Názory k článku Postřehy z bezpečnosti: útok na Ubiquiti pohledem insidera

Taže Ubiquity si také mohu ze seznamu na nové domácí krabičky škrtnout.
Prakticky tam zase zbude jen Mikrotik, takže 200 let čekání na 6E. :-/

5. 4. 2021, 07:47 editováno autorem komentáře

Ono uz nejde do uap nahrat OpenWRT? To byla prvni vec, co jsem udelal hned po rozbaleni...

Chápu-li situaci dobře, tak pokud provozuji Unifi controller lokálně bez propojení na cloud, tak jsem v bezpečí. Cloud účet je nezbytný pouze pro nastavení UDM, pokud má člověk jen WiFi a switche, tak se bez něj lze obejít.

UBNT jede uplne v pohode bez toho jejich uctu a nepotrebuje k plne funkcnosti cloud.

Bejvávalo. Dream Machine a Dream Machine Pro vyžadujú cloud, bez neho sa ani prvý krát nezapnú a cloud key mal update na UnifiOS 2.x, od kedy tiež vyžaduje cloud account.

Ja vychazel z controlleru. Mam UniFi a tam to propojeni nabizi ale nevynucuje.

Však UDM/UDMP sú tiež Unifi, so zabudovaným kontrolérom a nie je možné použiť externý. Už OOBE vyžaduje cloud account, bez neho sa nepohne ďalej.

CK2/CK2+ sú určené na beh všetkých Unifi aplikácií, nielen Network Controllera, a tiež od v2 vyžadujú cloud account. Unifi aplikácie ako Protect alebo Access mimo UDMP alebo CK2 nespustíte vôbec.

Áno, pôvodne CK2 cloud account nepotreboval. Dnes ho potrebuje.

Takže zostáva pôvodný CK a samo-hostovaný Network Controller a podľa všetkého je iba otázka času, kedy bude vyžadovať cloud account aj ten. Keď už nie priamo, tak už len tým, že každé nové unifi zariadenie bude vyžadovať takú verziu controllera, ktorá si vynúti cloud account.

UnifiOS 2.0 cloud nevyžaduje ale poměrně agresivně jej vnucuje.
UDM jej vyžaduje.

Mikrotik měl těch problémů o dost více ... A u všech výrobků najednou, neboť firmware je společný. Což je výhoda. A nevýhoda zároveň.

Ten patch PHP je šíleně okatý a zdvojené T v AGENTT rozhodně nebyl pokus ho maskovat.

Také mne napadlo, že pokoušet se něco maskovat do proměnné HTTP_USER_AGENTT by mohl jen dyslektik. Taková proměnná HTTP_REFERRER, to by bylo něco jiného.

Nebo to šlo ještě nenápadněji jako HTTPS_USER_AGENT či HTTP_USERAGENT. Nechápu, proč to nepoužili. I kdyby si toho někdo všiml, tak bude dlouho váhat, jestli to není jen něčí legitimní příspěvek.

Aby to fungovalo, je potřeba, aby kód ke spuštění bylo možné zaslat jako součást HTTP požadavku, například v HTTP hlavičce. Takže proměnná HTTPS_UER_AGENT určitě ne. Ono je to v článku pojmenované jako „hlavička“, ale ve skutečnosti jsou tam napsané názvy proměnných, do kterých se tradičně ty hlavičky překlápí (resp. dnes už se překlápí do asociativního pole s uvedeným klíčem).

Je to dost děsivé. Nejhorší je, že zákazníci si kupují zařízení i kvůli vlastnostem, které jsou závislé na cloudových službách. Je to součást výrobku. Kompromitace účtů způsobuje zákazníkům škody, ale reálně neexistuje žádný způsob, jak by je mohli vymáhat. Výrobce, jediné, co riskuje, je dobré jméno. Výrobci stačí spočítat náklady na zabezpečení vs. náklady na marketing dobrého jména a obvykle není moc motivovaný bezpečnost skutečně aktivně řešit, raději dá peníze do účinnějšího marketingu.

Ja ten prechod na cloud nechapem. Viem si predstavit moznost zjednodusenia a pristupu odkialkolvek ako mozny prinos(hoci v pripade firiem a VPN nevidm rozdiel/prinos) ale bezpecnostne riziko a problem pri vypadku/nedos­tupnosti je ovela vyssie. To iste trend mobilnych appiek na ovladanie/nas­tavovanie cohokolvek.
Nechapem tu logiku.
Nedavno som kupoval lepsie AP a dalo mi zabrat najst nejake, kde clovek nepotrebuje cloud alebo Controller. Nakoniec som skoncil pri TP-Linku EAPserie(konkretne EAP245), kde je na vyber standalone rezim s klasickym pristupom priamo na AP cez IP adresu AP-cka.
Tento klasicky pristup mi pride univerzalnejsi/bez­problemovejsi ako cokolvek ine(mobilan appka, cloud). Ano musim si pametat(zistit) IP-cku takehoto AP ale to ja nepovazujem za problem.

Věci v cloudu se dobře aktualizují, dobře se do nich dávají novinky všem uživatelům, nemusí se řešit, že někdo neaktualizuje a tím to má bezpečnostní díry nebo kazí brand nadáváním na to, že to nefunguje. Jako bonus je to služba, co se dá zákazníkovi prodat za měsiční peníze.

Pro uživatele je to taky super, sám to zvládne vybalit z krabice, zapojit a pomocí blbuvzdorných průvodců v cloudu nebo mobilní aplikaci i celé sám nastavit a pak už se o to víceméně do konce životnosti nemusí starat a samo se to bude aktualizovat a občas to přinese nějakou novou funkci.

