Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Falla nei router D-Link, l'unica soluzione è sostituirli
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 12 Apr 2022 08:39    Oggetto: Falla nei router D-Link, l'unica soluzione è sostituirli Rispondi citando

Leggi l'articolo Falla nei router D-Link, l'unica soluzione è sostituirli
L'azienda non rilascerà mai patch per i firmware vulnerabili, perché i prodotti sono ormai considerati obsoleti.


 

 

Segnala un refuso
Top
Homer S.
Dio Kwisatz Haderach


Registrato: 24/12/21 09:59
Messaggi: 3305
Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.

MessaggioInviato: 12 Apr 2022 08:46    Oggetto: Rispondi citando

Dire che va buttato per forza equivale a suggerire di comprarlo da qualcun altro.
Ogni volta che questi episodi si verficano è un colpo di piccone alla credibilità del produttore.

Aggiungo: avrebbero potuto almeno fare lo sforzo di proporre una rottamazione con acquisto di un modello nuovo scontato. Sarebbe servito a farli sembrare meno insensibili al cliente.
Top
Profilo Invia messaggio privato
{ocean21}
Ospite





MessaggioInviato: 12 Apr 2022 11:21    Oggetto: Rispondi citando

Per questo la cosa migliore è prendere router che possono installare firmware alternativi. Sul DIR-810L p.e. si può installare il firmware DD-WRT
Top
Homer S.
Dio Kwisatz Haderach


Registrato: 24/12/21 09:59
Messaggi: 3305
Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.

MessaggioInviato: 12 Apr 2022 11:41    Oggetto: Rispondi citando

Interessante tra l'altro osservare che in questo l'azienda è recidiva, motivo di più per tenersene a distanza.
Top
Profilo Invia messaggio privato
{clad}
Ospite





MessaggioInviato: 12 Apr 2022 21:05    Oggetto: Rispondi citando

La più becera interpretazione del business....
Top
GOo
Mortale devoto
Mortale devoto


Registrato: 20/03/14 17:41
Messaggi: 7

MessaggioInviato: 14 Apr 2022 09:47    Oggetto: Rispondi citando

Ennesima conferma che non vale la pena acquistare un router che non sia compatibile con OpenWRT, almeno in ambito consumer.
Top
Profilo Invia messaggio privato
Homer S.
Dio Kwisatz Haderach


Registrato: 24/12/21 09:59
Messaggi: 3305
Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.

MessaggioInviato: 15 Apr 2022 09:36    Oggetto: Rispondi citando

Citazione:
Ennesima conferma che non vale la pena acquistare un router che non sia compatibile con OpenWRT, almeno in ambito consumer.

Saggia considerazione; purtroppo la realtà dei fatti è che quasi nessun router "nasce" compatibile con OpenWRT. All'atto pratico, se pure il costruttore rilascia le necessarie specifiche, dalla messa in commercio alla presentazione di un firmware aperto per esso possono passare anche degli anni, quindi dovremmo tutti cercare prodotti che sono in giro già da parecchio tempo, comprarli, attendere la scadenza della garanzia e poi passare a OpenWRT quando già saranno obsoleti di loro. Comunque un azzardo.

Ci vorrebbe un fornitore che li vendesse con OpenWRT a bordo nativamente: magari ne esistono, ma saranno piccole realtà su cui è rischioso far affidamento per gli altri aspetti (garanzia sull'HW in primis).
Top
Profilo Invia messaggio privato
Kar.ma
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 24/01/10 21:01
Messaggi: 125

MessaggioInviato: 16 Apr 2022 08:27    Oggetto: Rispondi citando

Aggiungo un riflessione a mio parere ugualmente importante. Una grossa fetta (penso ALMENO il 90-95%) dei proprietari di questi modelli vulnerabili non verrà mai a sapere di questa falla, semplicemente perché non esiste un metodo standardizzato tra i produttori per mandare comunicazioni di questo genere. Anche quando venisse rilasciato un firmware aggiornato che correggesse la falla, l’utente non ha un modo automatizzato per saperlo.

Non dimentichiamoci peraltro che sono prodotti destinati a utenti aventi un grado di conoscenza informatica non necessariamente elevato, tutt’altro.

Considerata l’importanza che ormai riveste la cybersecurity, mi chiedo come mai non si sia ancora pensato a come risolvere questo problema.

Tecnicamente basterebbe che il router (o il NAS o l’access point o quello-che-è) facesse periodicamente delle chiamate a un servizio API per verificare la presenza di vulnerabilità e/o di aggiornamenti. Nel caso in cui sia necessario l’intervento dell’utente, potrebbe comunicarlo con una pagina “forzata” alla prima apertura di un browser e anche con una email a un indirizzo richiesto obbligatoriamente in fase di registrazione (con questa sola finalità, escludendo qualsiasi consenso marketing associato).

