2 puan yazan GN⁺ 2024-07-10 | 2 yorum | WhatsApp'ta paylaş
  • Belçikalı tüketici kuruluşu Testaankoop, Linksys Velop Pro 6E ve Velop Pro 7 mesh yönlendiricilerinin Wi‑Fi oturum açma bilgilerini düz metin olarak ABD’deki AWS sunucularına gönderdiğini açıkladı
  • Kurulum denetimi sırasında gönderilen paketlerde yapılandırılmış SSID ve parola, ağ tanımlama belirteci ve kullanıcı oturumu için erişim belirteci yer aldı
  • Testler o dönemdeki en güncel firmware ile yapıldı; Linksys, Kasım 2023’teki uyarının ardından firmware güncellemesi yayımlasa da sorun çözülmedi
  • Etkilenen kullanıcılar, uygulama yerine web arayüzü üzerinden Wi‑Fi ağ adını ve parolasını değiştirerek okunabilir metin aktarımını engelleyebilir
  • Testaankoop, ilgili modellerin satın alınmasını kesinlikle önermedi; Velop ürün ailesinin küçük ofisler için de tavsiye edilmesi nedeniyle hem kişisel hem de iş ortamları açısından endişe söz konusu

Düz metin aktarımı doğrulanan Velop modelleri

  • Belçikalı tüketici kuruluşu Testaankoop, iki Linksys yönlendirici modelinin Wi‑Fi oturum açma bilgilerini düz metin olarak Amazon AWS sunucularına gönderdiğini doğruladı
  • Söz konusu modeller Linksys Velop Pro 6E ve Velop Pro 7 mesh yönlendiricileri
  • Rutin bir kurulum denetimi sırasında ABD’deki AWS sunucusuna birden fazla veri paketinin gönderildiği tespit edildi
    • Paketlerde yapılandırılmış SSID adı ve parola düz metin olarak bulunuyordu
    • Daha büyük bir veritabanı içinde ağı tanımlayan bir belirteç de yer alıyordu
    • Kullanıcı oturumu için erişim belirteci de birlikte gönderiliyordu
  • Bu aktarım yöntemi ortadaki adam saldırısı (MITM) olasılığını artırabilir
    • Bir saldırgan Linksys yönlendirici ile Amazon sunucusu arasındaki iletişimi ele geçirirse, düz metin olarak gönderilen SSID ve parolayı yakalayabilir
    • Ağ adını ve parolayı okuma veya değiştirme ve ağa yetkisiz erişim riski ortaya çıkar

Firmware durumu ve kullanıcıların alabileceği önlem

  • Testaankoop, test sırasında kullanılabilen en güncel firmware ile inceleme yaptı
    • Velop 6E birkaç kez test edildi; son test V 1.0.8 MX6200_1.0.8.215731 firmware’iyle gerçekleştirildi
    • Yeni Velop Pro 7 ise 1.0.10.215314 firmware’iyle test edildi
  • Linksys, Kasım 2023’teki ilk uyarının ardından firmware güncellemesi yayımladı ancak Testaankoop’un dile getirdiği endişeler giderilmedi
  • Güvenlik sorunu, Linksys firmware’inde kullanılan üçüncü taraf yazılımdan kaynaklanmış olabilir; ancak Testaankoop bunun açığı haklı çıkarmayacağı görüşünde
  • Bu yönlendiricilere halihazırda sahip olan kullanıcılara, uygulama yerine web arayüzü üzerinden Wi‑Fi ağ adını ve parolasını değiştirmeleri öneriliyor
    • Bu önlem, SSID adı ve parolanın okunabilir metin olarak gönderilmesini önlemeye yönelik bir tedbirdir

Linksys’in yanıtı ve satın alma tavsiyesi

  • Testaankoop, yayımdan birkaç gün önce Linksys ile tekrar iletişime geçerek kısa bir yanıt fırsatı verdi, ancak üreticiden bir doğrulama ya da çözüm alamadı
  • Stack Diary de 9 Temmuz’da Linksys’e yanıt planını sordu; 14 Temmuz itibarıyla yanıt alamadı
  • Uzun testlerin ardından Testaankoop, Linksys Velop Pro WiFi 6E ve Pro 7’nin satın alınmasını kesinlikle önermediği ve ağa sızma ile veri kaybı riskinin ciddi olduğu sonucuna vardı
  • Velop serisi gibi mesh yönlendiriciler, birden çok bağlantı düğümüyle geniş veya çok katlı evlerde Wi‑Fi dağıtımını iyileştirmek için tasarlansa da Velop Pro WiFi 6E ve Pro 7’nin veri aktarım yöntemi, sunması gereken güvenlik avantajlarını zayıflatıyor

2 yorum

 
halfenif 2024-07-11

Destek personelinin parolasını unutan kullanıcılara yardımcı olabilmesi için olduğu bahanesi

Ah...

