LINUX.ORG.RU
ФорумTalks

Минутка ненависти производителям железа и провайдерам

 , , ,


1

3

Короче, преамбула. Вчера вечером у моего провайдера настал конец интернетов, в результате чего я оказался закрыт внутри своей локалки. Подумав мозгом решил, что кодить мне лень, фильмов на харде нету, ставить что-то поиграть уже поздно (час ночи), а в гномокрепость играть на ночь можно только если утром надо по дереву выжигать.

Вспомнил, как лет 5-8 назад у нас в локалке был хаб DC++ и пожалел, что он загнулся. И тут в голову пришла шальная идея - nmap есть, локалка есть, дай посмотрю чего у соседей из фильмов скачать можно (людей без пароля на венде дофига все-таки).

Собственно, ping scan подсети + quick scan хостов. На этом преамбула кончается, дальше идет ненависть. И ненависть идет далеко не к юзеру, которому в евросети вторчали кривой dlink за бешеные деньги. И не к юзеру, который через универсальный интерфейс (знакомый «компьютерщик Федя») этот dlink настроил, забыв поставить пароль на админку (мало ли, я вот рисую хреново)

Ненависть идет в первую очередь к производителям этого самого железа.

Первое - почему нельзя хоть как-то ставить пароль изначально? Взять хотя бы пароль == мак, в инструкции написать «ваш пароль снизу на наклейке около слова MAC» и все - хоть какая-то, но безопасность. Или жестко заставить юзера при настройке этот пароль ставить

Второе - тыкаюсь по конфигу, везде звездочки паролей, все скрыто... Тыкаю «save config» - и получаю plain text. и пароли открытые. и логины. Здесь кстати еще есть немного ненависти к провайдеру, использующему vpn для доступа к сети. Какого фига хранить пароли в открытом виде? О_О И кстати нашел в сети еще чью-то линуксовую коробку с busybox на борту. cat /etc/ppp/pap-secrets - тоже plain text, все открыто. Это писец, граждане. А еще «защищенная система» - отсутствие мозга у производителя даже ее делает кривой и дырявой

Третье, что вытекает из второго - это уже ненависть к провайдеру и железу разом. Зная пароль, я могу не только сидеть в сети за счет того юзера, но и зайти в его личный кабинет на странице провайдера, где узнаю где он, кто он, его номер паспорта и номер карты, которой он оплачивает сеть. И если оплачивает правда картой - то на соседней странице можно взять CVV/CVC, и останется только дропа найти.

Подводя итог - сложилось впечатление, что для домашних коробок производители и провайдеры о безопасности вообще не думают. Отсутствие админского пароля, на скан роутеру вообще пофиг, конфиг с паролями в открытом виде, данные кредитки в открытом виде... Короче, огорчился.

★★★★★

Последнее исправление: upcFrost (всего исправлений: 1)

Радоваться надо :) У меня вон список паролей от соседских роутеров — всегда есть запаска.

А так то да, дефолт и безопасность обычно несовместимы.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)
Ответ на: комментарий от onon

телнет на внешку, тоже без пароля. Опять же немного ненависти

и кстати dlink, сиська и асус тоже выставляют вебморду, как не смешно (в базовом конфиге). да и промышленный hp этим страдает (не все, но например линейка MSR выставляет)

upcFrost ★★★★★
() автор топика
Последнее исправление: upcFrost (всего исправлений: 4)
Ответ на: комментарий от fornlr

дефолт и безопасность обычно несовместимы.

Ну почему, вон этот Astra Linux (или как его там) вроде типа безопасен в базовой поставке (чую просто в iptables одно правило deny)

upcFrost ★★★★★
() автор топика

а я как то встретил роутер тэнда в котором просто не предусмотрено прошивкой установить админский пароль.

snaf ★★★★★
()
Ответ на: комментарий от snaf

и такое бывает. я каждый день вижу вигоры (draytek) с идеальной защитой от брута - роутер тупо ложится даже от скана подсети. и вся радость в том, что он типа «промышленное оборудование»

upcFrost ★★★★★
() автор топика

У меня с начала нулевых, у кого-то с начала 90х — ничего не изменилось. Хакинг локалок дело сугубо личное и почти сравнимо с копанием в свалке.

Насчет того, что плохо лежит это ты зря рассказал. Все логируется. Конечно первый слив денег пройдет на ура, а потом 5 лет впаяют

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)

чего у соседей из фильмов скачать можно (людей без пароля на венде дофига все-таки)

Странный провайдер. А как же хваленая сегментация траффика и запрет самбы, дхцп и прочего стаффа?

для домашних коробок производители и провайдеры о безопасности вообще не думают

Хорошие провайдеры думают. Продают железки с оптимизированными настройками, разделяют абонентов (чтобы не видели соседей), поддерживают базы знаний.

outtaspace ★★★
()
Ответ на: комментарий от outtaspace

думаю у провайдера эти конфиги остались еще со времен DC++, когда инет был на 512 кбит максимум и фильмы качали с локалки.

upcFrost ★★★★★
() автор топика

а зачем вообще этот ВПН, да и локалка? я давно на нормального провайдера перешел, потерянного профита так и не вижу

moot ★★★★
()

Это разве интересно? Да нифига не инетесно! Намного интереснее хронически дырявые ява, флеш, PDF ридер, и винда.

