На Хабре подробно рассказывали про уязвимость CVE-2018-14847, которой подвержены около 370 тыс. маршрутизаторов MikroTik по всему миру (в том числе 40 тыс. в России). Если вкратце, уязвимость в MikroTik RouterOS позволяет без особой авторизации прочитать удалённо любой файл с роутера, включая плохо защищённые пароли доступа.
Хотя патч выпустили очень оперативно в апреле, многие владельцы маршрутизаторов не следят за обновлениями. В результате их устройства остаются уязвимыми и входят в IoT-ботнеты, которыми пользуются злоумышленники. За последние несколько месяцев зарегистрировано несколько случаев, когда через уязвимые маршрутизаторы MikroTik устанавливали скрипты Coinhive для майнинга в браузере и настраивали редирект DNS на вредоносные сайты. Ситуация усугубилась 5 октября, когда вышел новый эксплоит By The Way для CVE-2018-14847.
Но не все хакеры готовы пользоваться беспечностью пользователей и зарабатывать на этом. Некоторые пытаются помочь. На днях популярное западное издание ZDNet рассказало о «таинственном русскоязычном хакере», который «взламывает маршрутизаторы и без разрешения пользователей патчит их». На самом деле речь идёт о хабраюзере LMonoceros, которого теперь можно считать знаменитостью.
В своей прошлой статье Алексей говорил, что получает доступ к маршрутизаторам и вносит изменения в их настройки, чтобы предотвратить дальнейшее злоупотребление.
Алексей работает серверным администратором. Технически, его благородная деятельность подпадает под несколько статей уголовного кодекса, так что благоразумно бы сохранять анонимность. Но судя он к этому не слишком стремится: как пишет ZDNet, специалист «хвастался своим хобби на российской блог-платформе». Несложно догадаться, что речь идёт о статье «Для чего хакерам Микротик и как я спрятал 100 тыс. RouterOS от ботнета», которую LMonoceros опубликовал на Хабре 27 сентября 2018 года.
Карта распределения уязвимых устройств по состоянию на сентябрь 2018 года, Иллюстрация: «Лаборатория Касперского»
Алексей говорит, что к настоящему времени пропатчил уже 100 тыс. уязвимых маршрутизаторов. «Я добавлял правила файрвола, которые закрывали доступ к роутеру не из локальной сети, — писал он. — В комментариях писал информацию об уязвимости и оставлял адрес телеграм-канала @router_os, где можно задавать вопросы». Инструкция по настройке файрвола тоже ранее публиковалась на Хабре.
Судя по всему, эта правка конфигов, на которую жаловался админ, сделана другим доброжелателем. Он не пишет адрес телеграм-канала, зато указывает номер кошелька
Отметим, что на сегодняшний день (15 октября 2018 года) на канале RouterOs Security уже 1080 участников. Там ежедневно обсуждают ситуацию с уязвимостями «микротиков».
MikroTik — один из самых популярных брендов маршрутизаторов на сегодняшний день. По всему миру работает более двух миллионов маршрутизаторов MikroTik. По мнению некоторых исследователей, сейчас более 420 тыс. из них вовлечены в IoT-ботнеты и участвуют в майнинге.
Несмотря на настройку параметров файрвола для более чем 100 000 пользователей, Алексей говорит, что только 50 человек обратились через Telegram. Некоторые сказали «спасибо», но большинство были возмущены.
Технически незаконная деятельность Алексея достойна уважения, но он не первый, кто поступает настолько же благородно, напоминает ZDNet. Например, в 2014 году некий хакер получил доступ к тысячам маршрутизаторов ASUS и разместил текстовые предупреждения на компьютерах с общими папками, которые находились за этими маршрутизаторами, предупреждая пользователей о необходимости закрыть уязвимость.
В конце 2015 года хакерская группа White Team выпустила «зловред» Linux.Wifatch, который закрывал дыры в безопасности различных маршрутизаторов на базе Linux. В какой-то момент ботнет White Team стал настолько большим, что начал сражался с ботнетом печально известной группы Lizard Squad за титул крупнейшего ботнета в интернете.
Наконец, совсем недавно в 2018 году неизвестный хакер переименовал десятки тысяч маршрутизаторов MikroTik и Ubiquiti, чтобы привлечь внимание владельцев к обновлению своих устройств. Устройства получили названия вроде «HACKED FTP server», «HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED» и «HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD».
Несмотря на усилия благородных хакеров, ситуация с безопасностью IoT-устройств остаётся плачевной. Но приятно осознать, что благодаря своей полезной активности российский специалист LMonoceros теперь действительно стал знаменитым.
NickViz
«российский специалист LMonoceros теперь действительно стал знаменитым.»
и ждёт его дорога дальняя и казённый дом…
selivanov_pavel
За что минусуют? Технически он действительно нарушает законодательство, и открыто в этом признаётся. Если соответствующие органы обратят внимание, ему может грозить уголовное преследование.
olvin_hh
И тогда эти «внутренние органы» распишутся в своём дебилизме =)
unclejocker
Первый раз что-ли? Дебил-дебилом, а «палка» — это «палка».
Daemonis
А если кто-то заберется в вашу квартиру и поменяет замок в двери, потому что ваш недостаточно надежен, вы как к этому отнесетесь?
perfect_genius
Если злоумышленник спамит из этого дома а хозяин не реагирует на это?
LMonoceros
Нет. Если в этой квартире наркопритон и торчки устроили там пожар. Соседи потушили, выгнали торчков. Квартиру до приезда хозяина или полиции держать отрытой?
sevikl
часть людей всё равно не убедить, потому что «моё-моё куд-кудах, а следить за своим или нет — моё дело. кудах-кудах, я тута главный»
от себя — прекрасная работа, так держать!
khim
В случае с квартирой, где поселились торчки есть вполне себе законное решение: привести полицию, всё официально опечатать.
Однако этот подход работает только потому, что «торчков» немного. Относительно. А вот если бы их были сотни тысяч… или миллионы… то вообще неясно как с этим легально бороться при существующем состоянии дел…
DoctorMoriarty
Если при этом забравшийся ничего не украдёт, не оставит себе копии ключей на будущее и новый замок реально будет надёжнее предыдущего — прекрасно отнесусь. Респект ему.