 
GN⁺ 2024-07-10
Hacker News yorumları
  • Bu yorumları okuyunca, herkes parolanın sunucuya gönderilmesini sorun etmiyor da yalnızca şifreleme olmamasını mı sorun olarak görüyor?
    En başta parolanın sunucuya gönderilmesini beklemezdim

    • Bir ölçüde ilgili: 2013 tarihli bir yazı; Google’ın dünyadaki WiFi parolalarını bildiğini söylüyor: https://www.computerworld.com/article/1496628/android-google...
    • Hiç de kabul edilebilir değil. Yönlendiricinin, kullanıcı açıkça ayarlamadığı sürece, kim olduğu belirsiz bir sunucuya hiçbir veri göndermemesi gerektiğini düşünüyorum.
      Böyle bir şey yapan yönlendirici amacına uygun bir ürün değildir; zaten Linksys yönlendiricilerini birkaç yıldır genel olarak kullanılabilir ürünler olarak görmüyordum
    • Geliştiriciler buna katılmadığı için içeride bilerek sabotaj yapmış olabilirler diye düşünüyorum.
      Düz metin kolayca gözlemlenir ve insanlar bunu fark edebilir, bu da PR açısından darbe yaratabilir; şifreli bir parolanın izini sürmekse fiilen zordur
    • Ben de kabul edilebilir bulmuyorum. Yönlendirici kurulumu için telefon uygulaması kullanmayı zorunlu tutmaları bile hoşuma gitmiyor
    • Bu yazı ortadaki adam saldırısı açığını uzun uzun ele alıyor, ama en başta neden ortada bir adam olması gerektiğini ya da Amazon’un uç noktada bir kişiye sahip olma hakkının neden bulunduğunu açıklamıyor
  • TR-69 mekanizması üzerinden Verizon FiOS yönlendiricileri yerel WiFi parolasını merkezi yönetim sistemine gönderiyor.
    Duyduğum bahane şuydu: “Parolasını unutan kullanıcılara destek personelinin yardımcı olabilmesi için” :-/

    • Açıkçası kulağa epey mantıklı geliyor. Destekte tasarruf edilen zamanın, bir güvenlik olayını toparlama maliyetinden çok daha büyük olması muhtemel
    • Hepsi bu değildir. Muhtemelen dünyada müşterilerine, içinde WiFi yönlendirici olsun ya da olmasın modem sağlayan neredeyse tüm internet servis sağlayıcıları aynı şeyi yapıyordur.
      Ayrıca, sağlayıcının uygulamasından sağlanan ekipmanın parolasını değiştirebiliyorsanız, yüksek ihtimalle o parola en azından TCP/TLS paketlerinin içinde düz metin olarak gidip geliyordur
    • Tam anlamıyla delilik.
      Eskiden beri operatörün verdiği yönlendiriciyi kullanmama alışkanlığım olduğu için kendimi şanslı hissediyorum
    • Şimdiye kadar kullandığım tüm WiFi yönlendiricilerde reset düğmesine birkaç saniye basınca hard reset olurdu ve WiFi varsayılan parolaya dönerdi.
      Sonra yönlendiriciye giriş yapıp yeni parolayı ayarlamak yeterliydi
    • WiFi parolalarının zahmetine çözümün WPS olacağını düşünmüştüm.
      Ben bir internet servis sağlayıcısı olsam ve WiFi parolasıyla ilgili çok fazla destek talebi alsam, WPS’i daha fazla kullanmayı düşünürdüm
  • Yönlendirici sektörünün kararlı yerel ağ ekipmanları yerine akıllı cihazlara dönüşmesi trendinden gerçekten nefret ediyorum.
    Diğer sektörlerde gördüğümüz müşteri sömürüsü burada da aynen yaşanıyor. Örneğin TP Link, Roku gibi şirketler gibi yönlendiricide dark pattern’lar kullanıyor; hizmet şartlarını güncelledikten sonra uygulamayı kullanmak için pop-up’ta kabul etmeye zorluyor.
    Uygulama, yönlendirici ayarlarının çoğuna erişmenin tek yolu; eskiden olduğu gibi parola korumalı bir web sayfasına girip ayar yapma yönteminden farklı. Yeni şartları kabul etmezseniz, şimdiye kadar kontrol ettiğiniz yönlendiriciyi artık kontrol edemiyorsunuz.
    Üstelik uygulama içinde, menü öğelerinin veya kullanıcı arayüzü unsurlarının yanındaki kırmızı dairesel rozetler gibi yönlendirmelerle işe yaramaz ve istenmeyen hizmet denemeleri sürekli dayatılıyor.
    Linksys’te olduğu gibi kişisel bilgilerimi ve güvenliğimi kötüye kullanmalarına imkân veren şartlar bulunmasına şaşırmam.
    Peki nereye gideceğiz? Tüm şirketler bunu yapıyor. Belki de bu olmadan hayatta kalamıyorlardır. Bu yüzden güvenlik ihlallerinde sorumluluk, hizmet şartları suistimaline sınırlama gibi düzenlemelere ihtiyaç var gibi görünüyor

