A TP-LINK elkezdte lezárni otthoni routerei firmware-ét

Közösségi kerekasztal

Ma olvastam ezt a cikket: http://yro.slashdot.org/story/16/02/18/1423216/tp-link-begins-lockdown-of-firmware-in-response-to-fcc

Egy ilyen eszközön hogyan lehet megoldani az aláírás ellenőrzését? Bootloaderből? Vagy hardveres támogatás van hozzá?

  • 10297 megtekintés

( gemnon v | 2016. 02. 19., p – 07:56 )

Siemensék annó bootloaderből nyomták, de így is sikerült openwrt-t varázsolni rá, mert nem sikerült implementálni.

The original firmware contains two modified uboot bootloaders. Only the secondary one has a CLI.

The primary bootloader checks the header checksum (sha256) of the secondary bootloader
The secondary bootloader does the same thing with the firmware.
The sha256bit header checksum is generated by a 1024bit RSA private key which is currently unavailable.

Since the checking is only done for first 64Bytes of every 64k block it is possible to edit the secondary bootloader because it's size is less than 64k, by replacing lzma part and replacing it with lzma compressed u-boot.

Természetesen a GPL forrás tarball-ba lévő u-boot forrás köszönőviszonyban sem volt a routerével (valami meg sem jelent Siemens STB u-boot forrása volt).

Ezt nem tudom, de teljesen biztos megoldást HW támogatás nélkül nem lehet készíteni. Ugyanis a flash chip kiforrasztásával és saját bootloader égetésével továbbra is megkerülhető marad a védelem. Akkor meg ki mondja meg, hogy mi az elvárható erőfeszítés a gyártó részéről?

Az FCC mondja meg, hogy megfelel-e az elvárásoknak az eszköz, vagy sem. Azért egy next-next-finish jellegű firmware cserét ne hasonlítsunk már a forrasztós - flash-programozós változathoz :-P
Ha az lesz az elvárás, hogy USA piacra csak megfelelő hw-támogatással bíró, lecserélhetetlen firmware-es motyó kerülhet be, akkor aki ott akar üzletet csinálni, az meg fogja oldani.
Nekem egyébként van két olyan wifis dobozom, amire nem megy fel 3rd party firmware, tehát létezik ilyen is...

( dejo v | 2016. 02. 19., p – 09:11 )

Jó lenne, ha lenne aránylag erős és stabil hardverrel szerelt olyan router ami kifejezetten a nyílt router-szoftverek használatához készült!
Vagy nyitott kapukat döngetek?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( gemnon v | 2016. 02. 19., p – 09:50 )

Szerintem egyébként a TP-Link firmware nincs aláírva, a WDR-3600 legújabb verzióját néztem, az uboot binárisba nem tűnik, hogy a CRC ellenőrzésen kívül bármi lenne, szerintem egyszerűen a webes felület nem engedi feltölteni a régebbi verziót.

De vicces, hogy ilyen paramétere van a httpd-nek (hatalmas enforcing lehet :D): 


        [-f, --freeup]  this parameter allows httpd can update any firmware.

( zeller | 2016. 02. 19., p – 10:13 )

Itt az eredménye annak, hogy a rádiós részre vonatkozó előírásokat (RF-teljesítmény, csatornák) a nagyon nem tisztelt userek élből lesz@rják.

Az FCC-t első körben az érdekli, hogy az USA államaiban olyan eszközök kerülhessenek forgalomba, amik a vonatkozó szabályozás megkerülését nem teszik lehetővé. Mivel a 3rd party firmware telepítésével megkerülhető a használható csatornákra illetve az adóteljesítményre vonatkozó korlátozás, így az adott berendezés elvesztheti az FCC-s "plecsnit", ami együtt jár azzal, hogy a továbbiakban az USA területén nem forgalmazható, nem vihető be oda - és azért elég nagy piac, amit nem szeretne a TP-Link elveszíteni... Szerintem.

Nade ez csak azért van, mert ezek a paraméterek a normál oprendszerből tekerhetők.

Namost mi is a helyzet ugyanazzal a miniPCIe Wifi kártyával (amit beleraknak a készülékbe amúgy), ha azt bedugom egy PC-be, és rakok rá egy Linuxot? Szerintem pont ugyanannyira fogom tudni széttekerni a paramétereket.

A koncepciót amúgy értem, meg azt is, hogy azért az amcsik is hülyék.

Én ezt értem, de amíg egy eszköz (pl. a fent említett TP-Link WDR-3600 firmwarebe) ott figyel a beégetett root pass (vagy egyéb szépségek) addig nekem első dolgom WRT-t pakolni. :)

root@pingvin:/opt/firmware-mod-kit/squashfs-root-1/etc# cat shadow
root:$1$GTN.gpri$DlSyKvZKMR9A9Uj9e9wR3/:15502:0:99999:7:::

Ezt használod: https://code.google.com/archive/p/firmware-mod-kit/ ?

