Forum LEVEL

Apple on their Encryption plans

Good stuff.

ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk

Taiwan-based computer hardware maker ASUSTeK Computer, Inc. has agreed to settle Federal Trade Commission charges that critical security flaws in its routers put the home networks of hundreds of thousands of consumers at risk. The administrative complaint also charges that the routers’ insecure “cloud” services led to the compromise of thousands of consumers’ connected storage devices, exposing their sensitive personal information on the internet.

The proposed consent order will require ASUS to establish and maintain a comprehensive security program subject to independent audits for the next 20 years.

“The Internet of Things is growing by leaps and bounds, with millions of consumers connecting smart devices to their home networks,” said Jessica Rich, Director of the FTC’s Bureau of Consumer Protection. “Routers play a key role in securing those home networks, so it’s critical that companies like ASUS put reasonable security in place to protect consumers and their personal information.”

ASUS marketed its routers as including numerous security features that the company claimed could “protect computers from any unauthorized access, hacking, and virus attacks” and “protect [the] local network against attacks from hackers.” Despite these claims, the FTC’s complaint alleges that ASUS didn’t take reasonable steps to secure the software on its routers.

For instance, according to the complaint, hackers could exploit pervasive security bugs in the router’s web-based control panel to change any of the router’s security settings without the consumer’s knowledge. A malware researcher discovered an exploit campaign in April 2015 that abused these vulnerabilities to reconfigure vulnerable routers and commandeer consumers’ web traffic. The complaint also highlights a number of other design flaws that exacerbated these vulnerabilities, including the fact that the company set – and allowed consumers to retain – the same default login credentials on every router: username “admin” and password “admin”.

Confirmat deja de nenumărate ori

Ca idee, pe lîngă schimbarea urgentă a credențialelor pentru web access, ar trebui setate permisiuni de acces per MAC (exclusiv whitelist cu mac-urile device-urilor admise), dezactivate eventualele funcții de quick WiFi Connect și interzicerea comunicării router-ului cu exteriorul. La fel și cu deschiderea de porturi la solicitare, ar trebui puse pe whitelist doar cele folosite cu adevărat. Pe lîngă asta, ascuns SSID-ul + folosit un canal non default. Pus program de noapte pentru WiFi, să se oprească atunci cînd nu-l folosești sau pur și simplu scos din priză la culcare dacă nu mai ai vietăți cablate la el care fac White Water Rafting. Și activată funcția de Firewall. Crește securitatea cu 2000%.

caleb wrote:ascuns SSID-ul

nu te ajuta cu nimic, daca cineva vrea sa-ti faca rau, degeaba ascunzi SSIDu

Ajută, că nu vede decît dacă scanează explicit după alea ascunse. Ceea ce într-un bloc, de exemplu, unde vezi la orice etaj vreo 20 de broadcast-uri, te exclude în primă fază. Are de unde alege

Chiar, in general cam cati hecari fura coduri de lansare pentru bombe nucleare de pe routerele de apartament in fiecare noapte? Srs question. Si cat de inutila e parola pentru accesul la internet prin routerul respectiv?

Ce zici tu e ca și cînd ar fi inutil să-ți încui ușa de la intrare. Mai bine o cheie universală sau dai jos butucul și gata. Inclusiv cînd ești plecat din oraș

Cheia este sa faci munca ghiavolului cat mai grea. De ce? De exemplu, daca trimite CIA sau MOSSAD sau FSB pe capul tau 3 agenti, sunt sigur ca o sa-to sparga tot ce ai. Indiferent de encriptie ai. In cel mai rau caz iti spag oasele copiilor pana zici parola.

Trebuie sa fim realisti. Ascunderea SSID-ului este o metoda perfecta de a te proteja impotriva tocilarului gras de la etajul patru, care vrea sa-ti sparga routerul doar sa-ti schimbe parola, doar asa, de kiki. Astfel, cu ascunderea SSIDului, elimini 99% din neplaceri. Restul de 1% este probabil cineva care vrea sa comande niste tzoale de pe amazon cu un card furat. Sa fie sanatos.

Nivelul 2 (lol) este faza cu cheile universale. Gen cum vor americanii sa bage la Apple si Android. Am o analogie buna pentru asta.

1. Momentan, ca sa-ti sparga cineva lacatul la usa, e dificil. Nu este PREA dificil. Este DESTUL de dificil. Destul de dificil sa descurajeze 99.999% din oameni. Da, asta inseamna ca 1 din 100 000 oameni ar putea sa deschida orice usa - poate vi se pare un numar mare, dar toti acesti oameni sunt ori lacatusi ori politisti (agent-lacatus?). Plus, chiar daca POTI sa deschizi un lacat, dureaza (de la 10 secunde pentru un lacat chinezesc pana la 6-7 minute pentru ultimul rachnet de yala). Deci, sa-ti deschida cineva usa, prin "umblatul la yala", in 99.9993% din cazuri va fi cu un mandat judecatoresc, iar 99.9997% cazuri va fi pentru ca ai fost prost si ti-ai pierdut cheile si trebuia sa-l chemi pe Nea Ghita de la colt sa-ti deschida usa...