  • Bu gerçekten düz metin mi, yoksa HTTPS içindeki düz metin mi? Yazı ve kaynak materyal bunu söylemiyor.
    Parolanın HTTPS isteği içinde “düz metin” olması oldukça yaygındır. Neredeyse tüm web uygulaması girişleri böyle çalışır.
    HTTPS değilse, isteğin içine düz metin parola koymanın dışında da bir sürü sorun vardır.
    HTTPS ise asıl sorun parolanın yerelde kalmayıp bir yerlere gönderilmesidir. Bu uygulama çok daha tartışmalıdır ama ne yazık ki birçok yönlendiricinin bulut/uygulama yönetimi özelliklerini desteklemek için sıkça yaptığı bir şeydir

    • Yönetim özelliklerini desteklemek için bulutun WiFi parolasını neden bilmesi gerekiyor?
      Şu an aklıma gelen tek nedenler, mesh yapılandırması için ikinci cihazı daha “otomatik” kurmak ya da fabrika ayarlarına döndükten sonra da aynı parolayı kullandırmak. İkisinin de daha iyi çözümleri var.
      Yeni parola ayarlanacaksa mevcut parolanın neden gerektiğini anlamıyorum; uzaktan yönetim erişim kimlik bilgisi olarak WiFi parolası kullanılıyorsa, ağ erişim yetkim aynı zamanda yönetim yetkisi haline gelmemeli, bu yüzden kötü.
      Gerçekten gerekiyorsa, yeterince salt eklenip hash’lenmiş parolayı göndermek gibi çok daha iyi bir yöntem uygulanabilir
    • Yakalanabildiyse gerçekten düz metin olduğunu varsaymak gerekir.
      Linksys sunucu sertifikasının özel anahtarına erişilebilseydi bu çok daha büyük bir haber olurdu
  • Bir tüketici test kuruluşunun bunu bulabilecek kadar teknik uzmanlığa sahip olması etkileyici.
    Tüketici gibi kullanarak keşfedilebilecek bir sorun değildi; güvenlik hatası bulmak için özellikle çaba gösterilince fark edilebilecek bir problemdi

  • WiFi yönlendirici üreticileri OpenWRT kullansa gerçekten harika olurdu
    İsterlerse gli.net gibi üzerine bir tema giydirebilirler; en azından temel olarak OpenWRT kullanmaları yeterli. Açık, iyi çalışıyor
    Ürün farklılaştırmasını da daha fazla anten takıp tüm hız rakamlarını toplayarak çok hızlı görünmesini sağlama şeklinde sürdürebilirler