NickViz
а войдете-то как? после замены замок открывается изнутри квартиры только, ключи там же на гвоздике висят…
cb_ein
Владельцы роутеров через эксплойты в свои микротики заходят? Тут, имхо, более корректная аналогия: приходите домой, а там на столе записка «приятель, ты в курсе, что к тебе легко забраться через балкон? Есличо, я прикрутил к балконной двери щеколду, не благодари».
Chamie
Если «эксплойт» — это вход под пользователем Admin, то частенько.
NickViz
вы вообще-то понимаете, о чём идёт речь? Он блокировал доступ к админке из интернета. Оставляя только из LAN. Соответственно удалённо админу зайти нельзя было от слова никак. ещё раз — у замка с защелкой снаружи оторвали ручку. ключи внутри. открыть дверь можно только изнутри. никогда дверь не захлопывали? в детстве например…
artyums
Ну, честное слово, выставлять наружу доступ к «потрохам» сети — это очень плохая затея. Первое, что делаю на всём сетевом оборудовании — блокирую доступ снаружи ко всему, кроме действительно нужного и ограниченного в правах на доступ к тем самым «потрохам» (вроде веб-сервера). Там, где доступ нужен все же — поднимается OpenVPN (или другой) сервер и безопасно работается откуда душе угодно как будто в локальной сети…
Недавно, например, чисто случайно обнаружил, что у относительно крупного PaaS провайдера, открыт наружу MySQL сервер, просто в настройках не задан жестко localhost. «Закрытый» роутер уберёг бы. Это я к тому, что зачастую так «открыты» и все остальные ресурсы, вроде админ-панели того же маршрутизатора…
Anthony_K
А вот с т.зр. информационной безопасности ему будет не респект, а статья.
MyOnAsSalat
Если вы оставите своё оружие не в сейфе а перед входом в квартиру, а из него кто-то кого-то убьёт?
Это защита от ботнета. Всем «кукарекам» только молчать в тряпочку можно.
А садить тут только владельцев роутера или тупого провайдера.
willyd
Ну-ну. Если вы в каком-то Техасе начнете лазить по чужим домам и перепрятывать оружие, которое висит на камином, вас рано или поздно застрелят! Вы только можете пойти к шерифу и сказать, что у них оружие висит над камином, мало ли, может какой-нить грабитель его украдет и застрелит ребенка, а он на вас посмотрит, как на сами знаете что…
Так же и тут, можно скинуть адреса взломанных роутеров на абузу провайдеру, а он пусть разбирается, не хочет/не может/не сделал — на абузу его аплинкам. У меня такие вещи были прописаны в провайдерском договоре, что он может заблокировать меня до выяснения причин, если посчитает абузу обоснованной.
Тема достаточно спорная, но по закону LMonoceros неправ.
MyOnAsSalat
За неправильное хранение оружия есть ответственность, а за оставление дыр нет.
willyd
В России есть, в штатах от штата к штату очень сильно отличаются.
И какое законное право вы имеете, чтобы их наказывать? И если решили действовать вне правовых рамок, то принимайте во внимание, что можете быть покараны во имя Высшей Справедливости.id_potassium_chloride
Если поменяет замок, оставив при этом возможность открывать старым ключом или даст ключи от нового замка, то в чём проблема? Скажу спасибо, да ещё и денюжку дам за новый более безопасный замок.
Temmokan
Этически его позиция достойна уважения.
Однако dura lex, sed lex: с точки зрения закона это по-прежнему уголовное преступление.
shasoft
Если кто-то из «пострадавших» обратиттся в органы, то они, даже понимая дубелизм ситуации, будут вынуждены что-то делать. Хотя в данном случае ущерб то не нанесен, так что при желании, наверное, можно на это сослаться.
MuKPo6
А кто будет потерпевшим в таком случае? Или можно без оных?
selivanov_pavel
Любой из недовольных владельцев роутеров, нашедших в них привет от Алексея.
nochkin
Ерунда. Я в своё время так патчил старые версии Windows, которые были открыты для всех прохожих из-за какой-то на тот момент популярной уязвимости. У меня был чисто шкурный интерес — эти сервера меня спамили и досили.
Ведь никто не докажет, что такие патчи происходили. Админы как спали, так и спят до сих пор (если вообще какие-то админы у тех серверов были).
selivanov_pavel
> благоразумно бы сохранять анонимность. Но судя он к этому не слишком стремится…
> Некоторые сказали «спасибо», но большинство были возмущены.
Ну и вам, кстати, тот же совет. «Однажды мне приснилось, что я патчил старые версии Windows» :)
nochkin
Temmokan
Как-то мой знакомый рассказал, что прочитал где-то в сети про то, как кому-то приснилось…
Как в демуровской Алисе: «И пусть тебе приснится сон про то, как ты спишь, и во сне тебе снится, что ты заснула».
willyd
Мне когда-то приснилось, что я ехал на работу, когда проснулся, понял, что опаздываю, пришлось срочно собираться, и ехать на такси. В итоге оказалось, что и это мне приснилось, опоздал на четыре часа.
artiom_n
Лучше бы он ботнет ставил, как все нормальные люди.
godlatro
вообще если так подумать, то авторизоваться в удаленно находящемся роутере не попадает ни под какую статью. Иначе можно всех админов которые авторизуются в роутерах сажать.
Никаких незаконных действий. Пакеты с данными он не перехватывал, чужие данные не расшифровывал.
Установка патча распространяемого производителем Микротик — законов тоже не нарушает.
Чтобы привязять к этим действиям какуюто статью, надо постараться доказать почему какая либо статья имеет отношение к этому случаю.
DGN
А есть возможность как то бесплатно протестировать свой роутер на возможность атаки из сети? Быть может по спискам вендоров-прошивок?
Eagle_NN
Есть специальные программы для этого.
К сожалению они-же, используя уязвимости, позволяют получить доступ к роутеру.
Из причин их непопуляризации называть их тут не буду. Кто ищет тот сам найдет.
