- persicsb blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nincs időm végigolvasni, de addig jutottam, hogy a quick start guide javasolja a pw cserét. Default beállításokkal használni egy routert/bármit, amúgy sem túl jó ötlet. (többi gyártó megoldása sem biztos, hogy sokkal jobb, legalábbis a bizonyíték hiánya, nem a hiány bizonyítéka)
- A hozzászóláshoz be kell jelentkezni
Ha a default beállítások ésszerűek, a default név/jelszó teljesen egyéni és random: Miért ne?
- A hozzászóláshoz be kell jelentkezni
Erre mondj példát, én még a jobb soho routereken sem láttam ilyet. Mindenhol álltalános default név/jelszó párost láttam, amit gyakran még a webes dokumentációban is közzétesznek.
Kivétel pl az openwrt, ahol nincs def jelszó, de ugye most nem ilyesmiről beszélünk.
- A hozzászóláshoz be kell jelentkezni
ne keverd az admin név/jelszót és a wifi név/jelszót. Én pl az upc routeremet úgy kaptam meg, hogy random(nak látszó) neve és jelszava volt a wifinek, onnantól a szomszéd portyázó nem jut be könnyen :)
- A hozzászóláshoz be kell jelentkezni
WPA2 "password recovery" UPC routerekhez: http://haxx.in/upc_keys.c
TLDR: Az UPC szériaszám alapján generálja a jelszót ami erősen korrelál az ESSID-vel, így kb. 20 próbálkozásból kitalálható
--------
Vultr VPS: SSD + 768MB RAM, 5USD/hó (benchmark), 20USD kupon: SSDVPS
- A hozzászóláshoz be kell jelentkezni
Cisco epc3925-nek meg a sorozatszám a wifi jelszava, legalábbis a telekomtól kapott fekete dobozoknak biztosan. Gyakorlatilag egy 2-essel kezdődő 9 jegyű számsor, az ssid meg a cable mac utolsó 6 jegye.
- A hozzászóláshoz be kell jelentkezni
Egyéni, random, és factory reset esetén on board reprodukálható secretet egyáltalán nem olyan triviális csinálni, főleg nem úgy, ha nem szeretnél arra sokat költeni, hogy minden egyes deviceot egyedileg kelljen provisionölni.
- A hozzászóláshoz be kell jelentkezni
base64(md5(device.getMacAddress())).substring(0,12)
A plain MAC vagdosasnal meg ez is fenyevekkel jobb, mert legalabb nem elsore ordit rola, hogy micsoda.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
ez sok minden, csak nem random. Annyival jobb, hogy nem ordít róla fényévekről, hogy micsoda, ez tény, de nem hiszem, hogy egy nem tök scriptkiddie blackhat-et komolyabban meghatná, hogy ezt is beletették, ugyanúgy csak a mac kell hozzá. Viszont a felvetés, amire válaszoltam az volt, hogy miért ne használjuk a default beállításokat, ha azok jók -- márpedig ez még ahhoz nagyon kevés.
[troll] ráadásul ez md5 javaslásával kiérdemeltél egy azonnali picsánrugást security témában[/troll]
- A hozzászóláshoz be kell jelentkezni
Az md5-ot csak akkor nem javasolt hasznalni, ha checksum-nak akarom hasznalni, erre a feladatra (obfuszkalas) alkalmas.
Amugy meg a megbizhatoan eloallithato jelszavak mindig is konnyu celpontok lesznek, mert nagyjabol valami hasonlo algoritmus alapjan szamolodik ki, a MAC cim helyett/mellett mondjuk figyelembe lehet venni mas adatokat is, de a generalt jelszo csak a brute-force tamadas ellen ved, ha vki mondjuk tudja, hogy adott eszkozon pontosan milyen infok alapjan, milyen algoritmussal all elo az uj jelszo, akkor maris tud dictionary-attackot inditani bizonyos tipusu eszkozok ellen.
Hat ezert nem jok a default jelszavak. A default beallitasokkal amugy nincs baj.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
akkor eljutottunk odáig, hogy mégiscsak egyetértünk? :)
(az md5 nyilván nem véletlen volt trollban, a defaultok közül meg csak a jelszóról volt szó eleve)
- A hozzászóláshoz be kell jelentkezni
Egy pw=f(MAC) biztonsága addig jobb, mint a semmi, amíg az f() függvény nem kerül nyilvánosságra. TP-link esetében az f() egy sima stringművelet, ami nem is próbálja meg elrejteni az eredményben a MAC tartalmát, így picivel nagyobb lehetőséget adva a felhasználónak arra, hogy gyanakodjon a default jelszó biztonságával kapcsolatban.
- A hozzászóláshoz be kell jelentkezni
Nem csak a WiFi eszköz MAC az, ami minden egyes eszköznél egyedi. Más egyedi sorszám is létezik, amit erre fel lehetne használni, méghozzá olyan sorszám, amit nem szór az eszköz az éterbe másoknak.
- A hozzászóláshoz be kell jelentkezni
Egy sorozatszám nem feltétlenül lehet elegendő. Nem szórja, és egyedi. Ezen kívül más egyedi azonosítója nem nagyon van ezeknek.
- A hozzászóláshoz be kell jelentkezni
feltéve, hogy az eszköz szériaszáma pl kiolvasható a dobozból, de ez az ilyen kis szappantartó szaroknál nem feltétlen van így. Lásd még ugye, hogy próbáljuk kihagyni azokat a lépéseket, mikor valami custom izét kell csinálni minden dobozzal, mert ugye onnan indultunk, hogy az drága.
Félre ne érts, még mindig nem a tplinket védem, ezen konkrétan én már évekkel ezelőtt kiröhögtem magam, mikor először volt ilyen a kezemben, de azért a "hagyjuk úgy defaulton nem lesz baj", az annyira imho nem egyszerű...
- A hozzászóláshoz be kell jelentkezni
Milyen mas egyedi sorszama van egy embedded hardvernek, ami a hardveren belul kiolvashato? Vonalkod kuka, szeriaszam kuka, P/N kuka, egyeb?
A legkevesbe rossz megoldas az, hogy futtat valami lshw -szeru cuccot, es annak a kimenetnek veszi a hashet.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
Az Ethernet interfészeknek is van MAC címe, azokat nem kürtöli a világ felé, nem úgy, mint a WiFI interfész MAC-et. Ahhoz, hogy az Ethernet MAC-et tudd, ahhoz fizikai hozzáférésednek is kell lennie.
Így az egész nem más, mint amit a TPLink előad, mint egy false sense of security. Szegény user, azt hiszi, ezzel a jelszóval biztonságos is az eszköz (hiszen minden eszköznek más a jelszava, ezt tuti enm találja ki senki!!!), miközben nem az.
- A hozzászóláshoz be kell jelentkezni
A TPLink es a biztonsag szo nalam nehezen fer meg egy mondatban:
http://tech.slashdot.org/story/13/03/15/1234217/backdoor-found-in-tp-li…
(Az viszont teny, hogy OpenWRT-hez egesz jok a hardwareik)
- A hozzászóláshoz be kell jelentkezni
Valahol tartja a beegetett MAC-et, valahol tarolja a user/pass parost, a beallitasokat, szoval a vas benne van, ami ennek a tarolasahoz kell, a koltseget nem noveli. Gyartaskor valahogy felprogramozzak, beallitjak a soron kovetkezo MAC-et, ugyanaz a script feltolthetne ra egy randomgeneralt jelszot is.
--
Is that a banana in your pocket, or are you just happy to see me?
Neither, it's my new iPhone.
- A hozzászóláshoz be kell jelentkezni
mi a csudának, ha azt utána nagy betűkkel ráírják a router aljára.
ennek okán így is úgy is új jelszó kell neki. és nem árt ha a login jelszó más mint a wifi jelszó, és akkor már semmiből sem tart új ssid sem.
- A hozzászóláshoz be kell jelentkezni
Ohm, gyanitom, hogy a router gyartasa soran nem allitanak ok be semmit, hanem meglevo alkatreszekbol pakoljak ossze, es az alkatreszben van benne a MAC, nem pedig a gyarto script tolti fel azt.
Ami a user/jelszot illeti, altalaban a ROM image-ba van beegetve, es a feltolto script annyibol all, hogy ugyanazt az image-t tolti be a ROM-ba valtoztatas nelkul, egyszeruen azert, mert ez a leggazdasagosabb modja annak, hogy ezt a folyamatot megcsinaljuk.
Egyebkent pont az a baj a randomgeneralt cuccokkal, hogy azt nyilvan kell tartani per eszkoz a gyartas soran, elso ket korben azert, mert ez a jelszo bekerul az eszkozhoz mellekelt manualba plusz ranyomtatodik az aljan levo matricara is. Ez egy manufakturaban, ahol Nyosika legyart tiz routert per nap nem gond, de egy rendes meretu gyarban, ahol tobbezer kulonfele tipusu eszkoz keszul per nap, mar igenis gond. Mar csak az az alapvetes is, hogy ossze kell a csomagolasnal parozni a manualokat meg az eszkozoket. Persze, meg lehet csinalni, csak ez mind-mind noveli a gyartas koltseget, noveli a hibaszazalekot, raadasul ezeket a randomgeneralt cuccokat utana is tarolni kell, hogy a "jajj, lekopott a matrica es elveszett a manual, hogy erem el a routeremet" cimu kerdesekre is tudjon a support valaszolni, mert az nem jo valasz, mint amit itt a HUP-on kapna, hogy "hat oregem, ij", foleg garancialis idon belul nem az.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
A routeremen a LAN es a WAN pont MAC addresse az utolso bitben ter el. Valoszinuleg nem "meglevo alkatreszekbol pakoljak ossze", mert akkor nem lenne ennyire rendezett. Akkor a manual+matrica nyomtatashoz ki kellene olvasni a beegetett MAC-et, es azt ranyomtatni, ahelyett, hogy mennenek sorban mindharmon, es a vegen osszefuznek az osszetartozoakat.
Csomagolasnal most is ossze kell parozni a manualokat meg az eszkozoket a MAC alapjan, de ez nem nehez, mert sorban jonnek. Akkor sem lenne nehezebb ezt megtenni, ha a MAC-en kivul egy random(nak latszo) jelszo is ra lenne nyomtatva.
Ha tenyleg random, akkor le kell tarolni, ha nem, akkor le lehet generalni mindig. De meg ha letaroljak, akkor sincs nagy adatmennyiseg.
Ettol fuggetlenul kicsit tul van lihegve az egesz, ha megvaltoztatja a user a default jelszot (ahogy kellene), akkor semmi hatranya nem szarmazik az egeszbol.
Nehany volt kollegam keszitett egy - sajnos belso hasznalatu - kisfilmet kinai gyarlatogatason. 3 partnernel voltak (nem halozati eszkoz, hanem navigacio, de sokat nem valtoztat a dolgon), kulonbozo technikai szinten gyartottak, kb. fogtam a fejemet miket kepesek muvelni neha. Utana bekerult par uj funkcio a belso toolokba..
--
Is that a banana in your pocket, or are you just happy to see me?
Neither, it's my new iPhone.
- A hozzászóláshoz be kell jelentkezni
Pedig de - nézz meg egy átlagos, soho routernek becézett szappantartó sematikus rajzát. (két port a cpu-n, egy switch, oszt' jónapot...)
- A hozzászóláshoz be kell jelentkezni
sub
--
WP8.x kritika: http://goo.gl/udShvC
- A hozzászóláshoz be kell jelentkezni