Ani výrobce, ani uživatel pak nepotřebují ten článěk uprostřed - toho chytrýho souseda, který jim to za pivko, oběd a hromadu chytrých a šovinistických keců nastavil.

Že tam někde chybí místo pro uživatele, který cloudy a jiné věci nepotřebuje? Ano, to chybí. Tito uživatelé jsou v menšině.

Ta logika je jednoduchá. Jako dodavatel nabídnete zákazníkovi mnohem víc a celkově lepších funkcí, protože se soustředíte na jeden centrální vývoj. Nejste brzděný podporou on-premises. Můžete dodávat jednodušší zařízení, která jen komunikují.

Ve skutečnosti, on-premises řešení nebývají obecně bezpečnější, spíš naopak. Co se však liší je dopad. Tu a tam prohacknuté sítě si veřejnost ani nevšimne. Únik celé databáze uživatelů se děje zřídka, ale zasáhne klidně miliony zákazníků naráz. Nicméně, uniklá databáze ještě neznamená, že se Vám něco stane. Tomu se dá předejít různě - např. tím, že se o tom zavčas dozvíte, a změníte heslo. Nebo, že se zneplatněním hesel pomůže přímo cloudový poskytovatel. Ve výsledku je možná TP-Link zabezpečený přes IP adresu, ale s (pro Vás) skrytými zranitelnostmi ještě méně bezpečný - to prostě není jak porovnat.

Co mě trápí víc je obecně bídná úroveň odpovědnosti v IT. Když kupujete lék v lékárně, víte, že může mít určité nežádoucí účinky, ale máte jistotu, že se o nich dočtete v letáku a že úřady i po registraci nepřetržitě hlídají, aby se neobjevily nějaké opravdu významné komplikace. U aut máte jistotu, že při ohrožujících výrobních vadách svolává výrobce všechny majitele k servisu. Obecně, jakýkoliv výrobek prochází certifikací a existují mechanismy, jak ho stáhnout z prodeje, včetně možnosti reklamace už zakoupených.

V IT nic takového neexistuje, i přestože je to už dávno stejně životně důležitý obor. Veškeré finance i majetek začínají být závislé na technologiích. Banky, katastr, registr vozidel, ... Ale když se něco přihodí, tak spotřebitel nemá ani patřičnou právní ochranu, ale dokonce ani jistotou toho, že byly podniknuty kroky k odstranění problémů do budoucna. Můžeme jen doufat, že je dodavatel na tolik odpovědný, že si nechce podobný průšvih dovolit znovu - ale je tomu opravdu tak? Může se Ubiquity obávat toho, že všichni jeho zákazníci hned zítra vyhodí do koše všechny jeho výrobky? Co by místo toho koupili, když žádný konkurent větší garance taky nedává? Podle mě se tedy neobává ani trochu, naopak ví, že zákazníkům nezbude, než doufat ve zlepšení, aby nemuseli kupovat jiné (a stejně nejisté) konkurenční výrobky. Nedivil bych se, kdyby na problému pracovalo desetkrát víc PR pracovníků, než techniků.

Ten nejjednodušší use case: Nakonfiguroval jsem síť u rodičů, a něco je potřeba nastavit. a) počkám, až skončí lockdown a budu tam mít zase jednou za tři měsíce cestu s dětmi, b) naklikám to vzdáleně

Složitější use case: firma spravující sítě mnoha menším zákazníkům...

Prostě ne každý chce věnovat čas tomu něco testovat a ladit.

Naklikať to vzdialene ide aj keď sa to nekliká cez cloud, ale cez vpn. Cez vpn ide toho viac, naklikám aj tlačiareň alebo vyzdielam obrazovku počítača. Navyše to funguje aj vtedy, keď UPC vypadne zahraničná konektivita, tak ako predvčerom.

Naklikám to vzdáleně? V mysli mnoha zákazníků to znamená "zadarmo" a "samo se to udělá".
- Vzdáleně taky často znamená se překliknout a nefunguje nic než tam fyzicky dojedu.
- Vzdáleně... jsem se setkal s tím, že obsluha v hotelu vytrhala všechny kabely a vrátila je nějak zpátky v domnění, že to naskočí "samo".
- Vzdáleně se nedá nic pořádně otestovat.
- Testovat a ladit je přidaná hodnota min. pro mě samotného, čas je relativní když ho nikdo (ne)platí, pak to je spíš pro zábavu ;-)

Je to o lenosti techniků... když ono se to tak krásně nakonfigurovalo "samo".
Ach jo a jednoho dne se to samo krásně potentuje a nikdo z nich nebude vědět proč.

Spíš mi přijde děsivé, že tam ty cloudové služby násilím tlačí, i když to není potřeba. Jde jim jen o data o koncovém zákazníkovi, kvůli které narušují bezpečnost.

Nedávno mi prošel rukama nějaký malý levný osmiportový swich od Netgearu asi za dvojku. Switch si ve výchozím stavu lízne adresu z DHCP, na které běží webové rozhraní. Tohle webové rozhraní přesměruje uživatele na jejich cloud, kde si je nutné založit účet, který zpřístupní lokální administraci.

Peklo a zase poslední věc od Netgeru na sakra dlouho.

Ano cloud je ve vsech smerech uzasny pro vyrobce - protoze kdykoli muze vase zarizeni zcela odstavit... casto proste tim, ze vyrobce zanikne.

Toho bych se v případě UBNT tak nebál :-)