Surge0n
Есть. Один из www.qualys.com/free-services
Комьюнити эдишн для некомерческого использования бесплатен
x86corez
Router Scan'ом попробуй, ломает уязвимые микротики где-то с мая месяца (но при условии, что доступен веб интерфейс и порт WinBox).
LMonoceros
Согласно судебной практике 272 УК РФ применяют за реальный ущерб либо паровозом по другой статье.
Grey hat в РФ уголовное преследование почти не грозит.
Но не стоит забывать поговорку:
«Был бы человек, а статья найдётся».
willyd
Я бы на вашем месте был бы поосторожнее. Всегда может найтись молодой майор, который за ваш счет захочет получить еще одну звезду на погоны. И я что-то очень сомневаюсь, что вы нигде не оставили свой домашний айпишник.
Oxoron
Зачем айпишник? У автора на КДПВ к первой статье фото и российский флаг на столе. Топикстартер упоминает имя.
LMonoceros — надеюсь, проблем у тебя не возникнет.
greendog
Теперь тебе выезд за «бугор» заказан. Подумай тщательно, прежде чем ехать куда-нибудь, если не хочешь, чтобы в аэропорту загребли и отправили на 200 лет в места не столь отдалённые.
Американскому правосудию по-барабану, что тобой двигало — правонарушение есть, а значит 100% будут последствия.
Googlist
Может єто как раз и есть его хитрьій план?
Lennonenko
какие ваши доказательства?
webviktor
Благодаря таким людям мы и существуем.
Если привлекут, то такие же неравнодушные должны выйти на пикет, завалить заявками и всячески поддержать.
И если не будет таких людей, то все сферы жизнедеятельности захватят корпорации типы Эпл. И будем мы за все молча платить.
"-У меня мышка не работает на второй день".
"- Заткнись и купи новую".
"- Как так? Я о вас в инете отзыв напишу!"
"- Посадить на 15 лет по статье 59125 п. 9821 (Противодействие деятельности корпорации, обеспечивающей 3млрд человек работой по выпуску комп.мышек)".
П.с.: Хаять всех, сидя на диване, проще простого.
ianzag
> Благодаря таким людям мы и существуем.
Простите, но вы — это кто? Горе-админы, выставляющие глючный управляющий интерфейс маршрутизатора голой попой в публичную сеть? При этом страдающие потерей памяти в результате не в состоянии поддерживать прошивку up to date? Вот честно — лучше бы вы не существовали. И проблем было бы куда меньше.
enzain
Это дело лично каждого, с какой попой что и где оставлять.
Если оставили квартиру не запертой — это не повод заходить в неё вообще.
А тем более — что то в ней брать....
А если зашли, и взяли тем более — в суде вряд-ли прокатит аргумент типа: "Так там было не заперто."
nochkin
Нет, это уже давно не личное дело.
Если чей-то роутер начинает досить соседей, то это уже далеко не личная проблема хозяина того роутера, так как он своим пофигизмом нарушает работу других.
enzain
Личное.
Если у вас есть что сказать — пишите в абузу провайдеру.
А заходить на чужое оборудование без разрешения владельца — это статья УК.
Работу других хозяин роутера не нарушает. Работу нарушает роутер, к которому был получен доступ незаконными методами.
nochkin
Всегда пишу на abuse. Очень часто игнорят. Даже некоторые крупные провайдеры игнорят.
А терпеть их дос не хочется. Это нарушает мою работу и тоже попадает под какую-нибудь статью.
enzain
Не под какую не попадает это статью.
А вот доброжелательское — зайти на роутер и что-то сделать, подпадает под статью УК.
AllexIn
Я — это вообще не админ. Вынужденный купить домашний роутер и не умеющий его настраивать.
И уж тем более как простой пользователь я не буду каждый месяц лазить в роутер и обновлять его.
Да, лучше бы меня не существовало в такой ипостасти. Я бы и сам был бы рад.
Но альтернатив мне нету. Разве что нанимать за много денег профессионального админа, чтобы он каждый месяц за кучу бабла следил за моей локалкой.
Но это фантастика.
kin63camapa
если ты не админ то нахрен ты выставил винбокс наружу, если настрапвал квиксетом то по умолчанию он закрыт, уязвимость не работает
Sabubu
> неравнодушные должны выйти на пикет
Выйдет 3 неравнодушных человека (если не меньше, айтишники довольно пугливые), что дальше?
vitaliy91
Делай добро и беги
ianzag
Это если цель сделать добро. Но если цель словить хайп — тут тактика другая.
enzain
Сделал добро, и сиди молча. Тогда может быть да.
Ну и не просто так Шапокляк в свое время песню про хорошие дела пела.
Lopar
Уже обсуждалось это добро сомнительного качества на профильных ресурсах. Общий посыл таков: не у всех роутер Mikrotik просто висит на стенке рядом с компьютером. Если благородный хакер Алексей возьмёт и запретит удалённый доступ на устройство, которое висит где-то в глубинке километрах в 800 от цивилизации…
А если не на одно устройство, а на целую сеть таких устройств…
В такие моменты доброжелателей хочется послать
в жопув суд.gwathedhel
Лучше стать частью ботнета и потерять доступ вместе с работой сети?
Тут холиварная тема, нет однозначного ответа.
Lopar
Есть иные способы повысить надёжность не блокируя доступ к устройству. Например:
1. Взламывается админ.
2. Роутер обновляется до последней допустимой (важное уточнение, потому что некоторые обновления радикально меняют логику работы с устройством) версии прошивки;
3. Создаётся ещё одна учётная запись администратора с паролем в комментариях;
4. Взломанной учётной записи понижаются права до read-only;
5. Уходим не меняя пароля забывая о роутере.
На выходе получаем роутер с закрытой уязвимостью и административным пользователем, который видим только текущим администраторам. И это гипотетический сценарий — один из многих.
gwathedhel
Дадите гарантию, что роутер перезагрузится корректно с новой прошивкой, и что конфиг с ней корректно взлетит? Думаю даже тот, кто этот конфиг делал не поручится.
willyd
Вы сами написали, что тема спорная. Я вот думаю, что среди 100к пропатченных устройств нашлись такие, к которым доступ оказался потерян. Как по мне то подход как у врачей «не навреди» был бы более безопасным для Алексея и для владельцев роутеров, — просканили сеть и написали абузу провайдеру.
gwathedhel
Возможно и так. Но реалистично, что провайдеру будет пофиг. А цель была убрать уязвимость быстрее, чем устройства взломают.
Я ж говорю — аргументов по обе стороны масса.
willyd
Просто с моей точки зрения в этой ситуации главнее договора с провайдером и закон, чем желание отчистить интернет от ботнетов своими руками. И я бы не стал себя пиарить, даже из наичистейших побуждений, если бы занимался подобным.
makioro
Знайте, где-то есть небольшой местечковый провайдер с админом в лице меня, который на эти абьюзы реагирует :)
Но много жалоб слышал типа «а вот %PROVIDERNAME% ничего не блокирует ни за какие вирусы!»
gwathedhel
Верю на слово, сам когда то работал в таком же местечковом, тоже админом =) Но в случае РТК или еще каких то крупных птиц — там всем будет плевать на конкретного юзера с конкретным микротиком.
kin63camapa
если у тебя железка висит в 800 км от цивилизации и единственный к ней доступ через непатченный винбокс то вам стоит
уйти из професиисильно пересмотреть свой подход к безопасности и организации удаленного доступаwillyd
Это уже много раз обсуждалось в этой теме и в других. Да, сеть должна быть защищена и настроена правильно, без болтающегося в мир менеджмента. Но по факту, любое несанкционированное вмешательство в работу роутера — есть нарушение закона.
enzain
Ну кому и куда уйти, решать слава богу — не Вам :)
kin63camapa
зачеркнул по тому что поймал себя на мысли что так же делал, но было это давно и жизнь научила что единственное что может торчать наружу это пропатченый впн с хорошими паролями
enzain
Все зависит от необходимой степени паранои.
Если вы знаете список ИП с которых может потребоваться зайти на устройство — то фильтра в файрволе на эти ИПы как по мне — достаточно.
kin63camapa
зачастую нет, я например аутсорсер, откуда мне придётся завтра подключиться одному богу известно
willyd
А там не port-knocking?
kin63camapa
несколько геморно, особенно если с чухих машин надо подключаться, винбокс и впн еще получится с чужой тачки запустить без админа а вот меджик пакет формировать может быть нечем
enzain
Честно сказать — не понимаю, почему не сделана авторизация по ключам как в ССШ но в ВИНБОКС.
Сильно проще бы было…
NickViz
а как правильно реагировать в таких случаях? ну вот обнаружили роутер с уязвимостью, есть фикс (прошивка свежая), есть его IP. всё — никаких других данных нет. ни мыла админа, ничего.
удалённо перешивать роутер? не всегда это возможно, не всегда заканчивается успехом, не всегда конфигурация не слетает или остаётся валидной для новой прошивки.
обращаться к админу? а как?
хм, оставлять доступ только себе, блокировать доступ снаружи и сообщение админу — позвоните нам перед апдейтом мы вернем доступ? опять — как сообщить?
обращаться к провайдеру? наверное лучший способ, но провайдеру-то абсолютно по барабану проблемы индейцев…
в общем, не очень ясно… вот ботнет сделать — это да, просто и брутально.
enzain
Ответ очевиден — никак не реагировать.
Вы же не бежите к владельцу машины с хреновой сигналкой, меняя ее на новую?
Или не меняете пароль от сеййфа чужого потому, что он ненадежен?
Так почему некоторые считают себя в праве лезть в чужие роутеры?…
AllexIn
Бежим к владельцу хреновой сигналки. Потому что она орёт всё время. А когда не орёт — на ней подростки гоняют по дворку, создавая опасную ситуацию.
Также и эти роутеры — позволяющие создавать через их уязвимости ботнеты.
willyd
Ну так у вас есть законные методы оповещения.
Если вы разобьете стекло в машине и отключите надоевшую вам сигналку, а к вам потом придут люди в пагонах снимать отпечатки пальцев, у вас аргументов будет намного меньше.
Ipeacocks
Люди, которые не следят за своими данными и безопасностью, должны страдать.
f0rmat1k
То есть 99.99% людей-не-айтишников?
Ipeacocks
Ну а кто должен беспокоиться об этом?
vitaliy2
Вообще производитель должен понести за это ответственность. И, естественно, бесплатно устранить уязвимость независимо от того, когда был произведён роутер, потому что это брак, который был уже на момент покупки товара. Также можно вернуть по гарантии (это законно, т.?к. пользователь может сдать товар и после окончания гарантии, если докажет, что брак был уже на момент покупки).
ianzag
Утверждать не буду — не читал. Но что-то мне подсказывает, что в лицензионном соглашении на железку есть пункт по которому «производитель не несет ответственности за bla-bla-bla». Максимум — в размере стоимости самого устройства. Т.е. по сути никакой. Ну не смертники же он в самом деле.
vitaliy2
Ну я написал, что как минимум обменять устройство / устранить проблему / вернуть деньги должен. А штраф можно государству выплатить, но я имел ввиду, что он должен быть лимитирован.
Естественно, такой пункт должен быть незаконным, а при его наличии не имеет юридической силы.enzain
На основании каких статей и пунктов в них вы делаете данные утверждения?
А то майкрософт давно бы разорилась в России…
Вам продали железку, а софт у вас бесплатный, без обязательств. Всё.
Но при этом производитель даже обновляет его.
vitaliy2
Ну я говорил не только про Россию. Microsoft бы разорилась — пришёл бы тот, кто лучше следит за безопасностью. Но а вообще я сказал, что штрафы должны быть лимитированы. +Microsoft исправляет уязвимости. +Нужно смотреть масштабы продукта (и реакцию производителя).
Ну и вообще я больше подразумевал аппаратные продукты, а не программные. В случае с системой я могу без проблем поставить другую, если она дырявая или больше не обновляется. А вот как поставить другую систему на роутере? На мобильном телефоне? На клавиатуре? В большинстве случаев придётся отправлять их на помойку. А почему я должен терять свои деньги?
