07.04.2014 | 21:38

Adam Haertle

Koncertowa bzdura autorstwa WP.PL oraz ekspertów z firmy Netgear

W serwisie Wirtualnej Polski pojawił się kilka dni temu z pozoru całkiem pożyteczny artykuł, opisujący dziesięć zasad bezpiecznego korzystania z rutera. Jedną z rekomendowanych zasad jest unikanie oprogramowania open source!

Z dziesięciu zasad bezpiecznego obchodzenia się z ruterami, opublikowanych przez anonimowego autora WP we współpracy z anonimowymi „ekspertami z Netgear” dziewięć jest całkiem rozsądnych. Zmiana hasła administratora, ustawienie szyfrowania, aktualizacje oprogramowania – trudno się z nimi nie zgodzić. Dopiero ostatnia, dziesiąta porada, sprawiła, że spadliśmy z krzesła.

Porada roku

Trzymacie się swoich stołków? To dobrze, bo oddajemy głos ekspertom:

10. Unikaj urządzeń działających na „open source”. Firma opierająca swoje rozwiązania na oprogramowaniu typu open source jest zobowiązana do udostępniania kodu źródłowego, przez co naraża swoje produkty na potencjalne wyłapywanie błędów w kodzie przez developerów.

Tak. Eksperci firmy Netgear uważają, że możliwość znalezienia błędów w kodzie źródłowym oprogramowania open source to jego wada – ponieważ, jak powszechnie wiadomo, w kodzie źródłowym oprogramowania zamkniętego błędów znaleźć nie sposób! Na wszelki wypadek utrwaliliśmy ten fragment na zrzucie ekranu. Przyda się kiedyś do prezentacji.

Utrwalony genialny akapit

Utrwalony genialny akapit

Krótkie przypomnienie dla ekspertów

Aby nabrać właściwej perspektywy dla oceny prawdziwości tej wypowiedzi proponujemy krótki przegląd występowania marki Netgear w naszych artykułach w ciągu ostatnich 2 lat.

  1. Ruter WNDR3700v4 oraz WNDR4700 – wywołanie kilku adresów z panelu administratora sprawia, że urządzenie już nigdy nie zapyta o login i hasło administratora.
  2. Odtwarzacz NeoTV – w nazwie sieci WiFi można wpisywać dowolne polecenia, które zostaną wykonane przez urządzenie. Hakowanie pilotem nigdy nie było tak proste.
  3. Rutery DG934, WPNT834, WG602, WGR614, DGN2000 i wiele innych – tylna furtka bez uwierzytelnienia na porcie 32764.
  4. Rutery N150 lub N600 – odzyskiwanie hasła administratora bez uwierzytelnienia.
  5. A gdyby tego było mało, to baza CVE pod hasłem Netgear pokazuje 44 wpisy (a to na pewno nie wszystkie).

Dla porównania – DD-WRT ma 4 CVE (ostatnie w 2009), dla OpenWRT czy Tomato nie znaleźliśmy żadnych. Co na to eksperci Netgeara oraz autor Wirtualnej Polski? Chętnie byśmy ich o to zapytali, niestety nie podali w artykule swoich nazwisk. A szkoda…

Aktualizacja: firma Netgear przesłała nam sprostowanie o treści:

Szanowni Czytelnicy,
do przygotowanego przez nas artykułu „10 zasad bezpiecznego użytkowania routerów” wkradł się drukarski chochlik, powodując pewną nieścisłość w punkcie dziesiątym, poświęconym urządzeniom open source. Chodziło nam oczywiście o urządzenia UTM (!). Niezwłocznie po zauważeniu tego przeoczenia zwróciliśmy się do redakcji wp.pl i telix.pl z prośbą o korektę. Redakcje momentalnie poprawiły tekst.

NETGEAR pragnie podkreślić, że bardzo mocno wspiera rozwiązania open source, czego dowodem jest stworzona przez firmę kilka lat temu strona myopenrouter.com. Dziękujemy za czujność i mamy nadzieję, że zbiór zasad uwzględniający poprawkę zagwarantuje Wam bezpieczniejsze korzystanie z sieci.

Pozwolimy sobie na mały komentarz do „sprostowania”. 9 punktów mówi o domowych ruterach, 10 naraz o urządzeniach UTM? Ile znacie urządzeń UTM z oprogramowaniem Open Source? A nawet gdyby jakieś istniały, to skąd znowu to uprzedzenie?

Na trop artykułu z WP trafiliśmy dzięki temu Wykopowi.