Questi due metodi sarebbero entrambi adatti anche agli utenti meno esperti. Può sembrare una scocciatura, ma vuoi mettere il vantaggio di evitare di avere dispositivi vulnerabili senza saperlo?
Top
Profilo Invia messaggio privato
Homer S.
Dio Kwisatz Haderach


Registrato: 24/12/21 09:59
Messaggi: 3305
Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.

MessaggioInviato: 16 Apr 2022 11:14    Oggetto: Rispondi citando

In realtà un metodo standardizzato esiste: passare dal CVE. Già adesso ci si può iscrivere alla sua newsletter, se fosse possibile ricevere avvisi personalizzati sarebbe ancora meglio.
Il vero problema è che ad oggi solo certi produttori di HW aderiscono al progetto, quindi per chi ne sta fuori il censimento delle falle, oltre che a carico dell'organizzazione, diventa una questione controversa.

Quanto all'intervento "coatto" ventilato, c'è da dire che a volte già accade, e ben più del semplice avviso: ad es. QNAP recentemente ha forzato l'upgrade del firmware dei suoi NAS da remoto per contrastare una falla ritenuta critica in quanto esponeva a ransomware, e per chi aveva gli apparati esposti in Rete la cosa è stata imposta senza tanti convenevoli, generando persino lamentele e proteste (qualcuno col sistema già compromesso, con l'aggiornamento ha perso tutti i dati senza speranza di recuperarli).
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 16 Apr 2022 14:05    Oggetto: Rispondi citando

Kar.ma ha scritto:
Aggiungo un riflessione a mio parere ugualmente importante. Una grossa fetta (penso ALMENO il 90-95%) dei proprietari di questi modelli vulnerabili non verrà mai a sapere di questa falla, semplicemente perché non esiste un metodo standardizzato tra i produttori per mandare comunicazioni di questo genere. Anche quando venisse rilasciato un firmware aggiornato che correggesse la falla, l’utente non ha un modo automatizzato per saperlo.

Non dimentichiamoci peraltro che sono prodotti destinati a utenti aventi un grado di conoscenza informatica non necessariamente elevato, tutt’altro.

Considerata l’importanza che ormai riveste la cybersecurity, mi chiedo come mai non si sia ancora pensato a come risolvere questo problema.

Tecnicamente basterebbe che il router (o il NAS o l’access point o quello-che-è) facesse periodicamente delle chiamate a un servizio API per verificare la presenza di vulnerabilità e/o di aggiornamenti. Nel caso in cui sia necessario l’intervento dell’utente, potrebbe comunicarlo con una pagina “forzata” alla prima apertura di un browser e anche con una email a un indirizzo richiesto obbligatoriamente in fase di registrazione (con questa sola finalità, escludendo qualsiasi consenso marketing associato).

Questi due metodi sarebbero entrambi adatti anche agli utenti meno esperti. Può sembrare una scocciatura, ma vuoi mettere il vantaggio di evitare di avere dispositivi vulnerabili senza saperlo?

In base alla mia esperienza personale direi che questo esiste già ma dipende dalla serietà del produttore.
Io ho un NAS che ha già i suoi annetti ma viene ancora regolarmente aggiornato dal produttore e mi propone automaticamente gli update FW, stesso discorso per il router che purtroppo ho dovuto smettere di utilizzare perché quando ha cambiato l'ultima volta provider internet non sono riuscito ad utilizzare il router del provider solo come bridge probabilmente per una scelta del provider stesso.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 16 Apr 2022 14:07    Oggetto: Rispondi citando

Citazione:
Ovviamente si potrebbe, a questo punto, discutere sulla serietà della decisione di D-Link di abbandonare prodotti la cui vita utile, salvo incidenti, è molto superiore a quella prevista dall'azienda: mentre una patch sarebbe probabilmente sufficiente a mantenere in funzione i router fallati, si chiede di abbandonarli per acquistarne di nuovi.

Quindi la ovvia scelta da parte dell'utilizzatore deve essere quella di sostituire il router D-Link con quello di altro produttore più serio che garantisce almeno gli update di sicurezza per tempi più lunghi e coerenti con la vita utile di un dispositivo di questo genere.
Top
Profilo Invia messaggio privato
{Raffaele Ferro}
Ospite





MessaggioInviato: 17 Apr 2022 01:21    Oggetto: Rispondi citando

periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla.
Top
Homer S.
Dio Kwisatz Haderach


Registrato: 24/12/21 09:59
Messaggi: 3305
Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.

MessaggioInviato: 18 Apr 2022 07:14    Oggetto: Rispondi citando

Citazione:
periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla.

Arguisco un tono sarcastico, perché se fosse vero l'azione migliore sarebbe stata predisporre un firmware aggiornato che anziché semplicemente rimuoverla la sostituisce con una nuova, e così via.
Top
Profilo Invia messaggio privato
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 12755
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 18 Apr 2022 13:37    Oggetto: Rispondi

{Raffaele Ferro} ha scritto:
periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla.

Volendo una falla si può sempre sistemare lasciando una back door ancora più nascosta e che determini un maggiore falsa sicurezza negli utenti, se lo scopo è quello di avere una back door sempre disponibile.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi