujaly statistiky s výrazně rostoucími počty stažení - tipnu si, že za těmi staženími jsou roboti, kteří se navíc snaží protlačit plugin ve statistikách nahoru a dostat ho tak k více ovečkám

Není to z té zprávy zřejmé, že to jsou ti útočníci, co si instalují zadní vrátka?

Je velká škoda, že podobná bulvární zprávička nevyšla, když NIC v rámci své aktualizace otevřel webové rozhraní svých routerů Turris volně do Internetu. Nebyla vyžadována žádné přihlášení rovnou při zadání veřejné adresy otevřelo administrativní rozhraní, utočník si mohl prohlédnout celé nastavení a stáhnout certifikáty OpenVPN. Jediným řešením, byl fyzický restart routeru, který "zprovoznil" updater a následně došlo k nápravě. Po tomto incidentu letěl Turris z domu...

Ale vyšla...

Proč bulvární?

tak o tomto faux pas som teda nepocul ... kde bolo o tom pisane nieco viacej?

https://gitlab.nic.cz/turris/os/packages/-/issues/859

Fakt jsem si myslel, že tu o tom byla zprávička, ale nemůžu ji najít.

https://twitter.com/fissie/status/1582841828453539840?s=20

2. 5. 2023, 22:53 editováno autorem komentáře

Postrehy z bezpecnosti o tom psaly...
https://www.root.cz/clanky/postrehy-z-bezpecnosti-e-mail-by-chtel-spoustet-kod/

Je tam i odkaz na detailni vyjadreni k incidentu...
https://forum.turris.cz/t/turris-os-6-0-aftermath/17933