Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный доступ к виртуальной частной сети, причем без подписки.
Но, как говорится, бесплатный сыр бывает только в мышеловке. Я решил разобраться, что на самом деле скрывается за красивыми обещаниями продавцов. Приобрел три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000. Спойлер: если вы ожидали хеппи-энд, то вы зашли не в тот блог.
В процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
В этой статье расскажу, какие угрозы скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
Контрольная закупка
В этом небольшом исследовании участвовали Cudy WR300, Keenetic Starter KN-1121 и Xiaomi AX3000T с «вечным» VPN. Все три модели стоили дороже обычных версий без дополнительных сервисов. В случае Cudy переплата составила половину стоимости роутера — эту модель можно найти в продаже за 1500 рублей.
Карточки этих товаров на маркетплейсах пестрят заманчивыми фразами: «Не требует настройки», «VPN — пожизненно», «Безопасная сеть» и еще десяток обещаний прекрасного будущего за сравнительно небольшие деньги.
Брал тестовые образцы у проверенных продавцов — сотни положительных отзывов, высокие оценки. Комментарии читаются как сказка: железки работают без нареканий, техподдержка отвечает быстрее ChatGPT, а VPN летает. Попадаются и расстроенные покупатели, которые жалуются на скорость или проблемы с подключением к удаленным серверам, но на фоне общего восторга эти претензии незаметны.
Особенно порадовал раздел «вопрос-ответ» на страницах товаров. Там потенциальные покупатели с разумными сомнениями получают бодрые заверения: все включено, сервера надежные, подписки корпоративные, каналы быстрые. Что-то вроде: «Покупайте, не переживайте, все настроено, зуб даем».
Правда, на технические вопросы продавцы отвечают уклончиво. Ну и ладно — сам во всем разберусь. Начну с исследования информационной безопасности самого дешевого роутера, а закончу наиболее дорогим.
Важное предупреждение для хакеров-падаванов и просто любопытных товарищей.
Не подключайте сомнительное сетевое оборудование напрямую к домашней сети. Такие устройства нужно изолировать.
Я использовал свитч D-Link, как основу тестового стенда. Для каждого эксперимента выделял отдельный порт с изолированным VLAN. Трафик шел только в интернет, без доступа к другим сегментам сети.
К Wi-Fi подключался через внешний адаптер Alpha. Это создает дополнительный барьер между тестируемым устройством и основной системой. Работал через виртуальную машину на отдельном компьютере. На VM отключил все альтернативные способы выхода в интернет: никакого Ethernet, второго Wi-Fi или мостов. Полностью закрыл общий доступ к папкам и сетевым ресурсам.
Отдает паранойей уровня «они следят за нами через микроволновки», но это стандартные меры предосторожности при работе с подозрительными устройствами — особенно если они обещают безопасность из коробки.
Исследуем Cudy WR300 — первый пациент на столе
Жертвой номер один стал Cudy WR300. Заводские пломбы-наклейки отсутствовали — уже хороший знак, не правда ли? Внутри коробки лежала скромная инструкция от продавца с контактами техподдержки, элементарными кредами от админки и строгим предупреждением: не сбрасывать Cudy до заводских настроек.
Подключился, ввел логин-пароль и попал в панель управления. Пока все предсказуемо: пользователя встречает родная прошивка Cudy. Поискал тот самый пожизненный VPN и нашел предварительно настроенный клиент WireGuard.
Сразу после включения роутер автоматически цепляется к виртуальной частной сети и начинает неспешно общаться с IP-адресом где-то на Филиппинах.
Попробовал резолвить адрес — не резолвится. Пробил через whois и выяснил интересное: IP зарегистрирован на обычного московского предпринимателя. За ним числится целый пул хостинговых адресов, часть которых засветилась в AbuseIPDB — базе IP с подозрительной активностью.
Немного OSINT по фамилии, и я нашел сайт небольшого хостинг-провайдера из третьего эшелона. Он предоставляет серверы в России, Латвии, Франции, Германии, Эстонии и Нидерландах. Цены на VPS стартуют с 2,5 долларов. Экзотических островов среди публично доступных локаций почему-то не нашлось.
Запустил traceroute, чтобы посмотреть маршрут подключения. Первый хоп — IP роутера, второй — виртуальная сеть, через которую идет трафик.
Сканирование второго IP при помощи Nmap сперва ничего не дало. Поэтому я забрал публичный и приватный ключи со всеми настройками и сохранил в конфигурационный файл WireGuard, чтобы дополнительно исследовать подключение.
Установил WireGuard на виртуальную машину, загрузил туда конфиг и получил прямое подключение к виртуальной сети. И тут началось веселье: оказалось, что она не сегментирована. Сканирование в обход роутера дало результат: Nmap нашел 35 IP-адресов и, конечно, открытые порты — куда без них. Как вы могли догадаться, все соседи — другие счастливые обладатели «безопасных» роутеров этого продавца.
Админки как на ладони, и, поскольку продавец запрещает сбрасывать настройки до заводских, все они наверняка «надежно» защищены паролем admin. В этой ситуации хакеру достаточно приобрести один роутер, чтобы без труда получить прямой доступ к десяткам аналогичных устройств.
В то же время прошивка Cudy WR300 поддерживает удаленный доступ, и в роутере есть предустановленные диагностические приложения. Так, с помощью traceroute можно получить реальный IP-адрес пользователя. Я проверил это на своих IP и убедился: покупателя, находящегося с вами в одной сети, можно вычислить таким образом. Можно слить конфигурационные файлы VPN со всех доступных роутеров. А еще предусмотрено обновление прошивки через web-интерфейс, а это значит можно удаленно залить модифицированный образ — окирпичить или зомбировать устройство, например, сделав его частью ботнета.
Впрочем, даже если забыть о сетевой составляющей, Cudy WR300 нельзя назвать хорошо защищенным.
Анатомия роутера
Закончив с сетью, я перешел на уровень железа. Для этого разобрал устройство и начал изучать его архитектуру на низком уровне.
Первое, что бросается в глаза при взгляде на плату — UART-интерфейс. С его помощью можно управлять устройством напрямую. Рядом расположен флеш-чип — XMC 250H64DHIQ.
По правилам хорошего тона микросхему выпаивают перед чтением прошивки, чтобы на нее не поступало питание с платы, и ничего не влияло на содержимое чипа. Но для быстрого исследования прищепка — приемлемое решение. Однако в таком случае лучше считать прошивку несколько раз и сравнить MD5 хеш-суммы, чтобы убедиться — в полученных данных нет искажений от работающей платы.
Вооружившись считывателем прошивок на базе CH341, я получил... ничего, поскольку этой микросхемы нет в приложении flashroom. Однако Xgecu распознал чип и позволил извлечь прошивку из памяти устройства.
Далее при помощи binwalk я разобрал содержимое скачанной прошивки.
Простым поиском по passwd нашел место хранения учетных данных. Также нашел папку shadow с хешем root-пароля.
Первым делом загуглил хеш, и на первой же странице выдачи нашлась ссылка на хакерский форум. В начале 2025 года кто-то попросил помочь подобрать к нему пароль.
В целом расшифровка хеша — несложная задача при наличии инструментов вроде Hashcat или John the Ripper. Моя проверка подтвердила, что заводской пароль к роутеру действительно — admin.
Вендоры и злоумышленники могут получить удаленный доступ к устройству не только через стандартные пароли. Производитель может модифицировать систему еще до продажи — встроить бэкдоры или шпионское ПО для кражи конфиденциальных данных. А теперь подумайте: зачем так настойчиво просить не сбрасывать роутер к заводским настройкам? Неужели только ради VPN?
Keenetic Starter — второй кандидат на вскрытие
Следующим на очереди был Keenetic KN-1121. Меня снова ждала открытая коробка с криво вырезанной инструкцией, простые пароли по умолчанию и просьба не использовать Wi-Fi с более чем двумя подключенными устройствами.
Беглый осмотр показал, что роутер в порядке и работает на стандартной для кинетиков прошивке от декабря 2024 года, однако на этот раз мне достался нерабочий VPN. Пинг по 8.8.8.8 не пошел — 0 пакетов из 27 отправленных.
Судя по панели управления, продавец использовал OpenVPN. В настройках из коробки были проставлены все разрешения, необходимые для подключения.
В подразделе Other Connections я нашел файл конфигурации, а в нем IP-адрес и порт, куда стучится роутер.
Оказалось, что этот IP принадлежит еще одной небольшой хостинговой компании, которая в основном известна дешевыми промо-тарифами на VPS в Амстердаме.
В разделе с системными файлами роутера можно выгрузить прошивку, startup-config и другие полезные файлы без возни с микросхемами.
Судя по логам, сервер, к которому обращается роутер, отключили, либо мой ключ удалили из базы. Все указывало на то, что проблема не со стороны пользователя.
Служба поддержки в деле
Обратился в службу поддержки, телефон которой был указан в инструкции. Бот-автоответчик спросил, на каком маркетплейсе я покупал роутер, и попросил дождаться специалиста, но я не стал сидеть сложа руки. В еще одном файле — startup-config — нашел пароли и, как в предыдущем случае, хеши, которые легко расшифровываются. Тут ситуация примерно такая же, как и с Cudy.
В процессе сканирования этого роутера нашел пять открытых портов: 23, 53, 80, 443 и 1900. Порт 23 — это telnet, попробовал к нему подключиться с admin:admin, и это сработало. Через telnet и кнопку Tab вывел весь доступный список команд.
Не теряя времени, воспользовался ls, позволяющей увидеть все файлы в данной директории. На глаза попался running-config, где я также нашел зашифрованные логин и пароль admin:admin, ключи от Wi-Fi с сидом и системные настройки.
К этому моменту наконец откликнулась служба поддержки. Мне прислали инструкцию по предоставлению удаленного доступа к роутеру.
Тут-то я и обратил внимание на маленькую деталь: опция с разрешением доступа из интернета была включена по умолчанию. Получается, у продавца этих устройств есть круглосуточный доступ к ним, по крайней мере, если вы не догадаетесь снять эту галочку.
В принципе, ничего необычного. Так делают многие операторы связи, однако это создает риски. Даже у компаний федерального уровня случаются неприятные инциденты с несанкционированным доступом к абонентским устройствам. А здесь имеем дело с ноунеймами с маркетплейса, чья репутация — это отзывы типа: «товар пришел быстро, рекомендую».
Новое подключение — старые грабли
Когда служба поддержки провела удаленную настройку, я вернулся в Other Connections и увидел свежеустановленный клиент WireGuard и соответствующий файл конфигурации. Как и в первом случае, сразу же просканировал эту частную сеть и нашел там еще 33 хоста — эдакий дружный коллектив счастливых обладателей дырявых роутеров.
В открытых портах увидел те же 23, 80 и 443. Дежавю: используя порт 80, можно подключиться к одному из IP подсети, ввести системный логин и пароль с бумажки и получить удаленный доступ к устройству другого покупателя.
А еще можно попытаться исследовать центральный прокси-сервер. Просканировав его с помощью nmap, я обнаружил порты 22 и 443. Попробовал подключиться к 443 (HTTPS), но возникли проблемы с сертификатом: порт оказался открыт, но сервис фактически не работал.
Однако порт 22 (SSH) был доступен. При попытке подключения SSH к root-пользователю выяснилось, что SSH не настроен на аутентификацию по ключу, а использует парольную аутентификацию. Это означает, что любой желающий может устроить брутфорс и попытаться подобрать пароль методом перебора по словарю.
По итогу ситуация с Keenetic в целом напоминает Cudy: несегментированная сеть, низкая защита от взлома, плюс круглосуточный доступ к устройству со стороны продавца и слабо защищенный центральный сервер.
