Venter stort angrep fra mengder av rutere og NAS-enheter

[bojangles]

 

Det du sier gir mening nå når du forklarer mer enn du gjorde istad. Men du glemmer en vesentlig ting når du sier oppdatert firmware OTA. Tror nok det er mange som har samme erfaring som meg opp gjennom årene, når en kjøper seg en ruter (hjemmemarkdet or home/small office) så er det nærmest en naturlov skrevet i stein at produsenten dropper oppdatering av firmware jo før jo heller. Det var jo blant annet manglende oppdateringer som i sin tid gjorde at jeg ble introdusert for Openwrt.

Jepp. Det er helt riktig. Litt av problemet er dog at Linux-systemet er _komplekst_. Det er støtte for absolutt alt mulig rart i en slik kjerne. I tillegg kan det være at f.eks. den SoC'en som ruteren bruker bare er støttet av Linux 2.6.46 fordi det var den aktuelle kjernen når SoC'en kom på markedet. Evt. kernel-feil som kommer etter dette må da portes tilbake til denne fordi dette er den eneste versjonen av kjerne som støttes fordi leverandøren aldri lykkes med å upstreame ARM-støtten sin.

 

Så jobben med vedlikeholde wifi-ruter kan være temmelig omfattende fordi OSet er så komplekst. Med et enklere OS som kun har det som skal til så burde problemene være noen størrelsesordener lettere.

 

I tillegg så vil kanskje 99% av feilene i et slikt OS være vanskelige å utnytte. Uten systemkall, skrivbare filsystemer eller shell så er det veldig vanskelig å bryte seg og gjøre noe slemt med et system. Så selv om leverandøren skulle gi blaffen i oppdatere så er ikke enheten dermed automatisk skadelig.

 

Men om vi snur på det. En produsent velger å gjøre som du sier, og står bak produktet sitt og leverer både kritiske fixer i firmware og praktiske fixer OTA og kundene kan være trygg på at disse fixene vil komme dersom det er behov for dem, ja da vil jeg si at det nærmest har åpnet opp et nytt segment hvor kunder kanskje også vil ha økt betalingsvilje for produktet, evt. være villig til å betale en årlig sum for firmware fix OTA. For sålenge produktet virker som planlagt over tid, er stabilt, og kjører høyere sikkerhet så er det klart da blir det vanskelig å argumentere for openwrt el.

Jeg tror at vi må dit at vi må regulere dette. Hvis vi tvinger alle som selger tilkoblede dingser til å støtte dem i minst tre å etter at siste enhet har forlatt fabrikken så blir det fart på sakene. Hvis da leverandøren er ansvarlig for dekke evt. skader som deres manglende oppdatering fører til så blir nok ting bedre.

 

 

For entusiaster så er jo pfsense mye brukt, den er basert på freeBSD og må vel være 10-15 år nå? De som bruker den er svært fornøyd og sier den har økt sikkerhet i forhold til både openwrt og mange forbrukerrutere. Men det er klart for helt vanlige forbrukere så er det kanskje ikke å forvente at de skal manne seg opp til å kjøre pfsense og sette kabelmodemet i bridge mode. Og det er vel mannen i gata som er målgruppen din? Hva skiller din løsning fra feks pfsense?

 

Tror nok ikke vi vil se krav til produsentene om å følge opp med firmware. Dette med at produsenter gir bængen i firmware og drivere og heller pusher nye produkter har vært likt i minst 25 år. Og det skjer jo ikke at de kollektivt tar ansvar. En og annen produsent forsøker, men da gjerne kun på et helt spesielt produkt feks et entusiast kort eller annet LTD edition etc. Og selv da så dropper de jo støtten til sist. Eu burde jo frontet slikt men nei. Og det gir oss dobbelt opp med problemer. Både den it-messige biten, feks sikkerhetbrister som ikke blir patchet men også det med at slikt fremmer bruk og kast mentalitet og det er jo veldig synd. 

 

Om du lykkes med å få din egenproduserte ruter ut til kunder så er jeg sikker på at du kan dra inn ekstra kroner per kunde for å få OTA oppdateringer slik at sikkerheten forblir høy og stabiliteten blir ennå bedre over tid. Det er noe jeg fint kunne brukt kroner på for å gi i gave feks til famile, slik at en slipper å være it-vaktmester og bli oppringt hver gang de har problemer. 

