W serwisie Wirtualnej Polski pojawił się kilka dni temu z pozoru całkiem pożyteczny artykuł, opisujący dziesięć zasad bezpiecznego korzystania z rutera. Jedną z rekomendowanych zasad jest unikanie oprogramowania open source!
Z dziesięciu zasad bezpiecznego obchodzenia się z ruterami, opublikowanych przez anonimowego autora WP we współpracy z anonimowymi „ekspertami z Netgear” dziewięć jest całkiem rozsądnych. Zmiana hasła administratora, ustawienie szyfrowania, aktualizacje oprogramowania – trudno się z nimi nie zgodzić. Dopiero ostatnia, dziesiąta porada, sprawiła, że spadliśmy z krzesła.
Porada roku
Trzymacie się swoich stołków? To dobrze, bo oddajemy głos ekspertom:
Tak. Eksperci firmy Netgear uważają, że możliwość znalezienia błędów w kodzie źródłowym oprogramowania open source to jego wada – ponieważ, jak powszechnie wiadomo, w kodzie źródłowym oprogramowania zamkniętego błędów znaleźć nie sposób! Na wszelki wypadek utrwaliliśmy ten fragment na zrzucie ekranu. Przyda się kiedyś do prezentacji.
Utrwalony genialny akapit
Krótkie przypomnienie dla ekspertów
Aby nabrać właściwej perspektywy dla oceny prawdziwości tej wypowiedzi proponujemy krótki przegląd występowania marki Netgear w naszych artykułach w ciągu ostatnich 2 lat.
- Ruter WNDR3700v4 oraz WNDR4700 – wywołanie kilku adresów z panelu administratora sprawia, że urządzenie już nigdy nie zapyta o login i hasło administratora.
- Odtwarzacz NeoTV – w nazwie sieci WiFi można wpisywać dowolne polecenia, które zostaną wykonane przez urządzenie. Hakowanie pilotem nigdy nie było tak proste.
- Rutery DG934, WPNT834, WG602, WGR614, DGN2000 i wiele innych – tylna furtka bez uwierzytelnienia na porcie 32764.
- Rutery N150 lub N600 – odzyskiwanie hasła administratora bez uwierzytelnienia.
- A gdyby tego było mało, to baza CVE pod hasłem Netgear pokazuje 44 wpisy (a to na pewno nie wszystkie).
Dla porównania – DD-WRT ma 4 CVE (ostatnie w 2009), dla OpenWRT czy Tomato nie znaleźliśmy żadnych. Co na to eksperci Netgeara oraz autor Wirtualnej Polski? Chętnie byśmy ich o to zapytali, niestety nie podali w artykule swoich nazwisk. A szkoda…
Aktualizacja: firma Netgear przesłała nam sprostowanie o treści:
do przygotowanego przez nas artykułu „10 zasad bezpiecznego użytkowania routerów” wkradł się drukarski chochlik, powodując pewną nieścisłość w punkcie dziesiątym, poświęconym urządzeniom open source. Chodziło nam oczywiście o urządzenia UTM (!). Niezwłocznie po zauważeniu tego przeoczenia zwróciliśmy się do redakcji wp.pl i telix.pl z prośbą o korektę. Redakcje momentalnie poprawiły tekst.
NETGEAR pragnie podkreślić, że bardzo mocno wspiera rozwiązania open source, czego dowodem jest stworzona przez firmę kilka lat temu strona myopenrouter.com. Dziękujemy za czujność i mamy nadzieję, że zbiór zasad uwzględniający poprawkę zagwarantuje Wam bezpieczniejsze korzystanie z sieci.
Pozwolimy sobie na mały komentarz do „sprostowania”. 9 punktów mówi o domowych ruterach, 10 naraz o urządzeniach UTM? Ile znacie urządzeń UTM z oprogramowaniem Open Source? A nawet gdyby jakieś istniały, to skąd znowu to uprzedzenie?
Na trop artykułu z WP trafiliśmy dzięki temu Wykopowi.