Не, понятно, что долгая поддержка требует затрат. Но вообще, во-первых, большинство устройств не должны содержать такие критические уязвимости, а во-вторых, если пользователей ещё много, значит исправление 100% нужно, а если мало, то можно просто выплатить им компенсацию или обменять на новые устройства — раз таких людей мало, компания не понесёт значительные убытки.
В общем решение не очень сложное, но тем не менее получаем, что большинство производителей ничего не обновляют и даже строят архитектуры так, что обновление затруднено.
willyd
Все решит рынок. Уже сейчас, можно спокойно найти информацию о качестве поддержки производителя, если покупатель не ищет ее, это его проблема.
vitaliy2
Покупатель даже не подозревает о том, что уязвимости существуют.
Вы считаете, что покупатель должен быть экспертом во всех областях. Решил купить одну вещь — должен быть экспертом по ней. Вторую — снова экспертом. Третью — снова экспертом.
Нет. Должна быть гарантия минимального качества. Пользователь когда приходит в магазин купить печенье, не ожидает, что он от него отравится, потому что не является экспертом в химии. А тем более, если отравление будет незаметным.
Вы же говорите «ну он сам виноват». Вот понравилось бы Вам, если бы Вас отравили?
Пользователь действительно может быть экспертом. Но быть им во всех областях нереально. В нескольких областях — вполне. Это не значит, что он сам дурак. Как минимум человеческие возможности не безграничны, чтобы знать всё. Поэтому должна быть гарантия минимального качества.
willyd
Justice Warrior?
Ipeacocks
В то время, в котором мы живем, человек должен понимать 4 базовые вещи:
— обновлять, хотя бы иногда, софт
— не использовать публичные сети или хотя бы не делать в них ничего важного
— использовать https при заполнении форм. это наверное самое-самое важное
— не использовать до идиотизма простые пароли
Это не rocket sience. Это как не есть на ночь или переходить дорогу на зеленый свет.
enzain
Ну зачем сразу так? Вполне себе можно использовать, только ВПН до своего роутера сначала поднять обязательно… :)
Ipeacocks
Ну тут всё говорят о среднестатистическом пользователе.
willyd
Серьезно? Где-то год назад у Cisco была уязвимость в менеджмент протоколе позволяющая получить доступ к роутеру, с очень длинным списком подверженных устройств. Даже моего провайдера затронуло.
Виноват тот, кто выставляет менеджмент интерфейсы в мир и не обновляет прошивку. Но и наказывать за это должен его тот, кто имеет право.
vitaliy2
Я имею ввиду по-правильному что производитель должен понести ответственность. Из-за того, что никто не несёт, такое разгильдяйство, что миллионы роутеров взломаны, а производитель даже не потрудился выпустить фикс. Зачем тогда вообще выпускал свой роутер? Должно быть законодательно закреплено обязательство пожизненно исправлять уязвимости как заводской брак (если они не были внесены пользователем в процессе эксплуатации).
Или может быть разделить их на две категории — в которых производитель обязывается пожизненно устранять уязвимости, и в которых не обязывается. Ну то, что сходит с рук, такого не должно быть.
willyd
А вы вообще в теме? А то судя по вашим постам вы далеки от истины.
1. Уязвимость давно закрыта. Я себе, к примеру, следующий роутер буду брать микротик, причем в первую очередь из-за обновлений, и только потом уже из-за функционала.
2. На сегодняшний день, весь зоопарк оборудования не поддерживает никто, даже железо из верхних энерпрайс и карьер сегментов идет с определенными EOS/EOL, как и весь софт.
3. Идеального софта не бывает, баги и уязвимости будут всегда.
4. Обновление оборудования и софта — это проблема пользователя. Производитель может только напоминать.
dartraiden
willyd
Так ты еще попробуй угоди)) IT SJW какие-то.
Vilgelm
Проблема с обновлениями в Windows 10 не в том, что они устанавливаются автоматически, а в том, что они устанавливаются принудительно. Поясню: например, у меня уже долгое время живет машина с Windows Server 2008 R2 со включенным автообновлением. Раз в месяц она обновляется, происходит это практически незаметно. Но если какое-то обновление ломает систему (впрочем, конкретно с R2 я пока с этим не сталкивался), то его можно откатить, отключить и забыть как страшный сон.
Аналогично с Ubuntu: при включенных автоматических обновлениях безопасности, то они просто молча накатываются и все, ты этого даже не замечаешь. Это при том, что в Linux с обновлениями бывает все сложно.
А вот машину с Windows 10 мне недавно напрочь убило одно из обновлений. То есть она просто перестала грузиться, вообще, безопасный режим они выпилили, штатными средствами никак не отремонтировать. Решилось загрузкой с Ubuntu и внесением некоторых изменений, но проблема вот в чем: я никак не могу отключить обновление, которое вызвало проблему (если установлена не Enterprise редакция, конечно же). То есть оно упорно будет накатываться вызывая проблему и сделать с этим нельзя вообще ничего. От таких обновлений больше вреда, чем пользы.
Причем это далеко не единичный случай, до этого сталкивался с тем, что на ноутбуке обновлялись драйвера для видеокарты, которые ломали HDMI (проблема там была в том, что несмотря на то, что это была встроенная интеловская графика, вендор что-то сделал, что оно нормально работало только с его модицицированными драйверами. При этом сам Intel знал о проблеме, потому что при попытке установить свежие драйвера от Intel они не ставились и отсылали на сайт вендора. А вот Microsoft об этом не знали). И, опять же, запретить устанавливать это обновление нельзя (я пробовал какие-то утилиты, но ни одна не помогла, а штатных способов вообще не предусмотрено, если это не Enterprise редакция).
Именно поэтому люди и хотят отключить эти обновления, а не потому что они автоматически устанавливаются.
dartraiden
В Ubuntu обновления ядра требуют перезапуск системы, если пользователь не заморочился получить у Canonical «лицензионный ключ», чтобы использовать подсистему, которая патчит ядро «на горячую. Чтобы стартануть с новым ядром в подавляющем большинстве десктопных линуксов надо перезагрузиться.