Powrót

Komentarze

  • 2014.04.07 21:43 Bartłomiej

    Co do Open Source to niedługo darmowa konferencja w hotelu Marriott.
    http://opensourceday.pl/

    Odpowiedz
  • 2014.04.07 22:18 kruk

    WP juz dawno osiągnęło dno… Jedyne do czego służy to chyba pingowanie z racji krótkiego i łatwego do zapamiętania adresu

    Odpowiedz
    • 2014.04.07 22:49 Gracjan

      hah święta prawda, trafiłeś idealnie :)

      Odpowiedz
    • 2014.04.08 08:09 steppe

      Potwierdzam :) Też ich pinguję gdy chcę sprawdzić łączność :)

      Odpowiedz
    • 2014.04.08 12:23 Amadeuszx

      Czyli od lat pingując wp.pl nie jestem oryginalny :-(

      Odpowiedz
      • 2014.04.09 11:09 KP

        … ale cisza bo WP się zorientuje i zablokuje możliwość pingowania ;)

        Odpowiedz
        • 2014.04.09 20:18 Łukasz

          Ja pinguję jeszcze rp.pl czasem ;)

          Odpowiedz
        • 2014.04.19 18:04 yujyuj

          Tylko nie pingujcie razem bo serwery padną.

          Odpowiedz
  • 2014.04.07 22:49 atom

    netgear w swoich rozwiązaniach korzysta z linuxa (debian). Ale cicho bo się wyda.

    Odpowiedz
  • 2014.04.07 23:11 m

    o kur…. xD to mnie zdjęło z fotela :)
    PS
    Ciekawe czy to chwyt marketingowy wymuszony na Wp, czy pan pro ekspert Edek z labu netcośtam sprzedał tajniki sukcesu! haha

    Odpowiedz
  • 2014.04.08 07:16 Adam

    Wypowiedź “ekspertów z wp“, przypomina propagandę Microsoftu. Nasz system, przeglądarka itd. są najlepsze, najbezpieczniejsze. Inne produkty omijaj szerokim łukiem :-D

    Odpowiedz
  • 2014.04.08 08:18 wut

    Jesteście pewni że Ci eksperci faktycznie pracują dla Netgear?
    Przecież nikt inny, tylko Netgear wypuścił kiedyś bardzo udaną serię routerów oficjalnie wspierającą oprogramowanie open-source.

    Odpowiedz
  • 2014.04.08 08:30 Tomasz Em

    WP ma potencjal.. Na domene portalu typu WordPress.

    Odpowiedz
  • 2014.04.08 09:32 JackN

    https://badsector.pl/zagrozenia/raporty/2014/04/powazna-luka-w-bibliotece-openssl-wiele-systemow-zagrozonych.157.html

    I kto miał rację??? Open Source jest niebezpieczny i nie powinno się go używać, czas skończyć z tym durnym propagowaniem zabugowanego oprogramowania!

    Odpowiedz
    • 2014.04.08 09:53 Bartek

      A ciekawe ile takich krytycznych błędów z oprogramowania nie open soruce nigdy nie ujrzało światła dziennego i nadal umożliwia swobodną penetrację…

      Odpowiedz
    • 2014.04.08 10:24 marcin

      Roznica jest taka, ze ten bug znaleziono i usunieto. Bo kod zrodlowy jest dostepny.

      W sofcie zamknietym ten proces nie ma miejsca: menedzerowie probuja „zamiesc pod dywan” bugi i problemy, udawac ze ich nie ma. Sam bylem tego ofiara, m.in. dlatego nie dostalem premii rocznej bo upieralem sie ze pewien bug jest zagrozeniem i naruszeniem pewnych prawnych standardow (potem odszedlem z firmy).

      Odpowiedz
  • 2014.04.08 10:19 marcin

    Polityka, panie.

    Ludzie „na ulicy” nie wiedza jak dziala kod zrodlowy, kompilator, proces rozwoju oprogramowania. Instynkt mowi „lo jezu jak kod zrodlowy to moga zobaczyc co tam jest! niebezpieczne!”. Proby wytlumaczenia ze kod zamkniety czy binarka dla zmotywowanego wlamywacza nie stanowia przeszkody nie beda wysluchane, bo mamy do czynienia z pierwsza reakcja – strach.

    to co ma firma netgear zrobic: nie bedzie wszystkich edukowac, to nie ich biznes. Lepiej wykorzystac ten instynkt ktory jest na swoja korzysc.

    Druga sprawa: sami mieli dziury i to trywialne i grube, a nie podatnosc na jakies ezoteryczne ataki czy trudno wykrywalny bug (ktory zdarza sie kazdemu, czy jest to closed czy open source): http://www.pcworld.com/article/2057260/vulnerabilities-in-some-netgear-router-and-nas-products-open-door-to-remote-attacks.html

    Efektywna reakcja polityc zna? Proste: zmienic temat. „a ty to co?1 no co?! tez zle robisz!”