К этому моменту я уже особо не надеялся, что третий роутер окажется безопаснее. Но надежда умирает последней, а любопытство — никогда.
Xiaomi AX3000T — финальный босс
Третий роутер — самый дорогой из тестируемых — может похвастать цветной инструкцией в комплекте и превосходит предшественников по характеристикам.
Пароль по умолчанию здесь немного сложнее предыдущих, но процедура подключения практически такая же.
Роутер запустился с первой попытки, и я сразу зашел в админку. У Xiaomi AX3000T собственная проприетарная прошивка, но меня встретил интерфейс OpenWrt. Продавец мог использовать RCE-уязвимость для взлома роутера и установки альтернативного ПО. Ничего преступного, но никто не гарантирует подлинность образа — в этот образ OpenWrt могли встроить бэкдоры.
Пробежавшись по настройкам и логам, я нашел активный SSH-доступ. Получается, продавец имеет доступ к устройству по умолчанию, причем без ведома покупателя.
OpenWrt, кстати, позволяет выполнять команды прямо на роутере. Я создал пользовательскую команду ls и запустил — работает. Аналогично можно реализовать любые другие команды: сканировать сеть, настроить туннель во внутреннюю инфраструктуру и так далее. Добавьте к этому SSH-доступ — получается отличная точка входа для злоумышленника.
Для перенаправления трафика на роутере установлен сервер V2rayA. Узнав IP-адрес конечного сервера, я вышел уже на более крупного хостера с юридическим адресом в Дубае. Солидно! Это уже не подвал в Подмосковье. Весь диапазон полученных IP-адресов относился к Амстердаму.
В настройках сервера используется протокол VLESS. Это не VPN в классическом понимании, а L4-прокси, работающий поверх TCP или UDP и часто инкапсулируемый в транспорт вроде WebSocket или gRPC с TLS. В отличие от VPN, VLESS не создает маршрутизируемую подсеть между клиентами. Поэтому команда traceroute 8.8.8.8 не работает, и я не смог достучаться до покупателей аналогичных роутеров, как в предыдущих случаях.
При дальнейшем сканировании сервера обнаружил целую россыпь открытых портов. В большинстве случаев при попытке подключения приходил ответ, что ресурса не существует. А вот 443-й порт показывает Yahoo. Это особенность протокола VLESS, которая делает соединение устойчивым к внешним вмешательствам.
Обращения к 22-му порту блокируются. Прокси-сервер требует ключ доступа, так что здесь точно не получится подобрать пароль брутфорсом, как в случае с Keenetic. Настройка выполнена более грамотно — видимо, эти ребята хотя бы читали Хабр.
Вскрытие роутера подтвердило наличие административных прав по умолчанию. Для неопытного пользователя это заметная угроза безопасности. Еще хуже то, что пароль хранится в файлах в незашифрованном виде.
Таким образом, на первый взгляд с роутером Xiaomi дела обстоят лучше, чем с предыдущими — во многом из-за выбора более сложно защищенного протокола передачи данных. Но использование такого устройства без полной перепрошивки и настройки остается высоким риском.
Во-первых, активный SSH дает продавцу постоянный доступ к устройству и локальной сети. Во-вторых, проксирование через чужой сервер тоже не внушает доверия — кто знает, что логируется и куда отправляется. В-третьих, это роутер, перепрошитый неизвестными людьми — вредоносный код могли спрятать глубже, чем можно проверить при базовом анализе. В итоге за свои деньги получаешь еще один источник беспокойства за собственную кибербезопасность.
Выводы: удобство стоит слишком дорого
Проверив три роутера с предустановленным VPN, можно сделать вывод: за красивыми обещаниями скрываются серьезные проблемы безопасности. Ни одно из устройств нельзя рекомендовать для использования в том виде, в котором оно продается.
Что именно не так
Cudy WR300 оказался уязвимым. Несегментированная сеть WireGuard позволяет получить доступ к десяткам других роутеров через пароли admin:admin.
Keenetic KN-1121 показал аналогичные проблемы плюс постоянный доступ продавца к устройству через интернет.
Xiaomi AX3000T выглядит солиднее, но активный SSH, незашифрованные пароли и кастомная прошивка неизвестного происхождения делают его не менее рискованным.
Во всех перечисленных случаях конечный пользователь не имеет ни доступа к настройкам сервера, ни возможности сменить его конфигурацию, ни уверенности, что трафик не зеркалируется.
Почему это происходит
Чтобы бизнес стал рентабельным, продавцы экономят на инфраструктуре и безопасности. Вместо изолированных VPN-подключений используют общие сети, где все клиенты видят друг друга. Серверы арендуют у дешевых хостеров, а устройства настраивают для удаленного управления, чтобы упростить техподдержку. К сожалению, уязвимость подобных устройств заложена в модель их продаж.
Что делать
Если вы уже купили такой роутер, то у меня для вас плохие и хорошие новости. Плохая — ваша безопасность под угрозой. Хорошая — это поправимо. Немедленно смените все пароли по умолчанию, отключите SSH и удаленный доступ, изолируйте устройство от основной домашней сети. Но лучший совет — откажитесь от использования таких роутеров.
В ИБ не бывает бесплатного сыра. Если вам обещают пожизненный VPN за доплату в 1500 рублей, задайтесь вопросом — на чем экономит продавец, и что он получает взамен. Безопасность стоит времени, потраченного на правильную настройку вашего сетевого оборудования, особенно когда речь идет о защите всей домашней сети.
PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
P.S.
Материал предназначен для специалистов по информационной безопасности. Настоящая статья носит исключительно исследовательский и образовательный характер и не призывает к использованию конкретных сервисов и технологий.
Совершение действий, направленных на нарушение российского законодательства в области связи и информации, может привести к административной и уголовной ответственности.
