Zdalny 0-day na routery Linksysa.

Pierwotna informacja pojawiła się jakiś czas temu (dokładnie 9 stycznia), wczoraj widziałem wpis pochodny ale widzę, że żaden polski serwis newsowy nie kwapi się z publikacją, więc warto rozpropagować/ostrzec, tym bardziej, że exploit dotyczy potencjalnie 70 mln urządzeń na całym świecie, w tym dość popularnych WRT54GL i okolic. I – jak to 0-day – także najnowszego firmware’u. Co prawda piszą, że działa na 4.30.14, a najnowsza wersja to 4.30.15, ale data wydania wskazuje, że to firmware z 2011 roku.

Dokładne szczegóły nie są znane, działanie exploita można zobaczyć na filmie (poniżej). Na pewno, jak widać na filmie, działa z poziomu sieci lokalnej. Być może działa także zdalnie, ale zapewne warunkiem będzie włączone logowanie do routera po WAN. Szczegóły mają być zamieszczone w ciągu tygodnia na stronie firmy, która błąd znalazła.

Rozwiązania od producenta, czyli Cisco na ten moment nie ma. Dla wielu routerów można wgrać alternatywne oprogramowanie, czyli DD-WRT, OpenWrt lub Tomato, co wg mojej wiedzy rozwiązuje problem. Tak się zastanawiam, czy to nie pochodna błędu w DD-WRT o którym kiedyś pisałem. Wygląda podobnie.

UPDATE: Wygląda, że błąd w routerach Linksys został poprawiony.

Android na tablecie – spotkanie drugie.

Poprzednio opisywałem tablet Go Clever A73 i wspominałem o problemach z baterią. Tablet w ramach reklamacji trafił do Biedronki, gdzie został zakupiony, a tam od ręki został wymieniony na nowy. Fajnie. Mniej fajne jest to, że drugi egzemplarz ma identyczny problem, po opisaniu na Blipie usłyszałem, że komuś to samo zrobił to samo. Stawiam zatem na błąd w samym Androidzie, szczególnie, że do samego czasu działania nie mam większych zastrzeżeń. Nie sprawdzałem dokładnie, ale grając w jakieś gry łącznie na pewno ponad 2h jest.

Tym bardziej, że błędów tego typu jest jakby więcej – ostatnio jakaś gra pytała się, czy włączyć dźwięk. Dałem wyłącz i od tej pory cały system nie ma dźwięku. W ustawieniach jest mute i nie mogę zmienić. Czyżby kolejny bug? Zastanawiam się teraz, jak włączyć ten dźwięk… Pomogło wyłączenie tabletu, a następnie włączenie odtwarzacza muzyki. Co ciekawe, przed wyłączeniem nie reagował na włączanie aplikacji z dźwiękiem.

Zacząłem doceniać chmurę – co prawda nie mam pełnej synchronizacji włączonej, nawet rzekłbym, że wszystko mam wyłączone, ale sklep Play (fatalna nazwa i będzie się z operatorem komórkowym mylić…) pamiętał aplikacje, które miałem zainstalowane i były pod ręką. W sumie miłe, szczególnie jeśli weźmie się pod uwagę mało intuicyjne wyszukiwanie. Gdyby któryś producent zrobił tego typu integrację z jasnym podziałem, które dane mają być w chmurze, a które lokalnie, to pewnie się przekonam. Póki co, coraz bliżej mi do wrzucenia w chmurę danych poddanych szyfrowaniu, najlepiej dwukrotnemu, różnymi aplikacjami i algorytmami. Tyle, że to raczej typowe dane, a nie same ustawienia, i nie z tableta, a z komputera.

Poza tym, tablet Go Clever A73 faktycznie ma słabe WiFi. W niewielkim mieszkaniu odejście od AP na kilka metrów powoduje zauważalne zmiany sygnału, podobnie zmiana położenia urządzenia, jeśli jest w dalszej odległości. Wszystko odkryte dzięki aplikacji Wifi Analyzer (wymyślna nazwa, prawda? ;-)), która pokazuje poziom sygnału w czasie, pomaga wybrać kanał, na którym należy skonfigurować router itp. Bardzo fajny programik, ciekawe czy jest jakiś odpowiednik na Linuksa? Przy okazji okazało się, że sąsiedzi mają za router jakiegoś smoka, prawdopodobnie rozkręconego na full, który w całym moim mieszkaniu ma praktycznie równy sygnał, momentami silniejszy od mojego routera.

Yet Another Stupid Checkpoint.

Co jakiś czas łapię się na tym, że robię porządki, zmiany, podsumowania i postanowienia. Zwykle grupowo i w okolicach urlopów. Jako, że właśnie skończyłem urlop, to pora na małe podsumowanie.

Na początek rzeczy z publicznej listy TODO. Przede wszystkim, w końcu uruchomiłem produkcyjnie Dockstara. Póki co – działa i podoba mi się. Prawie pewne jest też, że pojawi się wkrótce test sprzętowego simlocka – muszę (i to szybko!) przenieść numer spam z Plusa, zapewne do Play, bo długie terminy po doładowaniach, a numer tylko na przychodzące. Zobaczymy jak to działa, zobaczymy co dalej z telefonami…

Znowu lenistwo wzięło górę i nie poszukałem kasety Bez Krótkich Spodni. Numer jeden do zrobienia przy najbliższej okazji, razem z (dopisanym w tej chwili) eksportem archiwum listy SzLUUG. Router w domu… kiedyś zrobię, najpierw kable trzeba zabezpieczyć jakoś, bo małą ciągnie i gotowa zepsuć połamać. Certyfikat IPv6 ugrzązł. Chciałem robić tylko w oparciu o publiczne, darmowe zasoby i poległem na revDNS – wygląda, że nikt z dynDNSów nie umożliwia ustawienia reva (albo za słabo poszukałem, po prostu).

Z innych sieciowych rzeczy – dziś przypadkiem sprawdziłem i okazało się, że Google podniósł blogowi pagerank (do 4). Co ciekawe, staremu, nieutrzymywanemu blogowi nie spada (nadal 3). Przypominają się ludzie ze starych projektów. Tydzień na zastanowienie i trzeba sobie jasno odpowiedzieć, czy jest sens się bawić czy kolejne rzeczy do zaorania. Tym bardziej, że są nowe plany (nie nadają się na publiczne TODO) i czas będzie potrzebny.

Z nie wpisanych na listę – zacząłem klepać kod do gry. Tak, zainspirowałem się historią RPG Idee Fixe, które powstawało latami i stwierdziłem, że skoro nic podobnego do tkwiącego w mojej głowie pomysłu nie istnieje (albo przynajmniej o istnieniu nie wiem), to będę pomału rzeźbić, bo pośpiechu nie ma. Na razie bawię się pojedynczymi funkcjami, nie wiem jeszcze, czy miałoby być to webowe, czy standalone. O ile cokolwiek powstanie, co wcale pewne nie jest… Na razie jest pomysł (miejscami mglisty), do tego napiszę parę funkcji i postaram się złożyć to w spójną całość. Potem pozostało dobranie parametrów (czytaj: prawdopodobieństw) i jakby to wyszło, to tylko pozostanie opakować w formę strawną dla przeciętnego użytkownika (czytaj: nie CLI).