Просто Ubuntu не принуждает пользователя перезагружаться, а оставляет его сидеть на уязвимом ядре, пока он сам не перезагрузит.
Насчёт „откатить, отключить“ — основная масса претензий к обновлениям Windows со стороны пользователей связана не с этой обязательностью установки всех обновлений, а как раз с принудительной перезагрузкой и историями типа „я включил ноутбук, хотел показать аудитории презентацию, а он стал обновлять Windows с 1803 до 1809“. Это раньше можно было до бесконечности жать кнопку „Отложить“, когда Windows просила перезагрузку, а теперь нельзя. Ну и я примерно представляю, почему. Потому что у пользователя каждая секунда охрененно важная, перезагрузиться ну никак нельзя, поэтому он будет долбить это откладывание до конца дня, а потом уведёт ноутбук в сон, так ничего и не обновив.
Оффтоп: когда я слышу про пользователей, которые знают такие слова, как „откат обновлений“, я напоминаю себе, что большая часть пользователей — в точности, как моя подруга, которая при фразе „открыть управление дисками“ смотрит на меня укоризненно за то, что я начинаю говорить всякие непонятные вещи.
Vilgelm
Так дело не в перезагрузках, я не про них. А про то, что по моему опыту даже в Ubuntu обновления стабильнее, чем в Win10. И не потому, что Ubuntu так сильно продвинулось в этом плане, а потому, что в Win10 обновления стали вызывать больше проблем, чем в Win7.
Iamkaant
на десктопной Убунте обновления ставятся за пару минут, а Вин 10 может полдня пережёвывать диск, и ничего с этим не поделаешь.
khim
Vilgelm
Первый способ: нужно чтобы система грузилась хотя бы до логина, второй способ: automatic repair — это не safe mode (в моем случае была такая же вечная загрузка), третий способ: нужно иметь установочный диск\флешку (т.е. это не штатный способ, точнее он имеет дополнительные требования), четвертый способ: аналогично предыдущему, только рекавери флешку нужно создать заранее, пятый способ: нужно чтобы система полностью грузилась, шестой и седьмой способы: аналогично предыдущему, восьмой способ: то, что надо, но у меня не сработал (впрочем, там так и написано: pressing these keys might still work, а might != must).
Какая была техническая необходимость в убирании меню по F8 я не знаю. Наверное это как-то связано с UEFI. Но стало явно не так удобно. Даже в OSX есть некое подобие безопасного режима, которое вызывается нажатием комбинации клавиш при загрузке.
DoctorMoriarty
Люди и в 7-ке очень любили отключать обновления…
XAHOK
И сейчас любят, а потом жалуются, что на некоторые сайты браузер не пускает и т.д.
Radjah
> безопасный режим они выпилили
3 раза прервать загрузку, нажав Reset или обрубив питание. Запустится среда восстановления. Если восстановление системы не было отключено, то откатываешь на время до установки обновления.
Это же можно сделать с установочного диска.
И первый результат в гугле про offline удаление обновлений interface31.ru/tech_it/2015/04/kak-udalit-paket-obnovleniya-esli-zagruzit-sistemu-nevozmozhno.html
Vilgelm
Режим восстановления — это не безопасный режим. В моем случае он тоже не грузился. За ссылку спасибо, о таком варианте не знал.
Lopar
Обычно среднестатистический пользователь СНГ об этом не знает потому что:
1. Покупать лицензию — это зашквар.
2. Обращаться в поддержку ОС — ещё больший зашквар — вдруг спалят что пиратка.
3. (Бонус) Я шо, тупее какого-то компуктера? Вон у соседа-сварщика утилита скачанная с торрентов которая точно поможет лучше.
Vilgelm
Давно домашняя (как правило идущая в комплекте с ноутбуком) лицензия имеет большую поддержку чем форум msdn?
kin63camapa
sc delete wuauserv
sc delete bits
пока что срабатывает
vitaliy2
А откуда тогда столько взломанных устройств? Если уязвимость настолько критическая, почему производитель не обновил роутеры автоматически?
Это же не ОС. Перезагрузить роутер — просто несколько минут даунтайма сети. Можно даже подобрать время, когда он не используется (у 90% пользователей такое время есть). Если можно исправить и без перезагрузки — вообще круто.
kin63camapa
у производителя нет (ну во всяком случае если такой инструмент есть то это еще одна дыра) инструмента чтобы без ведома пользователя обновить устройства, а новость тоько ленывый не опубликовал, так что если ты прочитал новость и не обновил свои устройства то сам себе злобный буратино
vitaliy2
Новость где? На технических ресурсах? Которые 99% пользователей не читают? Даже я первый раз слышу про Microtik.
На крайний случай роутер должен хотя бы уведомить пользователя и сказать, как обновить прошивку.
Но вообще конечно я в своих комментах больше имел ввиду устройства, которые не обновляются. Если Microtik обновился — уже хорошо, хотя и всё-равно странно и обидно, что такое количество взломанных пользователей. Уверен, большинство из них даже не знают про уязвимость, а если и знают, то не знают, как обновиться.
willyd
По-умолчанию, в микротиках закрыты интерфейсы управления из мира. Если их открывают, то значит знают, что делают, прочитали инструкцию, имеют представление о работе сетей и сетевых угрозах.
У сковородки есть такая уязвимость — на ней стейк может подгореть, а автомобили могут попасть в аварию. Вперед и с песней, засудите производителя сковородок за подгоревший стейк и автопроизводителя за то, что вы не знаете ПДД, и не проводили ТО своего автомобиля 8 лет.
Никто не заставлял владельцев покупать девайс, которым они не умеют пользоваться и не хотят учиться.
vitaliy2
Спасибо, если по умолчанию уязвимости нет, а производитель выпустил обновление, то в данном случае ситуация более менее норм.
Но вообще статья говорит обратное. Написано, что работает более двух миллионов роутеров, и из них аж 420 тыс взломаны.
willyd
Ниже уже написал.
Если пользователь не следит за своим оборудованием — то виноват производитель?
Если вы не чистите обувь, то вас должен инспектировать производитель и напоминать «Виталий, не забудьте почистить свои замшевые ботинки перед сном!»?
Это проблема пользователя, его первоначального выбора, его незнания предмета, его нежелания читать документацию и инструкции.
kin63camapa
еще раз, уязвимость рабтает через апи или винбокс. Чтобы ею воспольоваться нужен или доступ к роутеру с локалки (в этом случае ты сам себе злобный буратино что у тебя локалка скомпрометирована и хакер ходит на твой комп как к себе домой) или ты его должен руками эти порты наружу выставить. Не скрою у меня несколько контор так и торчит винбоксом наружу, но еще весной как только новость вышла, мы с приятелем сели и 2 дня поднимали по дукоментации все микроты которые кому либо ставили и принимали меры по их защите (обновляли, где есть возможность делали впн и закрываливинбокс, где нет меняли дефольные порты принимали некоторые другие меры, где нет статики вызванивали хозяев просили доступ)
vitaliy2
Про конторы я и не говорю. Там сами должны за всем следить.
Да я верю, просто удивительно, как 420 тыс пользователей выставили их наружу. Это роутер для контор?willyd
Микротик изначально был ориентирован на soho сегмент и был и есть довольно популярным выбором у заказчиков с ограниченным бюджетом. Но поскольку такие заказчики, как и вы, думают, что «роутер просто поставил и он работает», и обычно отказываются от людей, которые их обслуживают, выходит такая ситуация.
kin63camapa
как вы себе представляетет уведомление пользователя роутером? морзянкой пропиликать?
зря так уверены, большинство тех кто купил микрот знают как он обновлаяется, а если его купила домохозяйка то там дефолтный конфиг который не торчит винбоксом наружу
vitaliy2
1) MITM на http.
2) Отключение сети, а в админке предупреждение об уязвимости.
Но вообще статья говорит обратное. Написано, что работает более двух миллионов роутеров, и из них аж 420 тыс взломаны.
willyd
Ниже уже привели пример с виндоус. Принудительное обновление одним во благо, другим — во вред.
Если за ними не следят владельцы, то почему должен быть виноват производитель?Хотите автообновление — посмотрели в гугле, и нашли на первом месте в выдаче ссылку
vitaliy2
Роутер — это же не винда. В винде открыты программы, загружены данные, ведётся работа. Перезагрузить винду — дело непростое.
Выходит 420 тыс владельцев разрешили какую-то штуку, т.?е. они разбираются, но за обновленями не следят? Мне кажется, они и не знают про уязвимость в итоге.А перезагрузить роутер — просто несколько минут даунтайма. Естественно, это лучше, чем потенциальный пожизненный даунтайм.
Вообще я как покупатель роутера предполагаю, что я его один раз купил и забыл. Он должен просто работать. А если это не так, меня должны хотя бы уж уведомить, что нужно обновить прошивку.
willyd
kin63camapa
я сейчас в одной из своих контор, если я прямо сейчас в конторе перезгружу роутер я живым отсюда не выйду, ляжет впн у тех кто работает удалено, ляжет телефония = оборвуться звонки, ляжет днс и доступ к нескольким удаленным сервакам
vitaliy2
А если роутер прямо сейчас уйдёт в даунтайм на неделю? Что тогда? Это будет хуже, чем он уйдёт в даунтайм ночью на несколько минут?
kin63camapa
представляете как ваш шеф обрадуется когда в понедельник с утра приходит на работу а у него все выходные лежал сайт, лежала сеть, лежала телефония и вместо интернета на всех компах открывается заглушка о том что сисадмин вася ровутир ни абнавил?
сколько еще часов вы проработаете в этой конторе?
А теперь представьте что у вас тсаких контор штук тцать по всему городу и ближайшему пригороду
UPD можете после этого даже не пытаться их обновить, сразу меняйте пол, фамилию и страну проживания
vitaliy2
Да, с решением об обрубании сети я погорячился.
Вообще должна быть настройка автообновления. Либо он обновляется автоматически (по умолчанию) — подойдёт для обычных пользователей. Либо если это контора, то сисадмин может взять задачу по обновлению на себя, чтобы избежать каких-либо рисков либо хорошо рассчитать эти несколько минут даунтайма.
Т.?е. во всех своих решениях я подразумевал, что у пользователя будет выбор. В итоге в плюсе будут и как пользователи, которые хотят один раз поставить и забыть (либо которые плохо разбираются во всём этом и не понимают важность обновлений), так и те, кто готовы сами за всем следить.
willyd
Так сейчас все так и есть, плюс/минус в зависимости от сегмента и производителя.
willyd
Вы спорите абсолютно не разбираясь в предмете. Может хватит?
Микротики популярны в soho не просто так, у них очень хороший баланс цена/качество.поддержка. И при правильной конфигурации доступ к роутеру получить с помощью этой уязвимости нельзя.
kin63camapa
ну теоретически если роутер купила домохозяйка может быть скомпрометирована локалка и даже достаточно неплохо сделанный дефолтный конфиг в этом случае не спасёт
rajven
Ещё года три-четыре назад в микротиках не было дропа трафика на внешнем интерфейсе по умолчанию. Потом политика начала ужесточаться. Добавили принудительный дроп на вход, в последний год даже добавили дроп трафика снаружи внутрь без привязки к пробросу порта.
Микротик постоянно выпускает апдейты и патчи, развивается. Лично у меня к ним нет ни малейших претензий. Их оборудование, в принципе, можно ставить даже в довольно крупные конторы. Но не надо забывать, что это практически профессиональное оборудование! Его надо уметь настраивать и понимать что ты настраиваешь.
Проблема же в том, что 80% купивших микротики не понимают что они купили. Они прочитали про дешевизну, возможности и прочее, обрадовались, купили. По советам на форуме кое-как настроили и запустили в работу. И — забыли. А то, что админка осталась открыта всем ветрам, что dns-сервер обрабатывает запросы извне и т.п. они просто не в курсе.
