Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 12 Apr 2022 08:46 Oggetto: |
|
|
Dire che va buttato per forza equivale a suggerire di comprarlo da qualcun altro.
Ogni volta che questi episodi si verficano è un colpo di piccone alla credibilità del produttore.
Aggiungo: avrebbero potuto almeno fare lo sforzo di proporre una rottamazione con acquisto di un modello nuovo scontato. Sarebbe servito a farli sembrare meno insensibili al cliente. |
|
Top |
|
|
{ocean21} Ospite
|
Inviato: 12 Apr 2022 11:21 Oggetto: |
|
|
Per questo la cosa migliore è prendere router che possono installare firmware alternativi. Sul DIR-810L p.e. si può installare il firmware DD-WRT |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 12 Apr 2022 11:41 Oggetto: |
|
|
Interessante tra l'altro osservare che in questo l'azienda è recidiva, motivo di più per tenersene a distanza. |
|
Top |
|
|
{clad} Ospite
|
Inviato: 12 Apr 2022 21:05 Oggetto: |
|
|
La più becera interpretazione del business.... |
|
Top |
|
|
GOo Mortale devoto
Registrato: 20/03/14 17:41 Messaggi: 7
|
Inviato: 14 Apr 2022 09:47 Oggetto: |
|
|
Ennesima conferma che non vale la pena acquistare un router che non sia compatibile con OpenWRT, almeno in ambito consumer. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 15 Apr 2022 09:36 Oggetto: |
|
|
Citazione: | Ennesima conferma che non vale la pena acquistare un router che non sia compatibile con OpenWRT, almeno in ambito consumer. |
Saggia considerazione; purtroppo la realtà dei fatti è che quasi nessun router "nasce" compatibile con OpenWRT. All'atto pratico, se pure il costruttore rilascia le necessarie specifiche, dalla messa in commercio alla presentazione di un firmware aperto per esso possono passare anche degli anni, quindi dovremmo tutti cercare prodotti che sono in giro già da parecchio tempo, comprarli, attendere la scadenza della garanzia e poi passare a OpenWRT quando già saranno obsoleti di loro. Comunque un azzardo.
Ci vorrebbe un fornitore che li vendesse con OpenWRT a bordo nativamente: magari ne esistono, ma saranno piccole realtà su cui è rischioso far affidamento per gli altri aspetti (garanzia sull'HW in primis). |
|
Top |
|
|
Kar.ma Eroe in grazia degli dei
Registrato: 24/01/10 21:01 Messaggi: 125
|
Inviato: 16 Apr 2022 08:27 Oggetto: |
|
|
Aggiungo un riflessione a mio parere ugualmente importante. Una grossa fetta (penso ALMENO il 90-95%) dei proprietari di questi modelli vulnerabili non verrà mai a sapere di questa falla, semplicemente perché non esiste un metodo standardizzato tra i produttori per mandare comunicazioni di questo genere. Anche quando venisse rilasciato un firmware aggiornato che correggesse la falla, l’utente non ha un modo automatizzato per saperlo.
Non dimentichiamoci peraltro che sono prodotti destinati a utenti aventi un grado di conoscenza informatica non necessariamente elevato, tutt’altro.
Considerata l’importanza che ormai riveste la cybersecurity, mi chiedo come mai non si sia ancora pensato a come risolvere questo problema.
Tecnicamente basterebbe che il router (o il NAS o l’access point o quello-che-è) facesse periodicamente delle chiamate a un servizio API per verificare la presenza di vulnerabilità e/o di aggiornamenti. Nel caso in cui sia necessario l’intervento dell’utente, potrebbe comunicarlo con una pagina “forzata” alla prima apertura di un browser e anche con una email a un indirizzo richiesto obbligatoriamente in fase di registrazione (con questa sola finalità, escludendo qualsiasi consenso marketing associato).
Questi due metodi sarebbero entrambi adatti anche agli utenti meno esperti. Può sembrare una scocciatura, ma vuoi mettere il vantaggio di evitare di avere dispositivi vulnerabili senza saperlo? |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 16 Apr 2022 11:14 Oggetto: |
|
|
In realtà un metodo standardizzato esiste: passare dal CVE. Già adesso ci si può iscrivere alla sua newsletter, se fosse possibile ricevere avvisi personalizzati sarebbe ancora meglio.
Il vero problema è che ad oggi solo certi produttori di HW aderiscono al progetto, quindi per chi ne sta fuori il censimento delle falle, oltre che a carico dell'organizzazione, diventa una questione controversa.