Юзера, сидящие под админом. Глобально отключенный UAC, ибо с одной стороны задалбывает сообщениями, с другой — половина хомячковых программ с ним принципиально не работает.

В линуксах, ситуация ни чем не лучше. Полноценно настроенный SELinux есть только в Федоре... Но и его первым делом отключают, ибо лень разбираться.

Файрвол, практически никогда не настраивается в ввиду отсутствия полноценной ГУЙни (ждем nftables, там хоть юзерспейс-библиотека предусмотрена).

Экосистема — просто питательная среда для всякой пакости. Начиная от совершенно бесконтрольной системы инициализации, заканчивая DBus, который самостоятельно запускает демоны.

Systemd был предназначен для решения этой проблемы, но лютое ЧСВ Поттеринга все испортило.

Безопасностью в широких масштабах занимается только Редхат, за что регулярно огребает из промышленных говнометов. Например, по поводу подписи ядерных модулей... Причем писать зловреды ядерного уровня под линукс — одно удовольствие: есть чудесная инфраструктура, предназначенная для овладевания, LSM (низкоуровневая подсистема SELinux, AppArmor и др.). А наличие по крайней мере двух языковых интерпретаторов и компилятора в системе, делают процесс еще более привлекательным.

Чтобы как-то решить проблемы с безопасность, придется выкинуть большую часть прикладного софта, к сожалению, да и переписывание с учетом текущих технологий возможно только там, где безопасность — все.

А ты про какие-то рутеры... Херня эти твои рутеры.

Macil ★★★★★
()

я могу не только сидеть в сети за счет того юзера, но и зайти в его личный кабинет на странице провайдера, где узнаю где он, кто он

Именно так во времена gprs'а узнал, из какого дома, какой квартиры шёл ко мне халявный wi-fi.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от Macil

Файрвол, практически никогда не настраивается в ввиду отсутствия полноценной ГУЙни (ждем nftables, там хоть юзерспейс-библиотека предусмотрена).

В suse вполне себе нормальная гуйня.

madcore ★★★★★
()

Нормальный пров БЕЗПЛАТНО настраивает домашние роутеры если клиент приносит их в офис.

Общие правило для сетевых устройств - управление выносить в отдельный VLAN и только на интерфейсе управляющего VLANa должны висеть ssh, https.

Ни Астра Линукс ни ОпенБСД ни чё другое сего не по дефолту не сделают, должна существовать местная политика и админ её воплощающий.

multihead
()
Ответ на: комментарий от Macil

Сможет. Думаю, оно даже проще, чем в виндах.

madcore ★★★★★
()

На всех роутерах что я видел, админка и telnet/ssh по умолчанию на порту, помеченном как WAN не видны.

PolarFox ★★★★★
()
Ответ на: комментарий от multihead

управление выносить в отдельный VLAN

Только вот без поднятия 802.1x это решение ничего не стоит. А 802.1x — это настолько энтерпрайзный энтерпрайз, что даже в энтерпрайзе на него забивают, не говоря уж про хомячков.

Macil ★★★★★
()

Добро пожаловать в реальный мир.
Могу предложить посканировать собственные машины/поискать опубликованные уязвимости на свои устройства: немного отрезвляет.

aidaho ★★★★★
()

для домашних коробок производители и провайдеры о безопасности вообще не думают.

zgen ★★★★★
()
Ответ на: комментарий от Macil

Безопасностью в широких масштабах занимается только Редхат, за что регулярно огребает из промышленных говнометов. Например, по поводу подписи ядерных модулей...

Кстати да, единство масс в деле выпиливания такого рода защиты достойно отдельного упоминания. В своё время так любимый профессиональными ненужнистами симбиан имел систему цифровой подписи кода с выдачей ему ограниченного числа прав. У юзера был свой сертификат, которым он, если хотел, мог подписать любой кусок кода и дать ему (почти) любые права.

Но нет: народ хотел жрать говно и ставить варез (быстрее), так что цифровые подписи были выпилены нафиг, а всему коду выдали права на всё.

aidaho ★★★★★
()
Ответ на: комментарий от Programmist11180

Gufw, firestarter. пользуйся на здоровье.

$ gufw
The program 'gufw' is currently not installed. You can install it by typing:
sudo apt-get install gufw
$ firestarter
The program 'firestarter' is currently not installed. You can install it by typing:
sudo apt-get install firestarter

Дефолтная убунта, да.

Macil ★★★★★
()
Ответ на: комментарий от Macil

Gufw

Наверное в память по скоропостижно почившему реперу назвали прогу

BambarbiyaKirgudu
()

Все правильно сказал. Весьма часто рука тянется к тяжелым предметам, когда в очередной раз натыкаешься на подобный уровень инженерства.

ak380618
()
Ответ на: комментарий от Macil

А ты про какие-то рутеры... Херня эти твои рутеры.

Это часть описанного тобой.

И да - прав почти полностью. :(

ak380618
()
Ответ на: комментарий от PolarFox

На всех роутерах что я видел, админка и telnet/ssh по умолчанию на порту, помеченном как WAN не видны.

Из того, что видел я, - все видны. SOHO, не enterprise. Тем не менее, тупо все запредельно, как описал ТС.

ak380618
()
Ответ на: комментарий от ak380618

ынтерпрайз зачастую нифига не лучше, даже хуже бывает. Предполагается, что раз купил Ъ-железку - значит у тебя есть админ, которые ее настроит (без админа/платной поддержки - решето)

upcFrost ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks