A TP-LINK elkezdte lezárni otthoni routerei firmware-ét

 ( gergov | 2016. február 18., csütörtök - 20:42 )

Ma olvastam ezt a cikket: http://yro.slashdot.org/story/16/02/18/1423216/tp-link-begins-lockdown-of-firmware-in-response-to-fcc

Egy ilyen eszközön hogyan lehet megoldani az aláírás ellenőrzését? Bootloaderből? Vagy hardveres támogatás van hozzá?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Siemensék annó bootloaderből nyomták, de így is sikerült openwrt-t varázsolni rá, mert nem sikerült implementálni.

Idézet:
The original firmware contains two modified uboot bootloaders. Only the secondary one has a CLI.

The primary bootloader checks the header checksum (sha256) of the secondary bootloader
The secondary bootloader does the same thing with the firmware.
The sha256bit header checksum is generated by a 1024bit RSA private key which is currently unavailable.

Since the checking is only done for first 64Bytes of every 64k block it is possible to edit the secondary bootloader because it's size is less than 64k, by replacing lzma part and replacing it with lzma compressed u-boot.

Természetesen a GPL forrás tarball-ba lévő u-boot forrás köszönőviszonyban sem volt a routerével (valami meg sem jelent Siemens STB u-boot forrása volt).

Én a gyártó helyében biztosan valami olyan megoldást alkalmaznék, amire rá lehet fogni, hogy megfelel a szabályoknak, de azért nem annyira nehéz megkerülni.
Lehet, hogy itt is ez történt / történik majd.

Hát az 1024-bites RSA kulcs használata szerintem kb. pont ez... valaki kiszivárogtatja vagy megtöri (azért 1024-bitet már nem nevezünk elegendőnak manapság), aztán csóközön.

Ez egy nagyon régi (kb. 10 éves) doboz :)

Lehet, hogy a magyarországi viszonyok között a hatóságot hülyének tartani kifizetődő és működő megoldás, az USA esetében viszont kellően nagy rizikója van :-P

Ezt nem tudom, de teljesen biztos megoldást HW támogatás nélkül nem lehet készíteni. Ugyanis a flash chip kiforrasztásával és saját bootloader égetésével továbbra is megkerülhető marad a védelem. Akkor meg ki mondja meg, hogy mi az elvárható erőfeszítés a gyártó részéről?

Páncél doboz!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Az FCC mondja meg, hogy megfelel-e az elvárásoknak az eszköz, vagy sem. Azért egy next-next-finish jellegű firmware cserét ne hasonlítsunk már a forrasztós - flash-programozós változathoz :-P
Ha az lesz az elvárás, hogy USA piacra csak megfelelő hw-támogatással bíró, lecserélhetetlen firmware-es motyó kerülhet be, akkor aki ott akar üzletet csinálni, az meg fogja oldani.
Nekem egyébként van két olyan wifis dobozom, amire nem megy fel 3rd party firmware, tehát létezik ilyen is...

Nekem egyébként van két olyan wifis dobozom, amire nem megy fel 3rd party firmware, tehát létezik ilyen is...

Draytek, SMC, Zyxel? :P

Az egyik egy ősrégi Canyon, a másik egy jóval ifjabb Asus, bár ez utóbbi is sok-sok évvel ezelőtti eszköz.

Jó lenne, ha lenne aránylag erős és stabil hardverrel szerelt olyan router ami kifejezetten a nyílt router-szoftverek használatához készült!
Vagy nyitott kapukat döngetek?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Szerintem egyébként a TP-Link firmware nincs aláírva, a WDR-3600 legújabb verzióját néztem, az uboot binárisba nem tűnik, hogy a CRC ellenőrzésen kívül bármi lenne, szerintem egyszerűen a webes felület nem engedi feltölteni a régebbi verziót.

De vicces, hogy ilyen paramétere van a httpd-nek (hatalmas enforcing lehet :D):

        [-f, --freeup]  this parameter allows httpd can update any firmware.

Itt az eredménye annak, hogy a rádiós részre vonatkozó előírásokat (RF-teljesítmény, csatornák) a nagyon nem tisztelt userek élből lesz@rják.

Mondjuk, ehhez nem kell 3rd party firmware. Pistike hazaviszi a 5Ghz-es TP-Link csodadobozt és elfelejti átállítani az alapértelmezett regulatory domaint United States of America-ról. :P

De legalább lehet a cuccokat agyba főbe backdoorozni.

Meg nagyobb nyereségű antennát sem sokból tart feltenni.

Fix antenna, oszt' jónapot :-P

Ez csak egy kis nehezítés. :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Az FCC-t első körben az érdekli, hogy az USA államaiban olyan eszközök kerülhessenek forgalomba, amik a vonatkozó szabályozás megkerülését nem teszik lehetővé. Mivel a 3rd party firmware telepítésével megkerülhető a használható csatornákra illetve az adóteljesítményre vonatkozó korlátozás, így az adott berendezés elvesztheti az FCC-s "plecsnit", ami együtt jár azzal, hogy a továbbiakban az USA területén nem forgalmazható, nem vihető be oda - és azért elég nagy piac, amit nem szeretne a TP-Link elveszíteni... Szerintem.

Nade ez csak azért van, mert ezek a paraméterek a normál oprendszerből tekerhetők.

Namost mi is a helyzet ugyanazzal a miniPCIe Wifi kártyával (amit beleraknak a készülékbe amúgy), ha azt bedugom egy PC-be, és rakok rá egy Linuxot? Szerintem pont ugyanannyira fogom tudni széttekerni a paramétereket.

A koncepciót amúgy értem, meg azt is, hogy azért az amcsik is hülyék.

Én ezt értem, de amíg egy eszköz (pl. a fent említett TP-Link WDR-3600 firmwarebe) ott figyel a beégetett root pass (vagy egyéb szépségek) addig nekem első dolgom WRT-t pakolni. :)

Idézet:
root@pingvin:/opt/firmware-mod-kit/squashfs-root-1/etc# cat shadow
root:$1$GTN.gpri$DlSyKvZKMR9A9Uj9e9wR3/:15502:0:99999:7:::

Igen, mert van benne egy rakás "tákolt" squashfs így elég jó eséllyel ki tudja csomagolni.

Akkor a nagyon nem tisztelt usereket kellene fenéken billenteni (avagy megbírságolni), nem a többi felhasználóval kiszúrni a felülről jövő erőből lenyomással.
Itthon pl. a mélyen tisztelt netszolgáltatók miatt van legtöbb helyen még nagyobb 2,4GHz-es zaj. Körfolyosós belvárosi téglaház, 23 UPC kábelmodem próbálja egymást lenyomni, maximum erőbedobással. 2 csatornán. Átlagjózska meg nem érti miért nem megy a szolgáltatói wifi, hát vesz mégegy routert. Feltekeri a térerőt maximumra és örül - így lesz az egy ponton látható wifik száma 40+...

Ezért vettem 20 m utp Cat5e kábelt és egy switchet, és minden eszközömet, amit lehetett kábelre lógattam... Ég és föld a sebességbeli különbség.

Hali!

Ahol meg lehet tenni és az eszköz alkalmas rá, ott nem kérdés, hogy kábelen kell tolni... Éppen a héten is volt rá példa, hogy a tisztelt előfizető megrendelte a 120-as net helyett az 500-ast majd nekiállt speedtest appot baxtatni a 2-3 éves "almafónon" és utána közölte velem, hogy valami nem lesz jó, mert nem gyorsult a net... és ilyenkor sajnos nem tehetem meg, hogy megkérdezzem tőle sikerült-e már valaha 85 fölötti IQ tesztet kitöltenie :-(

Üdv:
Feri

Eh... Nekem világos volt, hogy egy 300Mbit-es router nekem nem fog wifin átvinni 100 Mbites netet... :D Ez nem IQ, ez számok törvénye...

A TP-Link ugye már egy neves márka, így be kell állnia a sorba, ha a zárás követelmény.
De ez majd az ázsiai névtelen, márkáknak kedvez! Aztán a felhasználó eldönti, hogy akarja-e hogy a hatóságok ebből az irányból kényszerítsék ki a szabályok betartását.
Mert ugye a késsel kenyeret is lehet szeletelni, meg vajazni. Ugyanakkor a kés egy gyilkolásra alkalmas eszköz is!
Megenné a fene, ha csak 2,5 cm hosszú késeket lehetne forgalmazni és a disznóölő kést engedélyhez, vizsgához és erkölcsi bizonyítványhoz kötnék!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Ha az USA-ban forgalmazni óhajtja a dobozát, akkor az FCC plecsnire szüksége van.