Комментарии (151)
r33
23.06.2025 09:18Проверил какие-то ноунеймы. Проверь известный routerich
TheMrWhite
23.06.2025 09:18routerich это просто openwrt роутер, там всё самому приходится настраивать, из коробки там никаких впнов нет, только установлен пакет для ютуба
HydrAttack Автор
23.06.2025 09:18Приветствую @r33
Тут больше был посыл на простых людей, которые просто хотят купить преднастроенную железяку, воткнуть ее и сразу чтобы она работала, которые мало или ничего не понимают в прошивках, ИБ, именитых компаниях и т.д., где главная цель - финансовые вложения.
И вот когда ты заходишь на маркетплейс и тебе с первой страницы предлагают решение за 5 и за 15-20 тысяч, то тут выбор очевиден.
MigAru
23.06.2025 09:18Кстати, задавался вопросом по поводу смены dns на xbox(частая проблема), насколько это действие безопасно. Достаточно погуглить "0x80a40401 xbox" и статейки с ноунейм dns серверами как на ладони. Мне кажется это была бы полезная статья(сам я попытался поресерчить, но видимо компетенций не хватает и в итоге чего-то страшного не нашел)
HydrAttack Автор
23.06.2025 09:18Если вопрос для стриминга, то на XBox есть же встроенный сервис стримлабс, через который это можно делать. Я встречал только замену ДНС на плойках, так как там такой удобный функционал пока/вообще не завезли.
Вообще смена ДНС - плохая идея. Условно, если нужно зайти на сайт ЛЕГИТИМНЫЙ.РУ и мы идем на него через левый ДНС, который адресует на нелегитимный сервер и по виду и функционалу (через АПИ, например) полностью зеркалирует нужный ресурс. Ну а дальше пароли, перс данные, бакнковская карта и т.д.
Devastator82
23.06.2025 09:18Нет, товарищ говорит о другом. Он даже ошибку привел. Если Вы ее загуглите - поймете о чем речь
Anselm_nn
23.06.2025 09:18как обычно админы локахоста и диванные эксперты советуют на роутере прописать dns для xbox или еще чего, не разбираясь в вопросе
суть проблемы может быть в том, что тот dns возвращает другие ip для некоторых доменов. можно просто поснифать куда стучится бокс и добавить такие записи на роутер (если он совсем простой)
можно бокс пихнуть в отдельный сегмент и там отдавать ему отдельно днс, остальные устройства не затрагивать
shinkarevy
23.06.2025 09:18Привет, у вас красивая картинка с кинетикой и проводами, какую операцию вы проводили и что хотели сделать? И ещё такой вопрос, вы сказали, что у роутера сяоми пароль хранится в незащифрованном виде? Имеется ввиду во внутреннем хранилище файлик с паролем? И чтобы изменило, если бы пароль был не в открытом виде?
HydrAttack Автор
23.06.2025 09:18Да, спасибо! красивые провода - это PCBite Probes, а делал - нашел UART, чтобы напрямую подключиться к устройству для получения оболочки (баша).
Обычно слабонастроеные IoT'ы после подгрузки системы переносят все временные файлы в /tmp папку, в том числе и файлы с SSID и паролями в открытом доступе, что делают их легкой добычей для злоумышленника (в случае нападения) и исследоватей (в случае проведения Red Team проектов). То есть, даже если у Вас пароль на Wi-Fi 30+ символов и простая deauth атакой с последующим брутом перехваченного рукопожатия не сработает, пароль можно легко сдампить за 3-5 минут путем разбора роутера. Но это уже совсем другая история)
SuperTEHb
23.06.2025 09:18Если к вашему роутеру у кого-то есть физический доступ, то это больше не ваш роутер.
HydrAttack Автор
23.06.2025 09:18В большинстве случае да. Но производители в настоящее время задумываются над физической безопасностью и пытаются минимизировать последствия взлома. Вот например в недавнем статье мы об этом уже говорили - https://securitymedia.org/info/bezopasnost-interneta-veshchey-v-2025-godu-ugrozy-oshibki-i-zashchita.html
acc0unt
23.06.2025 09:18Физическая безопасность устройства, которое стоит у пользователя в квартире - это вообще последнее, о чём стоит думать.
Если злоумышленник имеет такие физические доступы, то тут остаётся только картинку из Ералаша вспомнить. Которая "ВСЁ!"
HydrAttack Автор
23.06.2025 09:18парирую:
1. пользователь продает/выкидывает роутер, не сбросив в дефолт. А на новом роутере настраивает тот же ССИД и пароль
2. говоря про малый бизнес, который тоже в своих целях может приобрести данные девайсы.acc0unt
23.06.2025 09:18То есть злоумышленник находит на помойке роутер. Через физический доступ извлекает из него старые пароли. А потом ходит и ищет, нет ли нигде рядом с этой помойкой точки доступа с совпадающим SSID и паролем?
Безопасники, мать их. Это как история про хакера и солонку, только наоборот. Безопасник видит солонку на столе, и говорит "это фундаментально небезопасно потому что любой хакер может в солонку насыпать цианид".
HydrAttack Автор
23.06.2025 09:18Да, старый анекдот)
про помойку как бы это смешно не звучало, но возможно. Как человек, имеющий опыт в корпоративной разведке - это одно из действенных средств. Бумага из шредера, жесткие диски вальяжно очищенные и прочее.acc0unt
23.06.2025 09:18Ну так одно дело - корпоративные жёсткие диски, которые с ненулевой вероятностью могут содержать в себе хоть что-то для злоумышленника ценное. А другое - провайдерский роутер из квартиры 19 со стандартными настройками, который заменили на такой же роутер, но от другого провайдера.
Wok_u3_cBuHuHbl
23.06.2025 09:18А потом ходит и ищет, нет ли нигде рядом с этой помойкой точки доступа с совпадающим SSID и паролем?
А зачем ходить? Вроде же в Интернете были такие сервисы, где можно на карте посмотреть, где светился тот или иной SSID
verssetty
23.06.2025 09:18А нет способа воткнуть впн на роутер, чтобы только конкретно туннели были на нем? типо ставил конфиг, ручками прописывал пару сайтов, трафик хоть и шел только по туннелю через впн, но все остальные сайты все равно запускались, как из другого региона? Как я это понял? сбп на многих сайтах пропал, где способ оплаты предлагается на основе региона.
