You can not prevent a TR069 (like) attacks against your ISP provided router, just use an open source firmware on your own device to metigate against it, use #openwrt!

אז הנה שוב פעם ספק תקשורת מספק נתבים, ושבוב פעם כלל הלקוחות של ספק האינטרנט מקבלים רושעה בלי שום פעולה שהם עשו פרק להפעלת נתב בקוד סגור שהם לא יכולים להתקין.

אז הסיפור הזה הוא של סם קורי, מה שקרה שסם גילה חשד שיש  רושעה שרצה (מותקנת) על הנתבים (או מודמים) של החברה שהיא מספקת ללקוחות שלה. לאחר חיפוש עמוק הוא גילה שכל אדם עם כלי הפריצה המתוחקם שנקרא דפדפן יכל לשנות ולעדכן כל נתב שספק האינטרנט שלו מספק ע"י התקשרות עם משאבי ספק האינטרנט. כלומר גם אם אדם הגדיר firewall כמו שצריך אצלו , אבל המודם שלו היה מקבל עדיכוני קושחא / הגדרות מספק האינטרנט שלו (כמו בבזק והוט בחלק מהמודמים והנתבים שלהם בעבר) התוקף יכל לשנות חלק מההגדרות מה שאיפשר את ההתקפה הזאת. החלק החשוב ביותר, התוקף הוא אדם שנמצא מחוץ לרשת של ספק האינטרנט, כלומר אדם שיושב בסין תוקף את משתמשים אצל ספק אינטרנט בקנדה (למשל).

למעשה TR069 (וגם 369) מאפשר לספק לתת תמיכה אוטומטית לכל הלקוחות שלהם, עכשיו נניח ויש לך סיב אופטי עד הבניין ולכל אדם יש נתב מספק האינטרנט , אז גם ה OLT וגם הנתבים עצמם יכולים לקבל את העידכונים הללו. כן אתה עם הסיבים והנתב הפרטי שעלה לך $400 הOLT לפניך מקבל עדיכונים חכמים וגם הוא פתוח להתקפות של אדם מחוץ לרשת ספק האינטרנט שלך אם ספק האינטרנט שלך עשה טעות.

לספקי האינטרנט שלכם יש גישה לתוך הרשת הפנימית שלכם, זו הצורה בה הם יודעים כמה מכשירים ומה ה macים שלהם בתוך הרשת הפנימית, בדר"כ עובדי ספקי האינטרנט לא מבצעים snooping בתוך הרשת שלכם אז יש ייתרון במתן השירות הזה.

רוצים שלא יעשו לכם צרות בתוך הרשת הפנימית שלכם ? אז דבר ראשון תשתמשו בנתב שלכם שמריץ קושחא בקוד פתוח, נניח LEDE או OpenWRT , לצערי הרב לחלק הגדול מהנתבים הזולים הנמכרים בארץ אין כבר תמיכה מאז 2019 , כי בעלי רק 4 מ"ב איחסון מה שמכונה בעיית ה 4/32, אבל בתאוריה ניתן לקמפל ולבנות את OpenWRT בעצמכם בשביל לבנות את הקושחא בשביל המכשיר שלכם.

 

אני אישית משתמש ב OpenWRT עדכני, אבל אני מבין הייטב שחיבור הרשת שלי מהנתב הפרטי שלי כלפי השרתים הוא עובר דרך כל מני מערכות שאני לא יכול לסמוך עליהם, זה למה תמיד משתמשים ב TLS ו ssh , וזה למה שום מחשב (כן גם טלפון סלולארי זה מחשב) לא נכנס לרשת הפנימית שלי שיוצאת לאינטרנט , כן זה כולל גם את המתאמים החכמים.

 

ב OpenWRT לא חייבים להשתמש בממשק cli , אלא ניתן להשתמש גם בממשק גרפי , הממשק שאני משתמש בו הוא LuCI. מכיוון שכל הקוד הפתוח יש לכם את היכולת לבחור מה להתקין ומה להסיר, וכמובן היכולת המדימה להפוך את הנתב שלכם למשקולת נייר אם אתם ממש רוצים, גילוי נאות עשיתי זאת לא פעם בגלל כל מני ניסיונות להיות חכם יותר מדי.

קוד המקור נגיד פה ורשמית המכשירים הנתמכים אפשר למצוא כאן, האמת שמעתי אנשים שהפעילו את זה אפילו על RPI אני אישית מעדיף משהוא שיוכל לספק לי לפחות 4 פורטים של 1 גסל"ש וגם כרטיס רשת אלחוטי מאוד חזק, עכשיו לי שיגיע ויגיד שאתה לא יכול לצפות שנתב רגיל יריץ  OpenWRT  ויספק חיבור של 1 גסל"ש על 4 פורטים ומעלה לרשת, אגיד לו ! אתה צודק ! אני יודע שבשביל לספק חיבור של 1 גסל"ש וניתוב אנחנו צריכים לפחות מעבד של 1.2 גיגה הרץ עם 128 זיכרון ראם , יודע , יודע.