Majd árulják kit-ben.
Külön alaplap, külön doboz, külön wifi kártya.
És 10db csavar.

Összepattintós doboz maximum, de akkor is jóval kevesebbet fog eladni belőle - és a gyártó részéről az eladások száma a lényeges.

Kés: erről már lekéstél. :-) A kések forgalmazását nem korlátozzák, de legtöbb országban szabályozzák a hordását. Például nálunk a maximum 8 cm-es penge, vagy élhosszúságú késeket hordhatod szabadon (ha nem pillangó/rugós/… késről van szó). Felette már be kell tartani bizonyos szabályokat.

Röviden: http://kesbaratok.blog.hu/2013/08/29/a_bicska_es_a_kozterulet
A rendelet: http://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=A0300175.KOR

-----
(&%;_98\<|{3W10Tut,P0/on&Jkj"Fg}|B/!~}|{z(8qv55sr1C/n--k**;gfe$$5a!BB]\.-

Hála égnek, mikrotik ára is lement majdnem a tp-link szintjére, szóval ez a hír engem nem érint.

Majdnem = 2x ?

Ma otthonra szerintem kb. ez a minimum funkcionalitás Wifi AP + router funkcióban, amiért érdemes pénzt kiadni a TP-Linktől:

https://ipon.hu/webshop/product/tp_link_archer_c5/718057

Ezt 25k alatt meg lehet venni a sarki boltban.

Engedékeny leszek, én "csak" a következőt kérem a készülék tudásából (ennél az eszköz többet tud, de szerintem kb. ennyi a minimum elvárás):
- dual radio
- 2.4GHz b/g/n 2x2 MIMO
- 5GHz a/n 2x2 MIMO
- 1x gigabit wan port
- 1x gigabit lan port
- legalább 500-600MHz CPU, legalább 64MB RAM

Melyik Mikrotik tudja ugyanezt "majdnem" ugyanennyiért? (nekem a 30k még belefér "majdnem" ugyanennyinek, 45-50k viszont nem)

Igen, a HW NAT-os csoda TP-Link dobozokat nehéz lenyomni.

Azért próbálkoznak.
HAP AC Lite: 5x100Mbit, 2.4 + 5 GHz, 64MB RAM - nettó 11.000 http://routerboard.com/RB952Ui-5ac2nD
HAP AC: 5x1000Mbit + SFP, 2.4 + 5 GHz, 128 MB RAM - Most jelenik meg. Ajánlott ára 129$ lesz. http://routerboard.com/RB962UiGS-5HacT2HnT

Az RB962UiGS -sel mi lett? Mintha "már" nem lenne kapható.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_Informatikai_Kar

A routert, és AP-t eleve érdemes külön venni, jöbb az két dobozban. Ettől független kitartok állításom mellett, 15k körül már normális mikrotik routert veszel 5 gbites porttal. Vlan, rendes OS, amit akarsz. Közelébe nem ér neki a tplink.

Oké, de két dobozban is drágább lesz... Ja, hogy ha a _másik_ doboz árát nem nézzük, akkor csak a router nem drágább? De ennek mégis mi értelme van?

Abban mi a jó, hogy veszek Mikrotiket routernek (arra a feladatra, amit amúgy _bármi_ képes megcsinálni, mivel a routing-only kb. zéró kihívás, így, 2016 táján), majd veszek egy TP-Linket csak AP-nak? Amikor az közben röhögve tud route-olni _is_, ráadásul sok dologgal lehet problémája a készüléknek, de pont a route-olással nem szokott.

-

De legalább a wifije egészen más minőségű mint a TP-Link -é.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_Informatikai_Kar

Persze, de duplaáron nem biztos, hogy erre vevők az emberek...

Másrészt meg már jóideje nézegetem, és nem értem ezt. Ha szó szerint ugyanazt az (amúgy SOHO) Atheros chipsetet belerakja a Mikrotik egy készülékbe (a fentebb linkelt, még nem kapható $129-os cuccban ugyanaz a 9558 + 9880 kombó van, mint az Archer C5/C7-ben), akkor ott miért lesz más minőségű? A Mikrotik jobb antennát tesz rá? Netán jobban tudnak panelt tervezni? Vagy azt állítod, hogy a kernel drivert a Linux közösség nem tudja ugyanolyan jól megírni, bezzeg a Mikrotikesek igen? ...és akkor a GPL hogy is néz ki itt (miért is nem kell közzétennie a változtatásokat a Mikrotiknek)? Szóval próbáljunk már valami hihető műszaki magyarázatot találni a történetre, mert ez nekem nem kerek.