Туннели настроены верно, что не прописано, пинг не получало и перепроверял удаляя один сайт заблоченный.
Может что-то упускаю? Конфиг тестил не свой, пока не решил эту проблему, свой vps даже не рассматриваю. Это критично для меня.
HydrAttack Автор
23.06.2025 09:18Хороший вопрос. К слову последний исследуемый (ах300т) так и был настроен. Там был пул айпишников и днс имен, которые шли именно через проксю, иное - по обычным маршрутам.
Тоже самое умеет делать микротик: сначала настраивам вайргард или опенвпн через ТСП, потом создаем тунель, а потом прописываем пул айпишников, которые запускать в этот тунель.
для проверки соединения можно юзать ifconfig.io - он и Ваш айпишник покажет и страну, откуда вы к нему идетеverssetty
23.06.2025 09:18мне сами команды для конфига нужны, роутер почти любой подходит у меня, провайдер не трогает протокол openvpn.
Сейчас купил keenetic hooper se. Но толку, что даже с туннелями сайты все равно думают, что я с китая, даже если туннель не прописан для этого сайта.
HydrAttack Автор
23.06.2025 09:18ааа, ну это уже можно спросить у ИИ или у Вашего знакомого сетевого инженера (который тоже через ИИ пойдет :) ) тут я Вам уже не помощник. Лично мне чат помог, там на круг вышло 3-4 команды
waytoroot
23.06.2025 09:18Keenetic умеет в маршруты: можно настроить так, что подключения к определенным ресурсам будут идти через соединение 1, а ко всем остальным - через соединение 2. Гуглить "Как добавить маршрут в роутер Keenetic".
Birmaus
23.06.2025 09:18Я как раз недавно так настраивал к некоторым сайтам доступ, но проблема в том, что нужно указывать именно ip-адреса, а не домены (или я не нашёл), вследствие чего невозможно настроить подключение к сайтам за CDN, потому что они не имеют постоянных адресов
phantomfighterxx
23.06.2025 09:18можно и через домены делать, через ipset-dns, но надо будет entware подключать
Belkogoth
23.06.2025 09:18Микрот получше могет, там правила через Mangle можно задавать по почти любым критериям)
Куда веселее проблема, что в винде, к примеру, нельзя направить траффик какого-нибудь приложения по маршруту, отличному от умолчального. Микротик тут и выручил как раз. Стояла задача затолкать траффик отдельно установленного браузера в туннель, чтобы не париться с тем, что сайт может использовать сторонний траффик для работы (ну типа всякие оплаты, вставки и т.п.), было всё это лень отлавливать. Дык поставил отдельный firefox, и в групповых политиках в разделе QoS указал правило для процессов с именем firefox.exe назначать DSCP метку на траффик. Далее в микротике в мангле создал правило, которое весь forward траффик из локалки наружу с этой меткой заталкивает в другую таблицу маршрутизации, где маршрут по умолчанию - адрес туннеля до забугорного VPS с RouterOS. Вполне удобная фича получается, браузер теперь безусловно работает через VPN.
DarkMike
23.06.2025 09:18Технически такое можно реализовать через связку dnsmasq и ipset/iptables
dnsmasq умеет добавлять в ipset ip сайтов, которые у него запрашивали. Причем выборочно, по указанию в конфиге. Еу а дальше куда уйдет этот трафик решает iptables
mezotaken
23.06.2025 09:18Я решал эту проблему через https://github.com/qzeleza/kvas
Статичные маршруты на роутерах в современном вебе тяжело фиксировать, CDN и динамический пул адресов этому очень мешают. Эта софтина решает это через проксирование DNS и перехват запросов, что позволяет строить правила маршрутизации динамически на основании списка доменов (с поддержкой регулярок)/IP/CIDR. Правда с блокировкой Cloudflare всё это стало намного более бессмысленным, отвалилась существенная часть интернета. И как будто пора делать наоборот.
jaelynn23
23.06.2025 09:18Я решал эту проблему через https://github.com/qzeleza/kvas
«Прочитал, что среди российских школьников стало модным слово «КВАС». Обозначает ЛГБТ. Никакой цензуре шифровки хитрой молодёжи не победить. Да и пропаганду кваса и квасной патриотизм не запретишь». )
vikarti
23.06.2025 09:18Внезапно - например любой из способов настройки Xray в режимах "все КРОМЕ заблокированных с какой то стороны - директом"/"все кроме кроме России - в туннель". Для Keenetic'а того же - читаем например https://habr.com/ru/articles/760052/ (но только возможно лучше брать форк с https://github.com/jameszeroX/XKeen )
Или любой VPN + настройка системы так чтобы принимались списки адресов умеет принимать + какой то источник этих списков вроде antifilter.
Vilgelm
23.06.2025 09:18Есть способ сделать такое на OpenWRT через пакет vpn-policy-routing. Если нужен GUI, то еще luci-app-vpn-policy-routing.
SONce
23.06.2025 09:18Конечно есть, у меня так настроено. Все забаненные сайты идут через впн + мой список доменов которые тоже идут через впн. Все остальные идут через обычную сеть. В интернете куча инструкций, гуглить по openwrt + ruantiblock
Samogonshik
23.06.2025 09:18для OpenWRT есть vraya, если хотите с интерфейсом, или вручную конфиги можно править для xtls
microArt
23.06.2025 09:18С одной стороны Вы все правильно пишете.
Спасибо Вам за статью и за разбор.А с другой стороны, посмотрите на это так: вот, ютуб перестал работать. Массово (у многих). И тут попадается реклама устройства, которое этот ютуб возвращает.
Не обязательно на маркетплейсах можно купить подобное, а поиском через интернет.
И отчаявшийся человек купит - а что ему еще остается делать?HydrAttack Автор
23.06.2025 09:18Я бы выделил тут как минимум 2 критерия:
1. Чему следовать: норма права или норме морали?