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

Akkor a nagyon nem tisztelt usereket kellene fenéken billenteni (avagy megbírságolni), nem a többi felhasználóval kiszúrni a felülről jövő erőből lenyomással.
Itthon pl. a mélyen tisztelt netszolgáltatók miatt van legtöbb helyen még nagyobb 2,4GHz-es zaj. Körfolyosós belvárosi téglaház, 23 UPC kábelmodem próbálja egymást lenyomni, maximum erőbedobással. 2 csatornán. Átlagjózska meg nem érti miért nem megy a szolgáltatói wifi, hát vesz mégegy routert. Feltekeri a térerőt maximumra és örül - így lesz az egy ponton látható wifik száma 40+...

Hali!

Ahol meg lehet tenni és az eszköz alkalmas rá, ott nem kérdés, hogy kábelen kell tolni... Éppen a héten is volt rá példa, hogy a tisztelt előfizető megrendelte a 120-as net helyett az 500-ast majd nekiállt speedtest appot baxtatni a 2-3 éves "almafónon" és utána közölte velem, hogy valami nem lesz jó, mert nem gyorsult a net... és ilyenkor sajnos nem tehetem meg, hogy megkérdezzem tőle sikerült-e már valaha 85 fölötti IQ tesztet kitöltenie :-(

Üdv:
Feri

( dejo v | 2016. 02. 19., p – 10:25 )

A TP-Link ugye már egy neves márka, így be kell állnia a sorba, ha a zárás követelmény.
De ez majd az ázsiai névtelen, márkáknak kedvez! Aztán a felhasználó eldönti, hogy akarja-e hogy a hatóságok ebből az irányból kényszerítsék ki a szabályok betartását.
Mert ugye a késsel kenyeret is lehet szeletelni, meg vajazni. Ugyanakkor a kés egy gyilkolásra alkalmas eszköz is!
Megenné a fene, ha csak 2,5 cm hosszú késeket lehetne forgalmazni és a disznóölő kést engedélyhez, vizsgához és erkölcsi bizonyítványhoz kötnék!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Kés: erről már lekéstél. :-) A kések forgalmazását nem korlátozzák, de legtöbb országban szabályozzák a hordását. Például nálunk a maximum 8 cm-es penge, vagy élhosszúságú késeket hordhatod szabadon (ha nem pillangó/rugós/… késről van szó). Felette már be kell tartani bizonyos szabályokat.

Röviden: http://kesbaratok.blog.hu/2013/08/29/a_bicska_es_a_kozterulet
A rendelet: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0300175.KOR

----- 

(&%;_98\<|{3W10Tut,P0/on&Jkj"Fg}|B/!~}|{z(8qv55sr1C/n--k**;gfe$$5a!BB]\.-

( ncc1701 | 2016. 02. 20., szo – 09:44 )

Hála égnek, mikrotik ára is lement majdnem a tp-link szintjére, szóval ez a hír engem nem érint.

Majdnem = 2x ?

Ma otthonra szerintem kb. ez a minimum funkcionalitás Wifi AP + router funkcióban, amiért érdemes pénzt kiadni a TP-Linktől:

https://ipon.hu/webshop/product/tp_link_archer_c5/718057

Ezt 25k alatt meg lehet venni a sarki boltban.

Engedékeny leszek, én "csak" a következőt kérem a készülék tudásából (ennél az eszköz többet tud, de szerintem kb. ennyi a minimum elvárás):
- dual radio
- 2.4GHz b/g/n 2x2 MIMO
- 5GHz a/n 2x2 MIMO
- 1x gigabit wan port
- 1x gigabit lan port
- legalább 500-600MHz CPU, legalább 64MB RAM

Melyik Mikrotik tudja ugyanezt "majdnem" ugyanennyiért? (nekem a 30k még belefér "majdnem" ugyanennyinek, 45-50k viszont nem)

Igen, a HW NAT-os csoda TP-Link dobozokat nehéz lenyomni.

Azért próbálkoznak.
HAP AC Lite: 5x100Mbit, 2.4 + 5 GHz, 64MB RAM - nettó 11.000 http://routerboard.com/RB952Ui-5ac2nD
HAP AC: 5x1000Mbit + SFP, 2.4 + 5 GHz, 128 MB RAM - Most jelenik meg. Ajánlott ára 129$ lesz. http://routerboard.com/RB962UiGS-5HacT2HnT

Az RB962UiGS -sel mi lett? Mintha "már" nem lenne kapható.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

Oké, de két dobozban is drágább lesz... Ja, hogy ha a _másik_ doboz árát nem nézzük, akkor csak a router nem drágább? De ennek mégis mi értelme van?

Abban mi a jó, hogy veszek Mikrotiket routernek (arra a feladatra, amit amúgy _bármi_ képes megcsinálni, mivel a routing-only kb. zéró kihívás, így, 2016 táján), majd veszek egy TP-Linket csak AP-nak? Amikor az közben röhögve tud route-olni _is_, ráadásul sok dologgal lehet problémája a készüléknek, de pont a route-olással nem szokott.

De legalább a wifije egészen más minőségű mint a TP-Link -é.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

Persze, de duplaáron nem biztos, hogy erre vevők az emberek...

Másrészt meg már jóideje nézegetem, és nem értem ezt. Ha szó szerint ugyanazt az (amúgy SOHO) Atheros chipsetet belerakja a Mikrotik egy készülékbe (a fentebb linkelt, még nem kapható $129-os cuccban ugyanaz a 9558 + 9880 kombó van, mint az Archer C5/C7-ben), akkor ott miért lesz más minőségű? A Mikrotik jobb antennát tesz rá? Netán jobban tudnak panelt tervezni? Vagy azt állítod, hogy a kernel drivert a Linux közösség nem tudja ugyanolyan jól megírni, bezzeg a Mikrotikesek igen? ...és akkor a GPL hogy is néz ki itt (miért is nem kell közzétennie a változtatásokat a Mikrotiknek)? Szóval próbáljunk már valami hihető műszaki magyarázatot találni a történetre, mert ez nekem nem kerek.

Azt is el tudom fogadni, hogy a TP-Link ott bassza el, hogy berakja a SOHO chipsetet a termékbe, ami középszar, a Mikrotik "jó" cuccaiban meg az Enterprise verzió van (n* áron persze), ami tényleg frankó, aztán elterjed, hogy a Mikrotik a jó, a TP-Link meg nem, majd ezek után kidobja a piacra a Mikrotik is ugyanazzal a SOHO chipsettel az ő olcsó termékét, akkor az miért nem lesz pont ugyanolyan, mint a TP-Link?

( freeoli v | 2016. 02. 26., p – 15:30 )

nagyon helyes. Már ha a firmware minden komponensére igényli az aláírást. Így egy feltört és rendesen megpakolt router nem lesz zombi hanem csak tégla és az nem annyira káros.

( tovis v | 2016. 02. 27., szo – 11:25 )

Erőszak? Elnyomás? Nem csak a hatalom szokásos hülyesége amikor azt képzeli, hogy mindent kézben tud tartani.
A rádiós frekvenciasáv egy szűkös, korlátozott erőforrás, használatát korlátozni kell, de nem egyszerű. A harc folyamatos.
Eddig is léteztek olyan lehetőségek, hogy panelekből egységekből, PC manapság ARM alapokon magad rakj össze egy routert.
A kereskedelemben is kaphatóak olyan erősítő modulok amivel tovább növelheted a kisugárzott teljesítményt, az antenna nyereség növelésével is tudsz játszani.
Engem inkább zavar, hogy a lakás (80 nm) egyik végében elhelyezett router már a lakás másik végéig nem "ér el". Szerintem nem épp a teljesítmény kérdése hanem hogy alattam/fölöttem is lehet/van WiFi és így már egymást zavarjuk, hiába van a födémben vas rács. A rádió hullámoknak nem lehet azt mondani itt a határ, itt állj.
Már van működő "LiFi" azaz a fényforrás modulációját alkalmazó vezeték nélküli kommunikációs megoldás, talán ez tudna segíteni.

* Én egy indián vagyok. Minden indián hazudik.

Tökéletesen igazad lenne, de
A 80 nm = négyzetméter, akinek egy lakással kapcsolatban a nano méter jut az eszébe ...
A szakmában ezt úgy hívják "körsugárzó" antenna. Ha megnézed a leírásokat általában max 30m mondanak az ilyen routerekre, ahol három antenna is van, azaz 30m -es sugarú kör. Jelenleg ez legfeljebb 20m.
Igen jogos, hogy a legvégébe tenni nem túl optimális megoldás, de ezen kütyün van 4 db gigabites ethernet csatlakozó + a wan (és USB és én a sorost is kivezettem, sőt dédelgetem a gondolatot az i2c -ről). Így már nem igazán tűnik egy olyan eszköznek, amit szívesen látnék a lakótér kellős közepén - a feleségem pedig ...
Még az a gondolat motoszkál bennem, hogy az egyik antennát egy koax kábellel kitoldanám, de ez nagyon nem egyszerű - jó minőségű (értsd kis csillapítású) 50 Ohm(?) kábel kell, vagy kompenzálni kell vagy nagyon kritikus a hossz - állóhullám. Szóval a kábel nem könnyen kivitelezhető opció 2 GHz magasságában. A másik lehetőség, lehet ez lesz a befutó, hogy mivel a lakás másik végéig van olyan cső amibe be tudok húzni egy ethernet kábelt, majd erre egy másodlagos access pointot elhelyezni, ez se olcsó, de van néhány régi WiFi routerem ami erre lehet jó lesz.

* Én egy indián vagyok. Minden indián hazudik.

Nem. az "n" prefix az a nano rövidítése, amire te gondolsz, azt "négyzetméter" vagy m2 formában írjuk helyesen. Még akkor is, ha az igénytelen ingatlanosok a helytelen formát használják lépten-nyomon.
A koax toldás helyett UTP-t kell húzni lakás közepéig (egy darabot), oda tenni egy AP-t, a routeren meg lekapcsolni a wifi-t, és kész.