Думаю, большая часть «инфицированных» — это как раз устройства с старой прошивкой, которые настраивали люди плохо понимающие что у них в руках вообще. Да, какая-то степень вины микротика в этом есть, но, имхо, покупая практически профессиональное оборудование и не понимая как оно работает — пользователь сам раскладывает перед собой грабли.
P.S. Что же касается апдейтов и прочего — у микротика на текущий момент лучшая политика из всех производителей маршрутизаторов домашнего и soho сегмента. Патчи выходят постоянно на всю продаваемую даже 10 лет назад линейку. Попробуйте найти обновление прошивки на асус, зюхель и иже с ними — хрен! Максимум 3 года и забыли про модель. А уязвимости находят постоянно не только в микротиках…
enzain
Если я ушел, и не запер квартиру, меня кто-то за это накажет?
Серьезно?
willyd
Вор. Есть еще вопросы?
Те, кто оставляют дырки в конфиге, сами себя наказывают, как и те, кто не закрывает дверь в квартире или оставляет ключи в машине. И если человек берется за работу по администрированию сети, а по факту заливает на железо свой дефолтный конфиг оставляю торчащими наружу интерфейсы управления, я не буду ничего делать, но могу спокойно утверждать, что это не специалист, а — обезьяна, которая выучила трюк.
Перед тем как отвечать перечитайте тред. Я не поддерживаю подход LMonoceros. И считаю, что если взялся делать что-то вне рамок закона, то будь готов к тому, что с тебя могут спросить.
kin63camapa
к сожалению популярность микротик делает свое дело, домохозяйка читает интернет «какой роутер хороший», идёт в магазин покупает 951 микрот, настривает его квиксетом и забывает про от что он вообще существует на 5 лет
willyd
Там вроде закрыт менеджмент интерфейс по дефолту. Скорее всего, большинтсво из этих роутеров — это soho сегмент.
kin63camapa
как вариант это «брошенные» роутеры, пришел аутсорсер, настроил, оставил себе доступ в винбокс с снаружи, ушел. Через 5 лет он не то что не вспомнит логин-пароль туда, если не ведет документацию по всем клиентам а даже сам факт установке конкретному васе пупкину, сколько у него таких вась было одному богу известно
rajven
уже года 3 как настройка квиксетом создаёт дефалтное правило на дроп трафика снаружи. если же админка всё равно осталась доступна извне, значит какой-то «нехороший» человек сделал это специально.
enzain
Есть. Вор — не накажет, а сворует.
Наказывать у нас может государственный орган, на основании УК или КОАП.
willyd
Я не уловил, суть вашего вопроса.
Если вы о том, что происходит, если не следить за дверью или правилами фаервола — то я написал, что в случае проблем виноват будет тот кто настраивал/оставил открытой дверь.
Если вы о законности применения наказания, то я нигде и не писал, что может быть по-другому.
sbh
должен найтись как минимум 1 недовольный пользователь, который подаст в суд на данного товарища. А учитывая масштабность, таких найдется не 1 и не 2. Печально, но так происходит всегда.
Kitsok
В одном году один мой добрый знакомый обнаружил, что в сети провайдера, где повсеместно используются устройства одного производителя, логины-пароли стоят дефолтные, почти у всех клиентов. Он сообщил об этой находке провайдеру, но тот мер не принял.
Через некоторое время, в прошивке этого оборудования обнаружилась дыра, позволяющая получить доступ к железке под администратором. Каким-то образом в эту сеть из сотен (нескольких тысяч) устройств попал червяк, который инфицировал устройство и долбился по всем адресам в поисках новой жертвы. Это все генерило адский трафик, и, наверное, очень красиво выглядело из космоса в диапазоне 2.4ГГц.
Начался натуральный "пожар в лесу", а провайдер ничего не предпринимал. По итогам работы червя, устройство кирпичилось и требовало выезда саппорта на место установки.
Мой знакомый неоднократно звонил провайдеру, обозначал проблему, предлагал помощь, но провайдер бездействовал или не справлялся.
Тогда, по прошествии нескольких недель, мой знакомый плюнул, и начал удалять червя и устанавливать прошивку с фиксом на все девайсы, которые постучались в его, знакомого, логи.
Через неделю ситуация начала выправляться, а через месяц признаков наличия червя не осталось.
Вы думаете, после этого провайдер начал регулярно обновлять прошивки, сменил пароли? Да вот нет, все так же и поныне.
LMonoceros
Просто твой знакомый вышел на лицо, не принимающий решение, а точнее которому Пофигу. Надо было стучаться выше, либо опубликовать доказательства, что у него есть доступ к уязвимости, но не публиковать саму уязвимость.
Kitsok
Мой знакомый решил, что стучаться наверх бессмысленно, если процессы в компании выстроены таким образом, что (1) эта ситуация вообще возможна, и (2)саппорту на первой и остальных линиях наплевать.
LMonoceros
Не всегда руководство понимает, что у них назревает писец pikabu.ru/story/kak_motivirovat_rasshirit_shtat_5793924
Ad_xname
В компаниях, которые работают с клиентами, обычно строгая иерархия техподдержки. Нельзя написать сразу администратору или специалисту. Все через техподдержку, а они уже дальше «маршрутизируют». В принципе, это правильно, 90% проблем однотипные и тривиальные.
Помню историю, нашли в стороннем софте баг. Софт корпоративный, куплен, на поддержке.
Пишем — у вас в программе там-то и там-то такой баг, внесли такую-то правку (ошибка была в хранимке), заработало.
Сообщите, пожалуйста, о существующей проблеме разработчикам.
Ответ
— Сейчас у вас все работает?
— Да.
— А что вам тогда от нас нужно?!
toxicdream
О, цифровое время, цифровые робин-гуды…
И отношение к ним такое же: незаконно, но молодец, беги в лес пока не поймали!
ianzag
Ладно б в лес бежал — он же ж обратно рвется. К людям. К признанию.
Ad_xname
Интересно, а если такой «патч» окажется несовместим с одной из прошивок, и роутер накроется, «Робин Гуд» будет ущерб компенсировать?
Или там будут какие-то нестандартные настройки, которые он исправит?
И админ будет сидеть и в 3 часа ночи все восстанавливать?