2. Какая ваша толерантность к безопасности: низкая (все должно секюрно) или высокая (ломай меня, если сможешь)
И уже исходя из ответов принимать то или иное решение.
В самом начале статьи я указываю, что если уж решили воспользоваться - пользуйтесь в закрытом контуре. Иначе сильно рискуете.
Самое минимальное, что нужно сделать человеку, купившему аналогичное преднастроенное оборудование:
1. сменить дефолный пароль
2. отключить удаленный доступ к роутеру
punhin
23.06.2025 09:18По поводу безопасности появилась пара вопросов:
Насколько велика опасность НЕ-отключения удалённого доступа к роутеру, если всё равно сидишь за провайдерским NATом на динамическом IP?
Насколько снизится эта опасность, если подключить это устройство не к линии от провайдера, а к другому роутеру, подключённому к линии провайдера?
Насколько высокая квалификация должна быть у злоумышленников, чтобы эксплуатировать те или иные бреши, имеющиеся в таких роутерах?
Подключившись к провайдеру, я попадаю в некоторый локальный сегмент, который "за NATом", однако насколько он велик? Насколько сложно совершить "побег из курятника" к соседям? И, кстати, почему на рынке до сих пор не появилось приложений, позволяющих создавать такие вот местные мини-сети и общаться с соседями без интернета, в своей отдельно взятой ячейке?
Есть ли в рассмотренных роутерах механизмы, позволяющие подключаться к ним фирме-производителю без ведома владельцев устройств? Если да, то как это работает? А можно ли самому поэксплуатировать такую возможность? Если честно, мне интересна возможность приобрести устройство, позволяющее мне самому удалённо подключиться извне к моей же домашней сети без покупки выделенного IP и настройки всяких протоколов, которые вскоре будут зарезаны провайдерами и о которых под страхом ошибки Фаренгейта запрещено говорить в интернете даже в образователных целях.
id_potassium_chloride
23.06.2025 09:18Все роутеры подключены к ВПН и вообще имеют модификации сторонним человеком, поэтому удалённый доступ к ним есть и автор статьи на это явно доказал. NAT провайдера и динамичность IP тут роли не играет. Чтобы воспользоваться уязвимостью в первых двух случаях достаточно купить роутер у того же продавца и выполнить сканирование сети VPN, после чего вломиться на чужой роутер с парой admin:admin (но автор этого не делал, это незаконно)
По 4 пункту: такие сети раньше были, но с развитием Интернета такую возможность прикрывают в целях безопасности. Любой уважающий себя провайдер включает изоляцию клиентов, чтобы нельзя было сделать с соседом нехороших вещей (см. https://habr.com/ru/articles/510292/)
id_potassium_chloride
23.06.2025 09:18По 5 пункту: насколько мне известно, некоторые производители (Keenetic, Xiaomi, Huawei?) предоставляют приложения, позволяющие частично получить доступ к настройкам роутера отовсюду, используя облако производителя, но это не доступ к локальной сети. Именно к локальной сети доступ надо через VPN настраивать хоть в каком-то виде. Также возможно вас устроят некоторые решения удалённого рабочего стола типа Anydesk, которые не дают доступа к локальной сети, но позволяют удалённо управлять ПК и обмениваться файлами
winorun
23.06.2025 09:18Знаете мне от ваших вопросов стало неуютно. Если преподаватель задает такие вопросы, что он может рассказать студентам? Ваши вопросы говорят о полном незнании даже основ сетей, но что бы адекватно и полно на них ответить надо эти самые основы рассказать. Даже при этом остается риск искажонного восприятия информации. Рекомендую подтянуть необходимые знания.
Если же отвечать кратко:
1 - без разнице(О чем написано в статье)
2 - без разнице(О чем написано в статье)
3 - как измерить квалификацию?
4 - Перечитайте статью
5 - Учите сети
Aelliari
23.06.2025 09:18Если преподаватель задает такие вопросы, что он может рассказать студентам?
У преподавателя может быть иная квалификация, тут нет проблемы, нет никого кто был бы компетентен во всём
winorun
23.06.2025 09:18Как нельзя быть компетентным во всем, так и нельзя быть компетентным в чем то одном. Потому что одно цепляет другое. Как можно рассуждать о БД и не знать не чего о сетях, хотя бы на уровне методички?
Что может ответить такой преподаватель на вопрос студента: А можно разместить БД в соседнем городе?
jaelynn23
23.06.2025 09:1880% переключились на ютуб и не страдают: смотрят тоже самое и без рекламы (не видел на телеке у тех кого видел телики)
cofein51
23.06.2025 09:18Вот это вам спасибо.
А то на телеке проблема с ютуьом... А роутер от Хуавей, вроде как не может только на телеке использовать квн, а весь трафик мне не надо ..
zlat_zlat
23.06.2025 09:18Не очень понятно, вы имели в виду рутуб? Во-первых, до уровня "то же самое" им пока далеко, им даже историю просмотра не удаётся корректно сохранять. А во-вторых - рекламы там стало, как в телевизоре и отключение есть платное, уже 99 р/мес.
bazanovv
23.06.2025 09:18Спасибо за исследование. Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И задача пользователя - сменить пароль при первой установке. Только в том, что поставщик VPN не озаботился изоляцией трафика в своей подсети, и этим логином, если его не сменили, можно воспользоваться удалённо с одного из таких же? Возможно, тупо не подумали о такой угрозе, прочитают вашу статью и поправят. Вы ведь рассказали их (вполне работающей, как оказалось) техподдержке о результатах своих поисков и найденных уязвимостях перед публикацией?
Что касается запрета на сброс в заводские установки - причина, мне кажется, очевидна, пропадут настройки VPN, а это лишняя работа поддержки. Существование бэкдоров, очищаемых именно таким образом, пока оно не доказано явно, остаётся на мой взгляд скорее абстрактной теоретической возможностью.
Некрупный размер фирм, занимающихся этим бизнесом , так же, как мне кажется, имеет более прозаические причины - за крупными очень быстро придёт Роскомнадзор, притянет услуги связи без лицензии или ещё что-то подобное, и кто и зачем будет таким рисковать? Понятно, что "вечный VPN" без абонентской платы - миф, и это всё перестанет работать через какое-то время само по себе, когда у продавца закончатся деньги на хостинг, или даже быстрее при обострении у РКН. Но это всё угрозы иного рода, достаточно понятные и без ИБ.
event1
23.06.2025 09:18Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И задача пользователя - сменить пароль при первой установке.
Устройство должно принудительно заставлять пользователя менять пароль на нормальный при первом логине. Иначе 8 из 10 останутся с паролем по умолчанию и со временем попадут во вредоносный ботнет.
bazanovv
23.06.2025 09:18Всё так, но вопрос о принудительной смене дефолтного пароля следует задавать производителю устройства, а не тому, кто просто добавляет в существующее устройство со штатной прошивкой (ну, или openwrt, но тоже без модификаций) коннект к своему VPN и продаёт устройство комплектом. Достаточно очевидно, что диалог первоначальной смены пароля, если он есть, вынужден пропустить настраивающий VPN без вариантов. А вот написать прошивку так, чтобы устройство требовало смены пароля, если он дефолтный (хэш как у дефолтного), всегда - может только его производитель. Если бы в такую модификацию могли продавцы VPN - я бы, пожалуй, действительно озаботился поиском бэкдоров, уровень сложности соответствует.
event1
23.06.2025 09:18Всё так, но вопрос о принудительной смене дефолтного пароля следует задавать производителю устройства, а не тому, кто просто добавляет в существующее устройство со штатной прошивкой
Нормативные документы ставят вопрос перед тем, кто продаёт устройство людям. Из чего продавец сделал своё устройство, не волнует ни органы, ни потребителей, никого другого.
bazanovv
23.06.2025 09:18Но ведь в обсуждаемой статье нет ничего ни про нормативные документы и соответствие им, ни, не к ночи будь помянуты, про органы.
Скажу больше - если бы не органы в общем смысле, ни такие роутеры с , VPN, ни установка приложений из недоверенных источников, ни установка сертификатов государственного УЦ, ни отключение ECH, ни другие сомнительные с точки зрения ИБ меры вообще не требовались бы.
Как обходной вариант, можно попробовать продавать технику как б/у, например.
vikarti
23.06.2025 09:18Как некий пример зачем такое может более менее легитимно потребоваться :)
Один из моих роутеров куплен на авито. Причем продавец честно написал что б/у (выглядит вполне новым) и что может продать такой же новый но пленку он вскроет (для снятия блокировок с модема - модем который в этом роутере штатно - не работает с симками ру-операторов, мне собственно и нужен был мобильный роутер с openwrt). У меня правда этот роутер почти сразу пошел под перезаливку прошивки на официальную openwrt (сток там чуть модифицированный и устаревший openwrt).
Причем для меня в этом мобильном роутере важно не только возможность VLESS использовать а и нормальный адблокер и прочее.
event1
23.06.2025 09:18Но ведь в обсуждаемой статье нет ничего ни про нормативные документы и соответствие им, ни, не к ночи будь помянуты, про органы
И что? Есть это в статье или нет, но вопросы всегда к тому, кто продал устройство. Повторюсь, потребитель не обязан выяснять из чего сделано устройство, которое он купил.
vikarti
23.06.2025 09:18А кто его продал :)? В чеке ж озон/wb будут, как и в истории операций по карте (допустим это картой оплачивали).
Но почему то мне кажется что озон с wb начнут говорить мопед не их.
goone777
23.06.2025 09:18Как можно попасть в ботнет, если внешнее подключение к роутеру по умолчанию отключено, а доступ к настройкам роутера есть только из локальной сети?
Разве того, кто смог пролезть в локальную сеть, остановит пароль на роутере?bazanovv
23.06.2025 09:18Насколько понял из статьи, сначала надо купить такой же роутер с предустановленным VPN, потом просканировать транзитную сеть VPN, найти там роутеры, владельцы которых не сменили дефолтный пароль, зайти на них, скачать/ установить бэкдор для управления, использовать роутер в ботнете. Основное препятствие тут в покупке роутера или, как вариант, поиске утечки ключей к VPN от такого роутера, и автоматизируется это достаточно плохо, если не сказать никак. Что на сегодняшний момент на мой взгляд делает угрозу скорее вопросом поиска заинтересованного хакера, прочитавшего статью, чем массовой проблемой.
event1
23.06.2025 09:18В средней локальной сети есть изрядно устройств с неизвестным уровнем безопасности: телевизор, робот-пылесос, умная (прости господи) лампочка. Лет 10 назад действовал такой ботнет, как Мираи. Он из таких устройств и состоял. Обычный домашний маршрутизатор не предполагает независимых сетей для отдельных устройств. Так что надеяться на недоступность локальной сети, я бы не стал.
vikarti
23.06.2025 09:18Внезапно :) как минимум указанный в статье Keenetic умеет в такое (и устроить таким клиентам изоляцию - тоже). И сделано относительно юзер-френдли образом. Другое дело что автоматически не включается.
Из совсем домашнего железа мне вот автоматическая IoT-сеть с изоляцией встречалось разве что у меш-системы TP-Link Deco (но deco - это блин первый увиденный мной домашний продукт такого типа кто пытается продать и подписку тоже а не только железо)
muxa_ru
23.06.2025 09:18Ваш собеседник написал про устройства у которых есть несменённый дефолтный пароль. То есть, не важно что там по умолчанию отключено - можно подключиться и включить.