Komentarze
Co do Open Source to niedługo darmowa konferencja w hotelu Marriott.
http://opensourceday.pl/
WP juz dawno osiągnęło dno… Jedyne do czego służy to chyba pingowanie z racji krótkiego i łatwego do zapamiętania adresu
hah święta prawda, trafiłeś idealnie :)
Potwierdzam :) Też ich pinguję gdy chcę sprawdzić łączność :)
Czyli od lat pingując wp.pl nie jestem oryginalny :-(
… ale cisza bo WP się zorientuje i zablokuje możliwość pingowania ;)
Ja pinguję jeszcze rp.pl czasem ;)
Tylko nie pingujcie razem bo serwery padną.
netgear w swoich rozwiązaniach korzysta z linuxa (debian). Ale cicho bo się wyda.
o kur…. xD to mnie zdjęło z fotela :)
PS
Ciekawe czy to chwyt marketingowy wymuszony na Wp, czy pan pro ekspert Edek z labu netcośtam sprzedał tajniki sukcesu! haha
Na telixie te rewelacje tez były http://www.telix.pl/artykul/10-zasad-jak-bezpiecznie-korzystac-z-routera-3,60531.html
Wypowiedź “ekspertów z wp“, przypomina propagandę Microsoftu. Nasz system, przeglądarka itd. są najlepsze, najbezpieczniejsze. Inne produkty omijaj szerokim łukiem :-D
Jesteście pewni że Ci eksperci faktycznie pracują dla Netgear?
Przecież nikt inny, tylko Netgear wypuścił kiedyś bardzo udaną serię routerów oficjalnie wspierającą oprogramowanie open-source.
WP ma potencjal.. Na domene portalu typu WordPress.
tu jest to samo http://itfocus.pl/porady-ekspertow/10-zasad-bezpiecznego-korzystania-z-routera
https://badsector.pl/zagrozenia/raporty/2014/04/powazna-luka-w-bibliotece-openssl-wiele-systemow-zagrozonych.157.html
I kto miał rację??? Open Source jest niebezpieczny i nie powinno się go używać, czas skończyć z tym durnym propagowaniem zabugowanego oprogramowania!
A ciekawe ile takich krytycznych błędów z oprogramowania nie open soruce nigdy nie ujrzało światła dziennego i nadal umożliwia swobodną penetrację…
Roznica jest taka, ze ten bug znaleziono i usunieto. Bo kod zrodlowy jest dostepny.
W sofcie zamknietym ten proces nie ma miejsca: menedzerowie probuja „zamiesc pod dywan” bugi i problemy, udawac ze ich nie ma. Sam bylem tego ofiara, m.in. dlatego nie dostalem premii rocznej bo upieralem sie ze pewien bug jest zagrozeniem i naruszeniem pewnych prawnych standardow (potem odszedlem z firmy).
Polityka, panie.
Ludzie „na ulicy” nie wiedza jak dziala kod zrodlowy, kompilator, proces rozwoju oprogramowania. Instynkt mowi „lo jezu jak kod zrodlowy to moga zobaczyc co tam jest! niebezpieczne!”. Proby wytlumaczenia ze kod zamkniety czy binarka dla zmotywowanego wlamywacza nie stanowia przeszkody nie beda wysluchane, bo mamy do czynienia z pierwsza reakcja – strach.
to co ma firma netgear zrobic: nie bedzie wszystkich edukowac, to nie ich biznes. Lepiej wykorzystac ten instynkt ktory jest na swoja korzysc.
Druga sprawa: sami mieli dziury i to trywialne i grube, a nie podatnosc na jakies ezoteryczne ataki czy trudno wykrywalny bug (ktory zdarza sie kazdemu, czy jest to closed czy open source): http://www.pcworld.com/article/2057260/vulnerabilities-in-some-netgear-router-and-nas-products-open-door-to-remote-attacks.html
Efektywna reakcja polityc zna? Proste: zmienic temat. „a ty to co?1 no co?! tez zle robisz!”
Dodam swoje 3 grosze. NETGEAR wspiera open source bo sami stworzyli dla swoich produktów myopenrouter.com. Mają serię urządzeń specjalnie po open source (sam korzystam z wnr3500l). Z tego co widziałem na FB zamieścili komentarz że chyba agencja marketingowa posklejała kilka materiałów a punkt 10 dotyczył UTM. A to już by się zgadzało bo cisco, fortinet i netgear nie udostępniają kodu UTMów.
Dobrze by było zrobić update do artykułu żeby nie wyszło że bez sprawdzenia u źródła czy to nie pomyłka bo teraz wychodzi że nie dość że nie wiemy co to netgear to jeszcze jedziemy na sensacji.
Niedawno kupiłem sobie D-linka DIR600.
Grzał jak kaloryfer, a funkcjonalność zerowa.
Wgrałem DD-WRT, router zimny (obciążenie procesora ~2%), opcji tyle że nie mogę się w nich połapać
> 10. Unikaj urządzeń działających na „open source”.
> (…) wyłapywanie błędów w kodzie przez developerów.
Statystycznie rzecz biorąc: tekst opublikowany na witrynie wypełnionej czytalnym kodem JS, wykorzystującej otwarty standard OpenID. Przesłany otwartym protokołem HTTP, na otwartym protokole TCP/IP, na otwartym protokole IP, na serii innych otwartych protokołów. Przesłane przez przynajmniej kilka maszyn opartych o systemy implementujące POSIXa (jeśli nie oparte bezpośrednio o ARMy z Linuksem) i z dostępnymi standardowymi usługami. Odebrane na open-sourceowym systemie (Android) lub open-sourceową przeglądarką (Firefox/Chrome). Obrazki robione i odczytywane otwartym standardem, otwartą biblioteką lub przynajmniej jej klonem.
No to jak taki użytkownik może zastosować się do tej porady? Przecież wtedy nawet nie mógłby jej przeczytać…
Chrome nie jest open source, tylko zamknięte Chromium z kilkoma dodatkami Googla (hehehe).
s/tylko/to/
Każdy żyd swój towar chwali.
Tu:
http://itfocus.pl/porady-ekspertow/10-zasad-bezpiecznego-korzystania-z-routera
jest napisane, że
„Materiał przygotowany przez firmę Netgear”
NETGEAR wspiera open source bo sami stworzyli dla swoich produktów myopenrouter.com. Mają serię urządzeń specjalnie po open source (sam korzystam z wnr3500l). Z tego co widziałem na FB zamieścili komentarz że chyba agencja marketingowa posklejała kilka materiałów a punkt 10 dotyczył UTM. A to już by się zgadzało bo cisco, fortinet i netgear nie udostępniają kodu UTMów.
Dobrze by było zrobić update do artykułu żeby nie wyszło że bez sprawdzenia u źródła czy to nie pomyłka bo teraz wychodzi że nie dość że nie wiemy co to netgear to jeszcze jedziemy na sensacji.
100% pewność…. nawet nie miałem pojęcia, że takowa istnieje, szczególnie jeśli gdzieś jest oprogramowanie. Ale cóż – uczmy się od ekspertów :P :P
Z czego robicie aferę? Z tego co widzę to poprawiono ten błąd. A sam fakt, że netgear to puścił jest pozytywny – dla mnie jako zwykłego usera 90% tych informacji było anonimowe – pewnie tylko część z tego wykorzystam, ale zawsze coś. Każdy taki ruch jest dobry, tylko aby tylko info było w 100% merytoryczne.
Pozdrawiamy agencję PR.
9 punktów mówi o domowych ruterach, 10 naraz o urządzeniach UTM? Ile znacie urządzeń UTM z oprogramowaniem Open Source? A nawet gdyby jakieś istniały, to skąd znowu to uprzedzenie?
Z czego tak ekscytacja? Przecież poprawili później błąd, a zwykłemu userowi cala publikacja i tak się przydała.
Pozdrawiamy agencje PR
https://www.google.pl/search?q=malkot%20netgear&rct=j