Вход для хакеров.

Цитата: DeC от 05.01.2021 01:07:37Более 100 тысяч устройств Zyxel оказались с бэкдором - файерволлы, гейтвеи VPN, и тд содержат в себе захардкоженные логин-пароль для админского доступа удаленно. Логин zyfwp и пароль "PrOw!aN_fXp", ну с кем не бывает.

https://www.eyecontr…ducts.html

Информация об апдейтах устройств: https://www.zyxel.co…9583.shtml

Цитата: DeC от 05.01.2021 01:07:37

 

Они открыли ящик Пандоры - после публикации "железного" пароля эти устройства нужно только срочно менять, так как войти через них сможет каждый читающий. Вообще говоря парольная защита - это анахронизм, мир давно перешел на ssh

• +0.01 / 1

Цитата: Поверонов от 05.01.2021 08:46:40Вообще говоря парольная защита - это анахронизм, мир давно перешел на ssh

Цитата: Поверонов от 05.01.2021 08:46:40

 

По ссылке

Цитата$ ssh zyfwp@192.168.1.252
Password: Pr*******Xp
Router> show users current
No: 1
 Name: zyfwp
 Type: admin
(...)
Router>

• +0.03 / 2

Цитата: Поверонов от 05.01.2021 08:46:40Они открыли ящик Пандоры - после публикации "железного" пароля эти устройства нужно только срочно менять, так как войти через них сможет каждый читающий. Вообще говоря парольная защита - это анахронизм, мир давно перешел на ssh

Цитата: Поверонов от 05.01.2021 08:46:40

 

Сиська чуть не каждый год такую открывает. А пандора все чейта никак не вылазит, зараза На самом деле список устройств с этой хренью ограничен. Список версий прошивок - тоже. И да, исправленные прошивки доступны. Как всегда не для всех, конечно, но це таке.
А товарищу Поверонову вопрос, каким образом ssh, который, напомню, протокол, отменяет "парольную защиту", и что это вообще такое "парольная защита". А то мне не совсем понятно.

• +0.03 / 1

Цитата: qurvax от 05.01.2021 13:04:24Сиська чуть не каждый год такую открывает. А пандора все чейта никак не вылазит, зараза На самом деле список устройств с этой хренью ограничен. Список версий прошивок - тоже. И да, исправленные прошивки доступны. Как всегда не для всех, конечно, но це таке.
А товарищу Поверонову вопрос, каким образом ssh, который, напомню, протокол, отменяет "парольную защиту", и что это вообще такое "парольная защита". А то мне не совсем понятно.

Цитата: qurvax от 05.01.2021 13:04:24

 

ssh может авторизоваться без пароля на основе несимметричного шифрования. На хосте лежит публичный ключ и только пользователь имеющий приватный ключ может к этому хосту логиниться. Авторизация в ssh через пароль была временным способом на переходный период который похоже кое-где затянулся безмерно. У нас уже с десяток лет запрещены логины к хостам через пароли.

• +0.02 / 1

Цитата: Поверонов от 05.01.2021 14:25:21была временным способом на

Цитата: Поверонов от 05.01.2021 14:25:21

 

Никакая технология не защитит от раздолбайства.
Будет меняться лишь способ утечки.

• +0.05 / 3

Цитата: gvf от 05.01.2021 14:42:50Никакая технология не защитит от раздолбайства.
Будет меняться лишь способ утечки.

Цитата: gvf от 05.01.2021 14:42:50

 

Раздолбайство, или "человеческий фактор", и остается основным способом утечки.

• +0.00 / 0

Цитата: Проходил мимо от 05.01.2021 16:47:35Раздолбайство, или "человеческий фактор", и остается основным способом утечки.

Цитата: Проходил мимо от 05.01.2021 16:47:35

 

причиной

• +0.00 / 0

Цитата: Поверонов от 05.01.2021 14:25:21ssh может авторизоваться без пароля на основе несимметричного шифрования. На хосте лежит публичный ключ и только пользователь имеющий приватный ключ может к этому хосту логиниться. Авторизация в ssh через пароль была временным способом на переходный период который похоже кое-где затянулся безмерно. У нас уже с десяток лет запрещены логины к хостам через пароли.

Цитата: Поверонов от 05.01.2021 14:25:21

 

Ну что openssh это может, я и не спорю Но не openssh'ем единным. А su у вас тоже с ключами? Не? А чотак? По факту пароль пока остается единственным человекоудобным, и при этом относительно надежным способом аутентификации пользователя (а не "защиты", лол) операционной системой. Вообще. Несмотря на пихаемый куда попало PAM, и PKI.
Про "временным" ссылкой не порадуете?

• +0.01 / 1

Цитата: Поверонов от 05.01.2021 14:25:21ssh может авторизоваться без пароля на основе несимметричного шифрования. На хосте лежит публичный ключ и только пользователь имеющий приватный ключ может к этому хосту логиниться. Авторизация в ssh через пароль была временным способом на переходный период который похоже кое-где затянулся безмерно. У нас уже с десяток лет запрещены логины к хостам через пароли.

Цитата: Поверонов от 05.01.2021 14:25:21

 

все это безусловно правильно...вопрос - а каим образом реализовать  в железном устройстве продаваемом анонимнному потребителю аутентификацию по ключу с помощью ssh  из коробки( то есть сразу же после покупки устройства)не подскажите

• +0.00 / 0

Цитата: GrinF от 07.01.2021 22:48:23все это безусловно правильно...вопрос - а каим образом реализовать  в железном устройстве продаваемом анонимнному потребителю аутентификацию по ключу с помощью ssh  из коробки( то есть сразу же после покупки устройства)не подскажите

Цитата: GrinF от 07.01.2021 22:48:23

 

А зачем анонимному вы с какой то не законной целью хотите устройство использовать

• +0.00 / 0

Цитата: Explorer-2000 от 07.01.2021 23:02:16А зачем анонимному вы с какой то не законной целью хотите устройство использовать

Цитата: Explorer-2000 от 07.01.2021 23:02:16

 

потому что во первых он не известен производителю в момент производства  левайса (и може поменять в процессе хозяйственного оборота десяткки рук... а во вторых - кроме ващих свободных стран - никто в мире не сообщает прризводителю своли личные данные для улучшения качества обслуживаня (привет марку с его сегодняшним опусом)

• +0.00 / 0

Цитата: GrinF от 07.01.2021 22:48:23все это безусловно правильно...вопрос - а каим образом реализовать  в железном устройстве продаваемом анонимнному потребителю аутентификацию по ключу с помощью ssh  из коробки( то есть сразу же после покупки устройства)не подскажите

Цитата: GrinF от 07.01.2021 22:48:23

 

Открытый ключ производителя может быть "вшит в железо" ( так же как был вшит  пароль  ), и только имеющий приватный ключ может залогиниться к этому устройству. Если потребуется приватный ключ может передаваться обслуживающей компании-оператору.
Во всяком случае это надежнее чем вшитый в устройство пароль. Ключей может быть несколько - например свой и передаваемый оператору.

• +0.02 / 1

Цитата: Поверонов от 08.01.2021 08:28:18Открытый ключ производителя может быть "вшит в железо" ( так же как был вшит  пароль  ), и только имеющий приватный ключ может залогиниться к этому устройству. Если потребуется приватный ключ может передаваться обслуживающей компании-оператору.
Во всяком случае это надежнее чем вшитый в устройство пароль. Ключей может быть несколько - например свой и передаваемый оператору.

Цитата: Поверонов от 08.01.2021 08:28:18

 

тогда тебе придется в интсрукции по эксплуатации приводить приватный ключ - мочало мочало начинай сначала, причем в отличии от случая когда пользователь получив девайс и получив доступ по паролю сгенериует ноуб пару, в данном случае перегенерировать новую пару вообще не получится ибо она в прошивке
PS
кстати никто тут не ковырял ростелекомовский ZTE N298а - никто не знает можно ли root получить не меняя прошивку?...Блин не могу по ipv6 после смены роутера наладить доступ извне в домашнюю сеть - на старом роутере был рут и спокойно хотя бы мониторить прохождение пакетов, ща стоит  черный ящик 

• +0.00 / 0

Цитата: GrinF от 08.01.2021 17:26:36тогда тебе придется в интсрукции по эксплуатации приводить приватный ключ - мочало мочало начинай сначала, причем в отличии от случая когда пользователь получив девайс и получив доступ по паролю сгенериует ноуб пару, в данном случае перегенерировать новую пару вообще не получится ибо она в прошивке
PS
кстати никто тут не ковырял ростелекомовский ZTE N298а - никто не знает можно ли root получить не меняя прошивку?...Блин не могу по ipv6 после смены роутера наладить доступ извне в домашнюю сеть - на старом роутере был рут и спокойно хотя бы мониторить прохождение пакетов, ща стоит  черный ящик

Цитата: GrinF от 08.01.2021 17:26:36

 

Мы же говорим не о пользовательских ключах, а о ключе для backdoor который может использоваться службой поддержки производителя или спецслужбами. А пользовательские ключи генерятся софтом.

• +0.00 / 0

Цитата: GrinF от 08.01.2021 17:26:36тогда тебе придется в интсрукции по эксплуатации приводить приватный ключ - мочало мочало начинай сначала, причем в отличии от случая когда пользователь получив девайс и получив доступ по паролю сгенериует ноуб пару, в данном случае перегенерировать новую пару вообще не получится ибо она в прошивке
PS
кстати никто тут не ковырял ростелекомовский ZTE N298а - никто не знает можно ли root получить не меняя прошивку?...Блин не могу по ipv6 после смены роутера наладить доступ извне в домашнюю сеть - на старом роутере был рут и спокойно хотя бы мониторить прохождение пакетов, ща стоит  черный ящик

Цитата: GrinF от 08.01.2021 17:26:36

 

Так делать не надо. Как и прошивать какие-либо ключи вообще. Многие уже допрошиовались, и еще сколько их, мудаков, на наши, админские, головы будет...
Если нужен канал "call-home", то заводиться полностью официальный и описаный в доках сервис удаленной поддержки. При прохождении процедуры активации такового функционала - генерируется пара ключей в устойстве, публичный ключ устройства регистрируется в сервисе, а сервиса - в устройстве. Максимум, можно захардкодить адреса эндпоинтов сервиса.

По PS: я бы посоветовал выкинуть каку.

• +0.06 / 3

Цитата: qurvax от 11.01.2021 18:36:13По PS: я бы посоветовал выкинуть каку.

Цитата: qurvax от 11.01.2021 18:36:13

 

Какой дали... Я кстати никаких претензий к нему по скорости не имею...Еще бы доступ нормальный к унутреннностям получить... 

• +0.00 / 0

Цитата: GrinF от 07.01.2021 22:48:23все это безусловно правильно...вопрос - а каим образом реализовать  в железном устройстве продаваемом анонимнному потребителю аутентификацию по ключу с помощью ssh  из коробки( то есть сразу же после покупки устройства)не подскажите

Цитата: GrinF от 07.01.2021 22:48:23

 

Если я правильно понял, о какой коробке вы говорите, то частенько это описано прямо в документации. Например мой Ubiquity ERL (железка домашнее некуда, 100ойро) - 2 толи 3 команды, да и то одна из них конфиг сохраняет. Т.е. заходим тем, что дано по умолчанию (написано на бумажке в коропке), и вводим команды опять же из мануала. Ключ, естественно, свой либо уже имеем, либо генерируем новый, для чего используем то, что нам больше нравиться по вкусу (openssh, putty, kitty, их несчесть...). Проблема может быть разве что с нежеланием собсно документацию читать вообще, или клиентскими девайсами от альтернативно одаренной конторки типа эппла.

• +0.00 / 0