    • Birkaç saat önce başka bir nedenle öğrendim; gerçekten de böyle en az bir yer var. GL.iNet, kendi derlediği OpenWRT’yi çalıştıran yönlendiriciler satıyor
      https://www.gl-inet.com/support/firmware-versions/
      https://github.com/gl-inet/openwrt
      Ayrıca OpenWRT’nin sysupgrade yöntemiyle stok OpenWRT kurmak da kolay
      https://openwrt.org/toh/gl.inet/gl-mt6000#installation
    • Apple’ın AirPort’u da yeniden canlandırmasını isterdim
      Kurulumu kolaydı, performansı iyiydi, bazı gelişmiş özellikleri de vardı ve yıllarca güvenlik güncellemeleri aldı
      Yaklaşık 2 yıl önce ofisten bir arkadaşım ve ben Fritz!Box bozulduğunda eski bir AirPort Extreme’i çıkardık; hâlâ çok iyi çalışmakla kalmadı, 802.11ac yönlendirici olarak da oldukça rekabetçiydi
    • Linux’un GPL ile ilgili taraflarından endişe ediyorsanız OpnSense de var. İyi çalışıyor ve bence epey iyi bir itibarı var
      Birkaç yıl önce kendi yönlendiricimi OpnSense ile yapacak kadar meraklı biriyim; gerçekten mükemmel çalışmıştı
      Bırakmamın tek nedeni BSD ile belirli bir Broadcom 10Gbe kartı arasında etrafından dolaşamadığım bir sorun olmasıydı; sonunda ClearOS ile geçici bir şeyler kurdum, daha sonra da NixOS kullanmaya başladım
    • Temaları bizzat kurmuş değilim ama https://openwrt.org/docs/guide-user/luci/luci.themes adresindeki gibi gerçekten mevcutlar
      Yapılamaması için pek bir neden yok
    • Birçok GLI.NET cihazı, Linux ana hat çekirdeği desteği upstream edilmemiş SoC’ler kullanıyor
      Dolayısıyla GLI.NET satın almak, “düzgün OpenWrt” çalıştıran donanımı kesin olarak elde edeceğiniz anlamına gelmiyor
      Yine de donanım uyumluluk listesini kontrol etmek ya da daha iyi ve güncel bir yöntem olarak mevcut OpenWrt git master’daki DTS dosyaları listesini incelemek gerekiyor
  • Bu sorun yalnızca Velop ürün ailesiyle sınırlı değil
    EA7500’ü openWRT’ye geçirirken, mylinksys web portalına giriş yapmaya zorlayıp ana sunucuyla bağlantı kurmaya çalışırken tamamen aynı bilgilerin gönderildiğini gördüm

  • “Kasım ayında Linksys’i uyarmamıza rağmen etkili bir önlem alınmadı”
    Kasım mı? Kasım mı dediniz? Elbette o dönemlerde çok tatil var
    Yine de üretici aktif olarak çalışmıyor ya da iletişim kurmuyorsa, bence böyle bir şey en geç ocak sonunda kamuya açık şekilde ifşa edilmiş olmalıydı

  • Utanç verici bir durum. Aylarca yanıt vermemek aktif biçimde kötü niyetli bir davranış ve suçu üzerine yıkacakları harcanabilir bir geliştirici değil, tüm şirket buna göre cezalandırılmalı

  • Apple’ın yeniden WiFi yönlendirici işine girmesini isterdim
    Gizlilik ve güvenlik konusundaki yaklaşımı nedeniyle Apple’a çoğu diğer markadan daha fazla güveniyorum
    Ne yazık ki Apple, eski ürünlerinin yerine Linksys yönlendiriciler satıyor

    • Üzgünüm ama cihaz abonelik iş modeli kimsenin ilgisini çekmiyor
      İnsanlar kendi donanımlarına sahip olmak istiyor
    • Aşağıdaki koşulları karşılıyorsa kimin yaptığı umurumda değil
      Önyükleyicinin ve tüm yerleşik cihazların kaynak kodu açık olmalı
      Tüm NPU’lar, offloading motorları ve Ethernet veri yolundaki diğer cihazlar için firmware kaynak kodu sağlanmalı
      Ana hat Linux çekirdeği, WiFi/RF dışında tamamen blob’suz önyüklemeyi desteklemeli
      Bir jumper ile TrustZone erişimi etkinleştirilebilmeli ve son kullanıcı tam anahtar yönetimine sahip olmalı
      İçeride seri UART port başlığı lehimli halde bulunsa iyi olur
      Ama Apple’ın, kutudan çıkardıktan 5 dakika sonra OpenWrt’yi kolayca kurabileceğiniz kadar kullanıcı dostu böyle bir cihaz yapacağını sanmıyorum. Üstelik muhtemelen fahiş fiyat ister