Názory k článku Postřehy z bezpečnosti: e-mail by chtěl spouštět kód

Turrisy byly poté naprosto vystaveny do internetu, stejně jako jejich webová administrace. K přístupu do webové administrace reForis navíc nebylo nutné ani přihlášení.
A přitom pořád tolik řečí o bezpečnosti ...

Jouda: Chyby se stávají a určitě je děláte i vy... Pokud daná firma dokáže rychle reagovat a přikročit k opatření, aby k tomu již znovu nedošlo. Je z mého pohledu všechno v pořádku.

Fakt že Foris bol prístupný z vonku, len preto, že nebežala autentizačná služba, je znepokojujúci, a poukazuje na potenciálne architektonické chyby. Rýchla reakcia firmy je len slabou útechou. Je to taký ten klasický "We take security seriously".

CZNICu som síce od začiatku fandil, čo sa Turrisu týka, ale pripadá mi že sa už roky nevedia vymotať z nejakej divnej testovacej fázy. Najskôr nefunkčná 5Ghz wifi, potom miesto pridávania features do Foris, jeho (ne)kompletný rewrite - tým pádom boli na routeri tri rôzne webové GUI, každé zo subsetom možností oproti ostatným. A teraz tento kix s upgradom.

Na jednu stranu chápem, že udržiavať plnotučné distro typu openwrt je niečo iné ako udržiavať minimalistický in-house vyvíjaný firmware, ale to zákazníka nezaujíma.

Našťastie som Turris pred nedávnom dočasne vyradil z prevádzky, no teraz uvažujem, či ho vôbec vrátim späť.

Problemy s wifi jde pochopit. To jsou proste problemy s Atheros chipsety versus linuxove ovladace, se kterymi byly nejake problemy vzdycky. Ono najit wifi chipset, co bezi bez problemu pod Linuxem proste problem je. A o tom, jak funguji ovladace pro novy HW v Linuxu se obecne daji popsat stohy papiru. S tim se budete prat vsude a vzdycky.

OpenWRT neni plnotucne distro. Je to naopak osekane distro silne optimalizovane na krabicky s malo systemovymi zdroji (mala flash, malo RAM). Takze spousta veci tam je proste... resena dost minimalisticky. Na HW, ktery od pocatku Turris ma to dle meho nazoru byla spatna volba (ale chapu, ze ted uz se to meni tezce). Samotny HW (mysleno predevsim zakladni board) je navrzeny pekne... a ostatne tam neni problem nasadit treba cisty Debian.

Tohle je fakt malér. Kdyby po aktualizaci nefungoval, ok, stane se. Ale že se vystaví úplně "nahý" ven, to je prostě nepřípustné.

Je to chyba architektury celého systému. Musí tam být nějaká zpětná kontrola aplikace firewallových pravidel na management a bez ní se interface managementu pustí jen do lokální sítě.

Chyby se stavaji, o tom zadna. Ale: Neni to prvni jejich pruser a dle jejich vyjadreni jsou automatizovane testy poustene rucne a jenom par lidi vi jak je pustit. Takze se z predchozich pruseru proste nepoucili.

A změna nebyla dopředu ani nijak komunikována. Já jako uživatel, který má router u rodičů a který nekouká na forum, jsem vůbec nevěděl, že se něco tak velkého chystá.
Turris se zkrátka nepoučil z chyb předchozích.

Osobně by mě zajímalo jak byste si tu komunikaci představoval. Zmiňovali to na několika konferencích, na fóru je první zmínka (po 5 vteřinovém hledání) 21. května, sám reForis píše že bude upgradovat fakt hodně balíků (tak by to měl být minimálně signál se podívat co se to sakra děje?). To byste si představoval aby posílali pro jistotu ještě haldu spamu? Nebo by měli každému telefonovat?

Tak si v Turrisu zapněte notifikace o nových verzích a informován budete.

Dlužno podotknout, že podle popisu to patrně nenačetlo ani NAT pravidla... takže u lidí, co byly jinak doma, k tomu restartu došlo alespoň poměrně dost rychle, protože "nefungoval internet" :-)

Zde se potvrzuje pravidlo, že když už se má udělat nějaký průser, tak ať je alespoň pořádný. Tím, že se zařízení úplně odstaví z provozu se často zabrání horším škodám, než provozováním defektivního zařízení.

Ano, v tom měli dle mého obrovskou kliku, že se zpřístupnilo vlastně jen rozhraní reForis, a i to s chybami. Navíc to poměrně promptně se záplatami řešili, takže v první chvíli raději router s nefunkčním firewallem úplně zavřeli, a jakmile byl znám spolehlivý workaround (restart), tak jej provedli. V tom ta reakce na vzniklý problém byla ukázková.

V pripade reForrisu ani nebyl nutny restart celeho routeru. Stacilo restartovat lighttpd, do ktereho to overovani v nove verzi v ramci provadenych zmen posunuli. Proste ten webserver bezel se starym configem a za nim po upgrade scripty noveho reForrisu, co uz jen spolehal na to, ze komunikuje s prihlasenym uzivatelem. Ano, vyresili to rychle - ale tohle jsou zakladni veci, ktere by melo testovani zachytit (a migracni scripty osetrit).

Na Turris Mox A k dnešnímu dni stále nefunguje wifi, musí se ručně vracet na verzi 5.