Azt is el tudom fogadni, hogy a TP-Link ott bassza el, hogy berakja a SOHO chipsetet a termékbe, ami középszar, a Mikrotik "jó" cuccaiban meg az Enterprise verzió van (n* áron persze), ami tényleg frankó, aztán elterjed, hogy a Mikrotik a jó, a TP-Link meg nem, majd ezek után kidobja a piacra a Mikrotik is ugyanazzal a SOHO chipsettel az ő olcsó termékét, akkor az miért nem lesz pont ugyanolyan, mint a TP-Link?

nagyon helyes. Már ha a firmware minden komponensére igényli az aláírást. Így egy feltört és rendesen megpakolt router nem lesz zombi hanem csak tégla és az nem annyira káros.

Erőszak? Elnyomás? Nem csak a hatalom szokásos hülyesége amikor azt képzeli, hogy mindent kézben tud tartani.
A rádiós frekvenciasáv egy szűkös, korlátozott erőforrás, használatát korlátozni kell, de nem egyszerű. A harc folyamatos.
Eddig is léteztek olyan lehetőségek, hogy panelekből egységekből, PC manapság ARM alapokon magad rakj össze egy routert.
A kereskedelemben is kaphatóak olyan erősítő modulok amivel tovább növelheted a kisugárzott teljesítményt, az antenna nyereség növelésével is tudsz játszani.
Engem inkább zavar, hogy a lakás (80 nm) egyik végében elhelyezett router már a lakás másik végéig nem "ér el". Szerintem nem épp a teljesítmény kérdése hanem hogy alattam/fölöttem is lehet/van WiFi és így már egymást zavarjuk, hiába van a födémben vas rács. A rádió hullámoknak nem lehet azt mondani itt a határ, itt állj.
Már van működő "LiFi" azaz a fényforrás modulációját alkalmazó vezeték nélküli kommunikációs megoldás, talán ez tudna segíteni.

* Én egy indián vagyok. Minden indián hazudik.

Az a 80 nanométer hosszú lakás nem szűk egy picit? Egyébként meg az átlagos wifi-router antennája nagyjából minden irányba egyenletesen sugároz, ergo az egyik, ha nem a legnagyobb hülyeség a lefedendő terület végébe rakni... :-P

Tökéletesen igazad lenne, de
A 80 nm = négyzetméter, akinek egy lakással kapcsolatban a nano méter jut az eszébe ...
A szakmában ezt úgy hívják "körsugárzó" antenna. Ha megnézed a leírásokat általában max 30m mondanak az ilyen routerekre, ahol három antenna is van, azaz 30m -es sugarú kör. Jelenleg ez legfeljebb 20m.
Igen jogos, hogy a legvégébe tenni nem túl optimális megoldás, de ezen kütyün van 4 db gigabites ethernet csatlakozó + a wan (és USB és én a sorost is kivezettem, sőt dédelgetem a gondolatot az i2c -ről). Így már nem igazán tűnik egy olyan eszköznek, amit szívesen látnék a lakótér kellős közepén - a feleségem pedig ...
Még az a gondolat motoszkál bennem, hogy az egyik antennát egy koax kábellel kitoldanám, de ez nagyon nem egyszerű - jó minőségű (értsd kis csillapítású) 50 Ohm(?) kábel kell, vagy kompenzálni kell vagy nagyon kritikus a hossz - állóhullám. Szóval a kábel nem könnyen kivitelezhető opció 2 GHz magasságában. A másik lehetőség, lehet ez lesz a befutó, hogy mivel a lakás másik végéig van olyan cső amibe be tudok húzni egy ethernet kábelt, majd erre egy másodlagos access pointot elhelyezni, ez se olcsó, de van néhány régi WiFi routerem ami erre lehet jó lesz.

* Én egy indián vagyok. Minden indián hazudik.

Nem. az "n" prefix az a nano rövidítése, amire te gondolsz, azt "négyzetméter" vagy m2 formában írjuk helyesen. Még akkor is, ha az igénytelen ingatlanosok a helytelen formát használják lépten-nyomon.
A koax toldás helyett UTP-t kell húzni lakás közepéig (egy darabot), oda tenni egy AP-t, a routeren meg lekapcsolni a wifi-t, és kész.