Комментарии 53
Решето!
По каким-то причинам Keenetic заблокировал учетки из Казахстана также.
Вопрос зачем они хранили всю эту информацию (все пароли от учеток, VPN'ов, все настройки роутера и т.д.) на своих серверах? Для работы мобильного приложения, которое просто дает доступ к своему роутеру, это не нужно. Либо у них слили базу логинов/паролей от всех роутеров и злоумышленники могут напрямую к ним подключаться и делать с ними что хотят. Тогда непонятно, почему они 2 года тянули время и не просили клиентов сменить пароли.
Для @datecompboy - промахнулся с ответом)
Для работы мобильного приложения, которое просто дает доступ к своему роутеру, это не нужно.
Я думаю, приложение Keenetic не даёт прямого доступа к роутеру. Как минимум, для этого каждому роутеру пришлось бы постоянно держать открытое соединение с сервером Keenetic.
Более вероятно, кинетики в облачной базе данных хранят копию настроек, которую через приложение можно изменить. А роутер по расписанию отправляет в облако статус и синхронизирует настройки. И вот эти копии настроек хакер мог слить себе.
На самом деле приложение даёт прямой доступ к роутеру в реальном времени.
Открытое соединение необязательно держать, достаточно серверу или приложению знать адрес роутера.
Не знаю, правда, работает ли это всё с серыми адресами.
Не знаю, правда, работает ли это всё с серыми адресами.
Вот именно. И роутер и мобильное приложения стучатся в облако. Роутер - "чего изволите", а ему команду от мобильного приложения. Как иначе приходят push-уведомления, что роутер в offline ушел?
P.S. Хочется железку с тремя Ethernet портами, чтобы между входом и выходом пакеты гуляли без изменений. а на третий порт копировались. Чтобы до роутера поставить и последить.
Хочется железку с тремя Ethernet портами, чтобы между входом и выходом пакеты гуляли без изменений. а на третий порт копировались. Чтобы до роутера поставить и последить.
Более-менее умные свичи так умеют
Ethernet прекрасно сниффается с помощью двух сетевых карт (можно и одной, если интересуют пакеты только в одну сторону). Физически подключаем линии RX слушающих карт параллельно к витым парам RX и TX кабеля. Единственное ограничение - длина "подслушающего" кабеля не больше 10 метров (выявил экспериментально), иначе линк начнёт отваливаться (я полагаю из-за переотражения от конца врезки).
tcpdump на роутере не поможет?
Именно так и есть. Каждый роутер держит соединение с сервером кинетик
Я получил такое уведомление в приложении, но там ничего нет про хакеров...
Именно поэтому в своих кинетиках я сразу же отключаю "облачный" доступ к роутеру, доступ к их настройкам разрешаю только из доверенного периметра (AKA "локальная сеть где находится роутер"), генерирую сложные пароли и не устанавливаю всякую дрянь официальные приложения управления роутерами на смартфон.
Я приложение ставил только поиграться, а по факту не пользуюсь и не понимаю, чего все с него так прутся. Мне тоже намного удобнее просто удаленный защищенный веб через KeenDNS.
Именно поэтому в своих кинетиках я сразу же отключаю "облачный" доступ к роутеру,
Галочкой в web-консоли? Это надо верить, что в прошивке бекдора нет.
Ну если галочка в web-консоли не устраивает, то можно хардкорно через CLI:
(config)> cloud control2 security-level private
CloudControl2::Agent: Security level changed to private.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...Это надо верить, что в прошивке бекдора нет
Ну так прошивки нужно обновлять...
Ну так прошивки нужно обновлять...
Их, увы, из одной бочки разливают. И какая разница, как вы настройки меняете? Там тоже может быть та же пустышка - вам показывают, что поменялись настройки, а что там на самом деле? Только на пакеты смотреть на WAN интерфейсе. И если бекдор открывается хитрой комбинацией пакетов на разный порты, то это надо постоянно мониторить, и то можно не поймать одиночный пакет.
а где границы вашей паранойи? вы провели полный аудит прошивки своего роутера? а прошивок его микроконтроллеров (привет, intel me и esp32!)?
а прошивок ваших остальных устройств?
тут важно понимать разумные границы. докуда можно дойти в гонке за бекдорами, уязвимостями и слежками.
Я бы еще добавил — требуется самоанализ на предмет соответствия понятию "Неуловимый Джо".
вы провели полный аудит прошивки своего роутера?
Я уже думал про это. Вроде бы, backup предыдущей прошивки и настройки роутера, которые можно локально сохранить при обновлении прошивки, не зашифрованы. Ida же должна знать этот процессор?
тут важно понимать разумные границы. докуда можно дойти в гонке за бекдорами, уязвимостями и слежками.
Да, конечно, но тут сразу несколько обстоятельств наложились друг на друга.
Первое - мутное объявление о причинах принудительного переноса "по просьбе трудящихся" облачной инфраструктуры для всех роутеров в EAEU в РФ, включая ранее купленные. См. https://keenetic.ru/ru/service-update. Я бы предположил отказ ФСБ сертифицировать поставки электронного оборудования со средствами шифрования, если не выполнить их "неформальные требования".
Второе - перенос происходит без обновления прошивки. Т.е. роутер просто в некоторый момент начинает слать данные в РФ облако, а не в Германию. Как??? Ну а с мобильными приложениями такой фокус не проходит. Нужно одно снести, другое поставить.
Третье - вранье, про то, что код региона невозможно изменить:
Приобретенный вами Keenetic можно использовать в любой стране, но работоспособность всех его функций мы можем гарантировать только при использовании его в той стране, для которой он был произведен. В каждом устройстве установлен код региона. Он устанавливается на заводе, и его
невозможно после этого изменить.
[skip]
Также от кода региона зависит используемая облачная инфраструктура, с которой связаны инструменты для управления — мобильное приложение и система удаленного мониторинга и управления.
Читайте 4pda. Можно. Сообщаете тех.поддержке СID и после подтверждения перезагружаете роутер. Все. Был регион EAEU, стал EU. Да, тех.поддержка была от keenetic.ru, а облако в феврале было еще немецкое. Все еще паранойа? Лучше бы, действительно, регион был зашит в ПЗУ и его нельзя было поменять. Тогда бы привез в РФ европейскую модификацию, а старый бы или продал, или отключил облако и увез на дачу. Лучше деньги потерять, чем спокойствие.
Четвертое - список возможно утекших 2 года назад данных, намного более широкий, чем декларируемый.
Пятое - а потеряли ли разработчики из российской фирмы Netcraze доступ в немецкое облако?
Ну так прошивки нужно обновлять...
Ой, только что дошло, что мы друг друга не поняли. Я говорил про вендорский бекдор...
Мда, подтверждаются мои подозрения, что сквозного шифрования при доступе мобильного приложения на роутер через облако нет. И если посмотреть в консоли администратора на Management/System Settings/Legal Information/Device Privacy Notice, то там список хранимых персональных данных намного меньше, чем тут. Опять какие-нибудь ElasticSearch логи утекли?
Ну и после того, как тех.поддержка удаленно поменяла мне регион EA на EU на роутерах, купленных мною когда-то в России, в результате чего я остался на обслуживании в немецком облаке, а не в "православно-скрепном", я вообще не могу свою паранойу успокоить. Просто я сообщил им CID'ы, а потом мне сообщили, что можно перезагрузить роутеры. Но как? Вендорский бекдор? Те же подозрение возникают, если попытаться понять, как они переключили роутеры из EA региона на РФ облако? Вы где-нибудь в настройках видели URL облака, куда стучится роутер? Ну а как мобльное приложение работает, когда у роутера нет белого адреса?
И вообще хочу прошивку, где адрес облака можно задать, облачный код - freeware и может быть установлен "у себя", и в мобильном приложении адрес облака тоже можно задать.
И вообще хочу прошивку, где адрес облака можно задать, облачный код - freeware и может быть установлен "у себя", и в мобильном приложении адрес облака тоже можно задать.
Напишите сами :)
На базе openwrt
Напишите сами :)
На базе openwrt
Я бы заплатил (разумные деньги) ;) Ну и должны же существовать какие-то независимые решения? Я про доступ к хостам с серыми IP или за NAT? Увы, я даже вопрос не сформулирую.
Чисто доступ если только серый IP(в смысле не динамический белый а именно серый на внешнем интерфейсе роутера? В России вроде так не принято все же) или нет желания порты открывать? Первое что мне в голову приходит из простого (если я правильно понимаю задачу) - Cloudflare Tunnel - локально запускается софтинка после этого можно принимать соединения (веб в первую очередь) на Cloudflare и прокидывать на локальные узлы.
У Synology для их NAS'ов есть решение когда по возможности вы открываете все же порт и прокидывает а если нет - оно проксирует (после СВО у них с Россией...плохо).
Еще есть вариант :) - IPv6 через туннель (от того же HE например) сделать но тут недостаток скорее в том что белых IP у вас будет много, слишком много:), у каждой ЯндексЛампочки если она умеет в IPv6 :) а значит - надо нормально настраивать файрволл.
У меня вообще изначально было решение когда тупо на роутере (который не Keentic а Mikrotik) проброшены нужные порты на локальную виртуалку с nginx proxy manager (настраивать руками nginx - просто надоело) а дальше уже куда надо - Confluence/Joplin Server/Seafile/Synology/Minio/Peertube/etc. С определенного момента схема поменялась - теперь все принимает не домашний роутер а виртуалка совсем в другой стране и по VPN льет роутеру.
У Mikrotik'ов кстати насколько помню как раз удаленное управление через приложение как раз есть но вот только...если реакция на Winbox будет "что это за пульт управления от космического корабля" то думаю их приложение не особо поможет - оно по сути сильно упрощенная версия winbox'а. VPN до роутера домой кстати тоже умеет делать(BackToHome, на базе Wireguard'а). Облака своего нет (ну кроме ретранслирующих серверов для BackToHome)
Возможно лучше описать максимально подробно что вы хотите достичь и зачем и что - есть?
нет желания порты открывать?
Без port knocking, нет, конечно.
У Mikrotik'ов кстати насколько помню как раз удаленное управление через приложение как раз есть
И дыры там были, насколько я помню. Тот же Keenetic настроить с нуля это сильно проще, чем Mikrotik. Всего-то ввести (если белый фиксированный IP) свой IP, gateway, dns, имена wi-fi сетей и пароли. Ну, еще wi-fi 6 канал <100, если дома samsung'овские телефоны есть.
Был у меня mikrotik внутри eSXI. То одно устареет, то другое, то сетевые карты окажутся несовместимыми с WMVare, то нестандартный блок питания в miniITX корпусе помрет. А уж чтобы все хозяйство выключалось от UPS, это отдельный квест был.
Возможно лучше описать максимально подробно что вы хотите достичь и зачем и что - есть?
Так безопасного мониторинга и управления удаленными роутерами. И "битья" роутера по рукам, чтобы не лез куда не следует. Но так ведь опять дополнительная точка отказа. А, и чтобы прошивки обновляться не перестали ;)
И вообще хочу прошивку, где адрес облака можно задать, облачный код - freeware и может быть установлен "у себя", и в мобильном приложении адрес облака тоже можно задать.
Осталось всего ничего - найти тех, кто это напишет и будет поддерживать бесплатно, или придумать модель монетизирования, чтобы люди действительно хотели платить, а не пользоваться бесплатно, ведь время разработчиков надо как-то оплачивать. Про выход на самоокупаемость я уже молчу.
Дальше выплывут нюансы современной мобильной разработки, где при наличии собственного сервера приходится извращаться с постоянно висящими уведомлениями, чтобы доходили пуши, и кучей других мелочей, убивающих экспириенс.
С 1 марта 2025 года мобильное приложение Keenetic и система удалённого мониторинга и управления Keenetic (rmm.keenetic.com -> миграция на rmm.netcraze.ru) перестали работать в РФ в связи с изменениями в применимом законодательстве. «Пожалуйста, переходите на новые инструменты Netcraze. Если у вас возникли вопросы, служба поддержки Keenetic всегда готова помочь», — пояснили в компании. Тесты экспертов проверки показали, что теперь облачный сервис Keenetic в РФ на базе решений «Неткрейз» (ранее ООО «Кинетик») отвечает не с адресов Hetzner, а с адресов Selectel.
Это неправда и относится только к тем роутерам, у которых регион EA (EAEU). Я сейчас временно в РФ и вижу в приложении Keenetic оба активных роутера, один в Финляндии, второй в СПб (с поменянным регионом на EU). Облако в Германии, управляется немецкой фирмой Keenetic GMBH, и есть надежда, что там жульничать не должны.
но просит клиентов проявить дополнительные меры предосторожности.
А хоть раз хоть одна компания говорила что все - отбой тревоги? А то все дополнительные меры предосторожности потому злые хакеры мошенники иностранного происхождения кругом а когда пользователь так делает но результат оказывается неожиданным для тех кто просил - начинают обижатся (ну там - на телефоне оказывается GrapheneOS или роутер начинает кучу трафика блочить а софт на компе внезапно начинает общаться с десятка разных точек (потому что каждое приложение в свой туннель а в некоторых случаях еще и домен назначения учитывается при выборе туннеля, при этом за попытку использовать DoH/DoT-приложения получает по рукам (потому что без них есть кому))
в некоторых случаях еще и домен назначения учитывается при выборе туннеля
А каким софтом можно такую красоту настроить так, чтобы было более-менее удобно жить? Известные мне способы требуют много интересных консольнх команд и несколько свободных вечеров.
Portmaster со включенной SPN.
Из нюансов:
SPN платная (там сложно - community-нодам они планируют как то платить). При регистрации страну просит. Правда можно хоть Северную Корею хоть Антарктиду указывать. Оплата в том числе и криптой.
нужно Windows / Linux (причем судя по https://wiki.safing.io/en/Portmaster/Install/Linux - с некоторыми дистрибутивам есть ньюансы, на Win7 родной UI не работает но можно через браузер)
Сама оболочка - на Electron'е (если что - API есть и неплохо документирован, просто сил не нашлось
вроде все (?) на гитхабе
даже просто Portmaster без SPN - имеет ньюансы при работе с софтом который лезет в сетевые дела побольше обычного (да тот же Hyper-V например) или делает странное (например Chrome и телеграм считают что если у них есть доступ к сети - у них есть доступ к левым DoH серверам) - https://wiki.safing.io/en/Portmaster/App/Compatibility
Для РФ я так понимаю нет опасности или как? Все должны были перейти после нового года на netcraze с новой учеткой. Попробовал сейчас сбросить пасс на старом кинетик аккаунте - рестор ссылка просто не приходит )
Для самоспокойствия поменял пароль в netcraze и от веб панели
Как человеку, имеющему в настройках роутера около двух десятков VPN-аккаунтов, 5 личных VPN-серверов, 2 рабочих, публичный VPN-аккаунта, несколько соединенных через IPSec или WG роутеров, мне довольно удивительно видеть спокойную реакцию сообщества на этот грандиозный факап производителя, но, с другой стороны, я понимаю, что у большинства такой разветвленной кухни в хозяйстве нет, отсюда и вопросы по типу того, что выше ("Для РФ я так понимаю нет опасности или как?")
А мне пришлось всё это перенастраивать сегодня. Ручками. На всех серверах, во всех аккаунтах — менять пароли, ключи, параметры IPSec... всё, абсолютно всё. Включая настройки на резервных устройствах, а также резервные копии, парольные менеджеры и проч. Вожусь уже несколько часов, не прошел и половину квеста. Хотя в сущности там не так и много. Причем это всего лишь мое личное хозяйство, я не админ в компании с десятками/сотнями юзеров, а то бы точно вешаться пришлось. :)
И всё из-за того, что сугубо внутренняя приватная информация оказалась без малейшей на то технической необходимости слита в облако без какого-либо предупреждения меня как пользователя.
Являясь практически фанатом (хоть и не люблю это слово) кинетиков уже 13 лет, вынужден признать, что пределам моего разочарования нет границ. Они, по моему личному мнению, переплюнули микротик просто в разы. Дело ведь не в том, что информация утекла (кого этим сейчас удивишь?) — дело в том, что было чему утекать. Хотя его не должно было быть.
Буду ли я пользоваться кинетиками в будущем? Наверное, да. Хотя, конечно, уже не так безальтернативно, как до сего момента, когда других роутеров для меня практически не существовало. Но буду ли я пользоваться удаленным доступом через какую-либо их встроенную службу? Конечно НЕТ! Never again! Первое, что сегодня сделал — вынес из прошивки всё, что имеет к этим службам хоть малейшее отношение.
P.S. Поначалу даже сообразить не мог, с какого конца начинать, просто сидел, представлял в уме объем работ и громко матерился. Вам там не икалось, дорогие мои?
удивительно видеть спокойную реакцию сообщества
Больше недели хожу с недоумением (мягко выражаясь) и меняю пароли. Возникает вопрос, а что еще может передавать пароли из-за очередной недоработки? Заявление на сайте порождает лишь новые вопросы, а обратной связи не ощущается. Хотелось бы разъяснений, объяснять они умеют, их руководства тому подтверждение, но словно отстрелялись и всё.
Еще смущает их фраза "ограниченный набор полей базы данных", т.е. по их мнению это еще не все и хранят они намного больше, а куда больше то...
Именно что недоумение, потому что в голову не могло прийти, что и они тоже тащат к себе в облако всё, до чего могут дотянуться. Тот факт, что оно еще и хранится никак не зашифрованным, уже мало что добавляет к общей картине. Этого вообще не должно было происходить.
Уж на что ругают Apple, но они в сравнениие с Кинетиком прям белые и пушистые. Скажем, настройки Wi-Fi синхронизируются через iCloud, а вот настройки VPN вчера переносил ручками между четырьмя компами, лучше уж бы они синхронизировались. :)
удивительно видеть спокойную реакцию сообщества на этот грандиозный факап
Видимо, у сообщества, в большинстве, не подключены облачные аккаунты (я, первым делом, всегда их отключаю) - в инфраструктуре с сотнями торговых точек на Кинетиках это неудобно (мой личный опыт ~5-летней давности - если связь есть, то есть доступ к роутеру по VPN, а если нет, то облако ничем не поможет), а для одиночного роутера дома - ненужно (дома проще из браузера по настройкам пробежаться, нежели тащить ненужную приложуху на мобильник - тоже личный опыт, актуальный). Ну, и со времён "облачных" камер видеонаблюдения, осталось стойкое недоверие к подобным решениям (начиная от доступа к камерам Dohua по идущим подряд серийным номерам, с паролем admin/admin, заканчивая скоропостижной кончиной "облачных" метеостанций, "умных" выключателей и прочей шелухи).
Хмм, вот тут: https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/?utm_source=Securitylabru немного больше про всю эту историю. Утверждается, что утек незащищенный облачный backup. У российской фирмы NDM Systems.
Кроме того интересно в слитых данных то, что кинетик пользователям вешает флаг - owner_is_pirate (bool)
Что он значит и как проставляется - пока нигде не всплывало, но любопытно.
Я вот даже не знаю, попали ли мои данные в слив, но всё равно сейчас придётся сидеть и менять пароли от вайфая на всех девайсах + перенастраивать openvpn и wireguard клиенты (нахрена вообще эти данные хранить в облаке производителя, чтобы сливать кому нужно?? новая монетизация кинетиков?), в общем отличное развлечение на весь вечер.
а можете пояснить - вот у меня конфиг WG в кинетике залит был для впн, слили так, что конфиг можно переиспользовать или как? Не могу нормально инфы найти
Кроме того интересно в слитых данных то, что кинетик пользователям вешает флаг - owner_is_pirate
Там еще один интересный URL упоминается: ndss.11.zyxel.ndmsystems.com Он живой, только http и просит имя/пароль для входа. Да, внизу страницы текст:
© NetCraze LLC 2024-2025, Legal Information
В Keenetic признали взлом базы данных и доступ третьих лиц к данным пользователей приложения с аккаунтами до 16.03.2023