    Odpowiedz
  • 2014.04.08 12:40 Przemek

    Dodam swoje 3 grosze. NETGEAR wspiera open source bo sami stworzyli dla swoich produktów myopenrouter.com. Mają serię urządzeń specjalnie po open source (sam korzystam z wnr3500l). Z tego co widziałem na FB zamieścili komentarz że chyba agencja marketingowa posklejała kilka materiałów a punkt 10 dotyczył UTM. A to już by się zgadzało bo cisco, fortinet i netgear nie udostępniają kodu UTMów.

    Dobrze by było zrobić update do artykułu żeby nie wyszło że bez sprawdzenia u źródła czy to nie pomyłka bo teraz wychodzi że nie dość że nie wiemy co to netgear to jeszcze jedziemy na sensacji.

    Odpowiedz
  • 2014.04.08 13:09 Linuxxx:)

    Niedawno kupiłem sobie D-linka DIR600.
    Grzał jak kaloryfer, a funkcjonalność zerowa.
    Wgrałem DD-WRT, router zimny (obciążenie procesora ~2%), opcji tyle że nie mogę się w nich połapać

    Odpowiedz
  • 2014.04.08 15:44 mpan

    > 10. Unikaj urządzeń działających na „open source”.
    > (…) wyłapywanie błędów w kodzie przez developerów.
    Statystycznie rzecz biorąc: tekst opublikowany na witrynie wypełnionej czytalnym kodem JS, wykorzystującej otwarty standard OpenID. Przesłany otwartym protokołem HTTP, na otwartym protokole TCP/IP, na otwartym protokole IP, na serii innych otwartych protokołów. Przesłane przez przynajmniej kilka maszyn opartych o systemy implementujące POSIXa (jeśli nie oparte bezpośrednio o ARMy z Linuksem) i z dostępnymi standardowymi usługami. Odebrane na open-sourceowym systemie (Android) lub open-sourceową przeglądarką (Firefox/Chrome). Obrazki robione i odczytywane otwartym standardem, otwartą biblioteką lub przynajmniej jej klonem.

    No to jak taki użytkownik może zastosować się do tej porady? Przecież wtedy nawet nie mógłby jej przeczytać…

    Odpowiedz
    • 2014.05.12 22:55 M132

      Chrome nie jest open source, tylko zamknięte Chromium z kilkoma dodatkami Googla (hehehe).

      Odpowiedz
      • 2014.05.12 22:58 M132

        s/tylko/to/

        Odpowiedz
  • 2014.04.08 20:53 Pan Literka

    Każdy żyd swój towar chwali.

    Odpowiedz
  • 2014.04.09 09:26 Tomasz

    Tu:
    http://itfocus.pl/porady-ekspertow/10-zasad-bezpiecznego-korzystania-z-routera

    jest napisane, że
    „Materiał przygotowany przez firmę Netgear”

    Odpowiedz
  • 2014.04.09 15:15 Przemek

    NETGEAR wspiera open source bo sami stworzyli dla swoich produktów myopenrouter.com. Mają serię urządzeń specjalnie po open source (sam korzystam z wnr3500l). Z tego co widziałem na FB zamieścili komentarz że chyba agencja marketingowa posklejała kilka materiałów a punkt 10 dotyczył UTM. A to już by się zgadzało bo cisco, fortinet i netgear nie udostępniają kodu UTMów.

    Dobrze by było zrobić update do artykułu żeby nie wyszło że bez sprawdzenia u źródła czy to nie pomyłka bo teraz wychodzi że nie dość że nie wiemy co to netgear to jeszcze jedziemy na sensacji.

    Odpowiedz
  • 2014.04.10 00:48 Adrian Bysiak

    100% pewność…. nawet nie miałem pojęcia, że takowa istnieje, szczególnie jeśli gdzieś jest oprogramowanie. Ale cóż – uczmy się od ekspertów :P :P

    Odpowiedz
  • 2014.04.16 13:35 mizon

    Z czego robicie aferę? Z tego co widzę to poprawiono ten błąd. A sam fakt, że netgear to puścił jest pozytywny – dla mnie jako zwykłego usera 90% tych informacji było anonimowe – pewnie tylko część z tego wykorzystam, ale zawsze coś. Każdy taki ruch jest dobry, tylko aby tylko info było w 100% merytoryczne.

    Odpowiedz
    • 2014.04.20 06:37 Adam

      Pozdrawiamy agencję PR.

      9 punktów mówi o domowych ruterach, 10 naraz o urządzeniach UTM? Ile znacie urządzeń UTM z oprogramowaniem Open Source? A nawet gdyby jakieś istniały, to skąd znowu to uprzedzenie?

      Odpowiedz
  • 2014.06.17 14:12 malkot

    Z czego tak ekscytacja? Przecież poprawili później błąd, a zwykłemu userowi cala publikacja i tak się przydała.

    Odpowiedz

Zostaw odpowiedź do Tomasz Em

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Koncertowa bzdura autorstwa WP.PL oraz ekspertów z firmy Netgear

Komentarze