Quanto all'intervento "coatto" ventilato, c'è da dire che a volte già accade, e ben più del semplice avviso: ad es. QNAP recentemente ha forzato l'upgrade del firmware dei suoi NAS da remoto per contrastare una falla ritenuta critica in quanto esponeva a ransomware, e per chi aveva gli apparati esposti in Rete la cosa è stata imposta senza tanti convenevoli, generando persino lamentele e proteste (qualcuno col sistema già compromesso, con l'aggiornamento ha perso tutti i dati senza speranza di recuperarli). |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12755 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 16 Apr 2022 14:05 Oggetto: |
|
|
Kar.ma ha scritto: | Aggiungo un riflessione a mio parere ugualmente importante. Una grossa fetta (penso ALMENO il 90-95%) dei proprietari di questi modelli vulnerabili non verrà mai a sapere di questa falla, semplicemente perché non esiste un metodo standardizzato tra i produttori per mandare comunicazioni di questo genere. Anche quando venisse rilasciato un firmware aggiornato che correggesse la falla, l’utente non ha un modo automatizzato per saperlo.
Non dimentichiamoci peraltro che sono prodotti destinati a utenti aventi un grado di conoscenza informatica non necessariamente elevato, tutt’altro.
Considerata l’importanza che ormai riveste la cybersecurity, mi chiedo come mai non si sia ancora pensato a come risolvere questo problema.
Tecnicamente basterebbe che il router (o il NAS o l’access point o quello-che-è) facesse periodicamente delle chiamate a un servizio API per verificare la presenza di vulnerabilità e/o di aggiornamenti. Nel caso in cui sia necessario l’intervento dell’utente, potrebbe comunicarlo con una pagina “forzata” alla prima apertura di un browser e anche con una email a un indirizzo richiesto obbligatoriamente in fase di registrazione (con questa sola finalità, escludendo qualsiasi consenso marketing associato).
Questi due metodi sarebbero entrambi adatti anche agli utenti meno esperti. Può sembrare una scocciatura, ma vuoi mettere il vantaggio di evitare di avere dispositivi vulnerabili senza saperlo? |
In base alla mia esperienza personale direi che questo esiste già ma dipende dalla serietà del produttore.
Io ho un NAS che ha già i suoi annetti ma viene ancora regolarmente aggiornato dal produttore e mi propone automaticamente gli update FW, stesso discorso per il router che purtroppo ho dovuto smettere di utilizzare perché quando ha cambiato l'ultima volta provider internet non sono riuscito ad utilizzare il router del provider solo come bridge probabilmente per una scelta del provider stesso. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12755 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 16 Apr 2022 14:07 Oggetto: |
|
|
Citazione: | Ovviamente si potrebbe, a questo punto, discutere sulla serietà della decisione di D-Link di abbandonare prodotti la cui vita utile, salvo incidenti, è molto superiore a quella prevista dall'azienda: mentre una patch sarebbe probabilmente sufficiente a mantenere in funzione i router fallati, si chiede di abbandonarli per acquistarne di nuovi. |
Quindi la ovvia scelta da parte dell'utilizzatore deve essere quella di sostituire il router D-Link con quello di altro produttore più serio che garantisce almeno gli update di sicurezza per tempi più lunghi e coerenti con la vita utile di un dispositivo di questo genere. |
|
Top |
|
|
{Raffaele Ferro} Ospite
|
Inviato: 17 Apr 2022 01:21 Oggetto: |
|
|
periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla. |
|
Top |
|
|
Homer S. Dio Kwisatz Haderach
Registrato: 24/12/21 09:59 Messaggi: 3305 Residenza: Non dove vorrei stare, ma dove altro vorrei adesso lo so.
|
Inviato: 18 Apr 2022 07:14 Oggetto: |
|
|
Citazione: | periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla. |
Arguisco un tono sarcastico, perché se fosse vero l'azione migliore sarebbe stata predisporre un firmware aggiornato che anziché semplicemente rimuoverla la sostituisce con una nuova, e così via. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12755 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 18 Apr 2022 13:37 Oggetto: |
|
|
{Raffaele Ferro} ha scritto: | periodicamente, negli anni, sono state trovate back doors in questi dispositivi e sono state corrette. Evidentemente, questa e'l'unica rimasta. Ecco perche' non possono eliminarla. |
Volendo una falla si può sempre sistemare lasciando una back door ancora più nascosta e che determini un maggiore falsa sicurezza negli utenti, se lo scopo è quello di avere una back door sempre disponibile. |
|
Top |
|
|
|