2. Daca s-ar adopta faza cu cheia universala, ar fi de parca orice politist (si toate rudele lui... si toti cei care i-au facut favoruri... si toti cei care i-au imprumutat bani... si toate curvele de care s-a indragostit...) ar avea la breloc o cheie care ar deschide toate usile. Din prima. Fara urme.

Exact ^^

De-aia un minim de efort te ferește de 99,99% din probleme. Faza e că nu poți presupune că, dacă tu îți vezi de treaba ta și nu te interesează excesiv a altuia, nu există inși care sunt interesați de a ta, chiar și din joacă prostească. Am întîlnit oameni pe care-mi venea să-i iau de ciuf pentru cît de nesimțiți erau cu datele altora cînd depanau PC-uri și alte cele. Dacă nu, mai e și simpla curiozitate din care poate mulți dintre noi am rulat un Show Admin shares în rețeaua locală, dacă nu mai mult. Că vrei să vezi cum merge treaba.

Cu mașina, la fel. Alarma poate mai mult încurcă decît face bine (mi se par mai tari chestii secundare, precum pornitul de la distanță pentru încălzirea motorului, par egzampăl), în schimb nu strică să o încui, iar dacă mai și respecți regula de a nu o lăsa în locuri dubioase și excesiv de ferite (ba chiar eu caut camere de supraveghere și o las în bătaia lor, de cîte ori se poate) și pentru prea mult timp, atunci ar trebui să ai șanse mari de a scăpa de neplăceri.

caleb wrote:Ce zici tu e ca și cînd ar fi inutil să-ți încui ușa de la intrare. Mai bine o cheie universală sau dai jos butucul și gata. Inclusiv cînd ești plecat din oraș

Pai eu exact asta intrebam si inca nu m-am lamurit. Un router de apartament cu parola setata de proprietar e usor sau greu de preluat de un hecar? Intreb de curiozitate. Sunt complet pe dinafara problemei si mi se pare interesant.

Păi logic că e bine să:
1. Schimbi imediat parola default de admin cu ceva scurt si usor de tinut minte, ca sa-l poti accesa usor pana faci setarile cum vrei. La fel si cu aia pe wifi.
2. Schimbi SSID-ul default, apoi cuplezi la el tot ce vrei sa folosesti wireless, apoi iei toate mac-urile din log-ul router-ului si le pui pe whitelist copy-paste si activezi accesu wireless doar pe baza de whitelist.
3. Ascunzi SSID (device-urile il stiu deja).
4. Activezi firewall, scoti UnPnP/forwarding si pui exceptii pe ce stii ca folosesti (afli inainte).
5. Schimbi parola default cu una mai lunguta si complexa, dupa ce faci restul setarilor. Poti s-o si notezi pe spatele lui, ca daca ajunge careva la reset tot cacatul ala e.

Nu neapărat în ordinea asta exactă. Dar deja cu asta ai asigurat bine device-ul. Tot ce o să sacrifici pentru accesibilitate în continuare va scădea securitatea. Logic că nu faci mereu toți pașii, mai uiți o setare pornită cînd te chinui să aduci un device problematic în rețea etc. sau după vreun firmware upgrade... no, oameni suntem. Dar să fii fraier să lași accesul default cînd te costă două minute să schimbi două parole... cam nașpa.

Altfel, de multe ori SSID e modelu routerului. Te duci pe net, vezi ce defaults are, intri, faci forward traficului printr-un router de-al tău și nu e tocmai roz Ăla nici n-o să știe că merge prin VPN sau ce pui acolo

Caleb zice bine în mare parte, dar sunt două puncte în care eu fac exact invers:

- MAC filtering nu va încurca niciun atacator, te va încurca numai pe tine. E foarte enervant să trebuiască să umbli la whitelist de fiecare dată când adaugi un nou dispozitiv în rețea. Cine face sniffing vede adresele MAC fără probleme, fiindcă nu sunt (și nu pot fi) criptate. Iar MAC spoofing e trivial. De exemplu, eu mi-am setat laptop-ul să-și schimbe MAC-urile în mod aleator la fiecare boot, because privacy. iOS 8 face asta implicit (sau poate că nu). Toate dispozitivele (portabile) cu acces la net ar trebui să facă asta implicit.

- Ascunderea SSID-ului este inutilă, fiindcă rețelele ascunse sunt foarte ușor de depistat. Dar nu e doar inutilă, ci și dăunătoare privacy-wise, oricât de paradoxal ar suna. După ce te legi la o rețea ascunsă, dacă ai setat conexiunea să se facă automat (opțiune implicită peste tot), dispozitivul cu care te-ai conectat face broadcast periodic la numele rețelei. Trebuie să o facă, fiindcă altfel nu se poate realiza conexiunea cu o rețea ascunsă. Eh, de fapt se poate, există un protocol propus pentru criptarea SSID-ului rețelelor ascunse, dar cred că e implementat de foarte puține device-uri, if any. Deci nu ascunde SSID-ul, mai bine folosește-l ca să faci o poantă, să promovezi un site or whatever.

În fine, situația de fapt e mult mai nasoală, fiindcă majoritatea telefoanelor și laptop-urilor fac active wi-fi discovery, adică emit la câteva secunde numele tuturor rețelelor wi-fi la care te-ai conectat, ascunse sau nu. Da, unele protocoale au fost concepute de babuini. Se pare că sistemele GNU/Linux nu fac șmecheria asta, iar pe Android poate fi prevenită folosind Wi-Fi Privacy Police.

La sfaturile lui Caleb adaug:
- Folosește WPA2 cu o parolă cât mai bună. Traficul wi-fi poate fi salvat de un atacator și decriptat offline, operațiune care nu durează mult dacă parola e slabă. În niciun caz nu folosi WEP, a fost compromis demult.
- Firewall configurat în mod stealth pe toate porturile (DROP, nu REJECT). Testează cu Shields Up.
- Dacă poți, înlocuiește firmware-ul router-ului cu unul liber: LibreCMC (de preferat), OpenWrt, DDWRT, Tomato, etc. Nu sunt doar mai sigure, ci dau router-ului și o groază de extra features.
- Fără DMZ (DMZ-ul implică scoaterea unui dispozitiv de sub protecția firewall-ului).
- Dacă ai wi-fi public sau împărțit cu indivizi în care nu ai încredere, activează AP isolation.

Încă o chestie. Deschiderea unei rețele wifi pentru trecători și vecini e un gest frumos, care sper să devină standard. EFF a pornit o mișcare în direcția asta. Se discută din ce în ce mai serios că accesul la internet e un drept al omului. Din păcate, RDS și UPC nu permit în contractele lor împărțirea conexiunii:

RDS wrote:1.5. Beneficiarul se obliga sa utilizeze exclusiv în interes personal orice serviciu care face obiectul prezentelor clauze si totodata se obliga sa nu distribuie si sa nu furnizeze nici o forma catre terti serviciul furnizat de catre RCS&RDS, sa nu copieze si sa nu multiplice programe, imagini, sunete sau orice alte materiale a caror copiere este prohibita, precum si sa nu utilizeze în scopuri comerciale serviciul ce formeaza obiectul prezentului contract.

Tehnic încălcăm regula asta de fiecare dată când lăsăm prietenii și familia să se conecteze la wi-fi. Plus că mi-e greu să o iau în serios când aceeași anexă interzice

RDS wrote:Transmiterea, distribuirea si stocarea de materiale, informatii având caracter explicit sau implicit obscen, pornografic, discriminatoriu, rasist sau care incalca orice dispozitii legale în materie.

... și alte condiții cretine.

Telekom e singura companie în contractul căreia nu am găsit nicio interdicție în legătură cu open wi-fi. Dacă știți și altele, vă rog să postați. Deci voi trece la Telekom în curând. Companiile nu ar trebui să ne interzică să ne ajutăm între noi.

Nu zici rău, dar ești puțin cam înclinat să crezi că e vorba de oameni mai pricepuți decît sînt în realitate cei mai mulți.

Active WiFi Discovery - se poate opri în general (I do it);
Conectare automată - se poate opri (uneori mi-e lene, recunosc);

-> foarte bună observația cu DROP vs REJECT; la fel și DMZ
-> la fel și despre WEP - aia e depășită demult, trebuie să fii nebun să o foloseșți sau să ai vreun Nintendo DS Lite care doar aia știe

Despre 1.5 RDS... apăi dragul meu, e interpretabil aici.
„se obliga sa nu distribuie si sa nu furnizeze nici o forma catre terti serviciul furnizat de catre RCS&RDS” - Aici e vorba despre un serviciu permanent, nu despre ocazionala conectare la vreun hotspot de-al tău. De exemplu, nu le convine, dacă noi suntem vecini, să stăm ca boșii amîndoi pe un Fiber1000 care intră la mine, de unde îți dau mai departe prin router/switch sîrma și ție și facem între noi 50/50 plata abonamentului.
Acu, faptul că tu ții un hotspot wifi mereu pornit de băiat bun ce ești nu înseamnă că oferi în mod explicit altor oameni serviciul lor și nu-ți pot face nici pe dracu (nu că i-ar interesa cu adevărat asta). Sunt sigur că nu sunt imbecili și nu există altceva decît poate cazuri de nesimțire maximă (la modul au luat doi oameni din bloc Fiber1000 și dau tuturor celorlalți pe sîrmă net mai departe). Deși nu i-aș spune nesimțire, aici e clar că le strică din business. Că peste 1000 oricum nu au cum să folosească.
Știi, și grecii au în contractele lor de furnizare de apă potabilă chestii similare, dar plimbîndu-te prin orășelele insulare vezi din loc în loc robinete scoase la stradă, să poată orice trecător să-și potolească setea.

Announcing SQL Server on Linux

Did not see this one coming. Să vedem cum se vor plasa pe piață.

^^ Because AzureVM.

caleb wrote:Active WiFi Discovery - se poate opri în general (I do it);

Pe Android nu am găsit decât „Scanning always available” la advanced wi-fi settings. Îl am debifat, dar nu pare a fi același lucru cu active discovery.

caleb wrote:Despre 1.5 RDS... apăi dragul meu, e interpretabil aici.

Dacă „serviciul” e conexiunea la internet, atunci se aplică și în cazul wi-fi. Teoretic. Practic, nu cred că RDS își penalizează clienții care au hotspot-uri neparolate. Însă nu mi se par ok regulile care descurajează open wi-fi.

caleb wrote:Știi, și grecii au în contractele lor de furnizare de apă potabilă chestii similare, dar plimbîndu-te prin orășelele insulare vezi din loc în loc robinete scoase la stradă, să poată orice trecător să-și potolească setea.

Fain.

@Jaunty - cu scanning/discovery pe wifi - Eu sunt pe WinPhone de ceva timp, dar sunt sigur că există posibilitatea și pe droid într-o formă sau alta.

Despre RDS, nu știu, mie prevederea respectivă mi se pare foarte ușor interpretabilă în orice sens. Dacă ar veni ăia că de ce Jaunty stă pe hotspot cînd e în vizită la mine, le-aș arăta degetul mijlociu, fiindcă Jaunty vine pe la mine foarte rar și de regulá preferăm să ne drojdim cu hamei open source prin vreo temniță centrală - sá-i ia pe áia, unde mai stám noi și alte cîteva sute pe wifi, dacă ei consideră că ar cîștiga mai mulți clienți cînd RDS nici nu are semnal 2/3/xg în pivnița aia.
La fel, mi-ar fi cam greu să dau explicații în favoarea mea dacă <vecinul> Jaunty, singurul care nu are abonament din tot cartierul, stă agățat cu toate device-urile de router-ul meu, altele decît, dacă aș fi rău, că mi-a hackuit probabil routerul

Voi tot de problema lu chester cu schimbat wallpaper-ul in linux vorbiti?

^^^ Contractul RDS e relativ neschimbat de ani de zile (10-15?) Aveam club de net abonat la RDS, si dadeam pe fir net unui prieten la un bloc peste o strada foarte circulata, care la randul lui dadea net la vreo 4-5 vecini, cu cablurile atarnate la geamuri... si nu s-a legat nici naiba de noi. Oricum, era o moda sa-si atarne lumea cabluri sa ia net de la vreun vecin mai avut, in perioada 2003-2007... Si acum ne facem probleme cu contractul RDS si netul wireless?

TP-Link blocks open source router firmware to comply with new FCC rule

TP-LINK Statement and FAQ for Open Source Firmware

Statement:
The FCC requires all manufacturers to prevent user from having any direct ability to change RF parameters (frequency limits, output power, country codes, etc.) In order to keep our products compliant with these implemented regulations, TP-LINK is distributing devices that feature country-specific firmware. Devices sold in the United States will have firmware and wireless settings that ensure compliance with local laws and regulations related to transmission power.

As a result of these necessary changes, users are not able to flash the current generation of open-source, third-party firmware. We are excited to see the creative ways members of the open-source community update the new firmware to meet their needs. However, TP-LINK does not offer any guarantees or technical support for customers attempting to flash any third-party firmware to their devices.

FAQ:
Why is TP-LINK limiting the functionality of its routers?
TP-LINK is complying with new FCC regulations that require manufacturers to prevent certain firmware customizations on wireless routers.

Does the regulation apply to routers produced before June 2016?
No. Effective June 2, 2016, manufacturers may only market routers in compliance with FCC regulation.