Endret 27. mai 2018 av bojangles

[Gjest Slettet-Pqy3rC]

For entusiaster så er jo pfsense mye brukt, den er basert på freeBSD og må vel være 10-15 år nå?...

pfSense er topp, men antagelig "vanskelig" å få salgbar embedded. Dvs. boksen du skal selge må ha freeBSD støtte (drivere etc)- og helst da komponenter med gode drivere (fx. intel NIC's). Så hardwaren blir fort dyr, særlig om markedet er folk som tenker "...det er bare en router...".

 

(brukergrensesnittet tror jeg er lettere å gjøre "dummyproof". Bygge et enkelt skall foran og la alt det normale ligge under "Advanced". Det er ikke noe problem å gjøre OTA oppdateringer av "firmware" heller. Hele oppsettet kan forøvrig lastes ned som en fil, kjekt om en skal bytte selve boksen.).

Endret 28. mai 2018 av Slettet-Pqy3rC

[bojangles]

 

For entusiaster så er jo pfsense mye brukt, den er basert på freeBSD og må vel være 10-15 år nå?...

pfSense er topp, men antagelig "vanskelig" å få salgbar embedded. Dvs. boksen du skal selge må ha freeBSD støtte (drivere etc)- og helst da komponenter med gode drivere (fx. intel NIC's). Så hardwaren blir fort dyr, særlig om markedet er folk som tenker "...det er bare en router...".

 

(brukergrensesnittet tror jeg er lettere å gjøre "dummyproof". Bygge et enkelt skall foran og la alt det normale ligge under "Advanced". Det er ikke noe problem å gjøre OTA oppdateringer av "firmware" heller. Hele oppsettet kan forøvrig lastes ned som en fil, kjekt om en skal bytte selve boksen.).

 

 

 

Men det er vel akkurat dette som du sier som gjør at folk møter seg selv i døren om dagen? Alle har alt for lenge gitt bængen i ruteren. De har aldri skjenket den en tanke. De bruker det som kom med kabel/fiber/adsl. Og ferdig med det. Og også ISP'er har hatt litt stemoderlig omsorg for sine rutere, der de primært har valgt billigste box også bare shippet disse boksene ut til kundene. 

 

Vi ser nå at målrettede angrep blir stadig smartere og det gjøres mye ugang på rutere. Kanskje vi nærmer oss punktet hvor sikkerhet faktisk opptar langt flere enn tidligere. Og om vi da har en tilbyder som gir deg det du trenger for å være safe, en som også sørger for å oppdatere ruteren (OTA) når det er behov uten at brukeren trenger involvere seg så tror jeg også at betalingsviljen vil være til stede. Ikke alle vil betale for slikt, men mange nok til at jeg tror det er liv laget for ideen. 

 

Alternativet er jo at folk selv må sette seg inn i sikkerhet og det vet vi ikke kommer til å gå særlig bra. Og det vet nok folk flest også. 

Endret 29. mai 2018 av bojangles

[DCALQEYU]

Vedr. NAS generelt; VPNFilter gjelder bare om NAS'et er eksponert ut mot internett. Ingen kan nå noe bak en brannvegg el.lign.

 

Mener du virkelig at ingen klarer å komme seg forbi en brannmur???

[Gjest Slettet-Pqy3rC]

Mener du virkelig at ingen klarer å komme seg forbi en brannmur???

Jepp. Ingen kommer inn via annet enn hva det er åpnet for.

 

Hvilket tilsier de portene og protokollene en har kontroll på. Er man usikker, f.eks. enheter som kan styres eksternt (av leverandørselskap), som printere ol., setter man slikt på eget nett som ikke har tilgang til primær LAN.

 

Jeg opererer med minimum 3 nett (LAN) på innsiden av en brannvegg. Brannvegg må altså minimum fire "ben"/NIC/nettverksutganger. Dette hos private, som ofte mangler backup WAN. Ved oppsett hos selskaper benytter jeg 8 til 16 ulike nett på innsiden.

 

Brukere kan jo selfølgelig knekke det meste ved å være gitt feil tilganger (lokal admin), trykke på alle linker de finner samt svare "ja" på alt. Da kan fremmede alltid få tilgang via en brukermaskin, men sånt er utenfor nettverksoppsettet. Idioti er vanskelig å stoppe, de finnes de som glemmer å låse dørene også.