Darkholme
23.06.2025 09:18Беда статьи и автора в том, что, с одной стороны, он делает для вида и большей убедительности дамп памяти, извлекает оттуда пароль и делает вывод, что нечестный производитель мог встроить в прошивку бекдор. А с другой, роутер нельзя сбрасывать, ведь з бекдорами что-то может случиться, и пароль слабенький, и вообще всё небезопасно. В конечном итоге, статья выглядит не то плохой вычиткой статьи, не то проплаченным запугиванием (все помнят недавние видео от блогеров об угрозе VPN?).
Ведь в конечном итоге получатеся, что продавец добавил ровно одну уязвимость - несегментированную сеть с доступом для других, всё остальное было до него.Кстати, косвенно на ангажированность (либо незнание) автора намекает скриншот с нешифрованными паролями в /run (т.е. оперативной памяти) и вообще игнорирование факта, что пароли WiFi хранятся в нешифрованном виде практически везде. Туда же активный SSH на Xiaomi, доступ к которому только из локальной сети.
vikarti
23.06.2025 09:18Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры? И
В том что у кинетика это НЕ штатная настройка? При штатной настройке вас там попросят задать пароль.
bazanovv
23.06.2025 09:18Ответил чуть выше. К сожалению, запуск мастера штатной начальной настройки / сброса явно не совместим с преднастройкой VPN на роутере. Можно делать индивидуальные случайные пароли каждому, печатать их и выдавать с роутером, но это явно увеличит количество запросов в техподдержку, в том числе вида "не смог войти - сбросил роутер - ничего не работает", кто у нас читает инструкции. При этом весь этот бизнес с VPN роутера и и так не выглядит супер рентабельным, люди не будут готовы платить дороже.
StjarnornasFred
23.06.2025 09:18Понятно, что "вечный VPN" без абонентской платы - миф, и это всё перестанет работать через какое-то время само по себе
Ну почему же. Есть же пожизненные тарифы с разовой оплатой
bazanovv
23.06.2025 09:18О, где такое, напишите примеры - интересно? Или там сумма заградительная? И насколько оно устойчиво к блокировкам Роскомнадзора?
AiR_WiZArD
23.06.2025 09:18Только в том, что поставщик VPN не озаботился изоляцией трафика в своей подсети, и этим логином, если его не сменили, можно воспользоваться удалённо с одного из таких же? Возможно, тупо не подумали о такой угрозе, прочитают вашу статью и поправят.
В смысле не озаботился? То есть настройщик настолько некомпетентен, что не понимает принципиальное отличие прокси от VPN? Для обхода блокировок - прокси, VPN же в первую очередь и нужен, что бы объединить устройства в одну сеть, это даже в названии заложено. К тому же используются OpenVPN и Wireguard, которые конечно всплывают при попытке гуглить selfhosted vpn, но это худший способ обходить РКН, vmess/vless специально создан для маскировки, а с 3x-ui задача поднятия сервера становится крайне простой.
Итого - вместо нормального соединения 2 из 3х продавцов просто сделали по первой инструкции из интернета, один даже умудрился базу данных просрать. Я понимаю такой уровень для личного пользования, сам ронял, но что бы это продавать...
bazanovv
23.06.2025 09:18Всё так. Но это рынок - есть спрос, есть и предложение. Кто первый вышел с не идеальным, но работающим решением, тот и получил прибыль, пока остальные думали, стоит ли игра свеч и как сделать идеально. Если бы этот рынок был в-долгую, криворукие фирмы бы скорее всего отсеялись со временем - из-за таких статей, как обсуждаемая и репутационных потерь, из-за взломов и утечек, из-за массового воровства ключей к VPN (купил один роутер - настроил его ключом 10, 100, потом вообще выложил в интернет). Но, мне кажется, при хоть какой-то массовости и длительности работы эту лавочку государство прикроет, а значит нет смысла вкладываться в-долгую и нормальных решений мы, увы, не увидим.
vesper-bot
23.06.2025 09:18Может я не понимаю, но в чём специфичная уязвимость стандартного пароля admin:admin для роутеров со встроенной услугой подключения к VPN, если многие производители ставили и ставят такой пароль на свои роутеры?
Если бы они при этом не открывали управление из сегмента vpn. Плюс открытая точка заражения при проникновении на хост в сегменте lan, о которой к тому же обычный пользователь и не задумывается.
nevergotoro
23.06.2025 09:18Если используете прокси vless / v2ray, через туннель-режим то всегда все порты будут "открыты", сам замечал такую особенность. Чем это обусловлено - не знаю
ValdikSS
23.06.2025 09:18Тем, что это прокси — ему нужно принять сокет, прежде чем он сможет определить источник. Также для анализа протокола, чтобы достать из него домен.
kelevra
23.06.2025 09:18Статья понравилась, хоть результат и был ожидаем. У меня оффтопик вопрос. Посоветуйте, пожалуйста, инструмент, которым получится подключиться к пинам на плате диаметрами 1-1.5мм. Типа тех, которые обычно располагают на платах с ESP8266, LN882H, BK7231T и другими похожими. Хотелось бы через UART их прошить в опенсорс типа OpenBeken или Tasmota, но физические возможности не позволяют припаяться к таким размерам. Вижу упоминание о PCBite probes, но у них много моделей и все довольно дорогие, что покупать сразу много разных для тестов. Какие из них стоит попробовать?
HydrAttack Автор
23.06.2025 09:18Спасибо за обратную связь и положительный отзыв.
ПСбайты брал самые обычные в комплекте - https://sensepeek.com/pcbite-20
Также могу посоветовать "иголки" для мультиметра, которые тоже достаточно тонкие - Алик, только необходимо озаботиться о "третьей руке".
Bluewolf
23.06.2025 09:18Добавлю, что оригинальные PCBite, конечно, дорогие, но они на 100% стоят своих денег, они сделаны практически идеально, мягкие провода в силиконе, идеальный баланс и жесткость, очень стабильные держатели для плат...
d_nine
23.06.2025 09:18А не подскажете вариант когда нужна именно "третья рука (когда плата уже находится в корпусе и нет возможности ее установить на отдельную площадку)?
Pavel7
23.06.2025 09:18инструмент, которым получится подключиться к пинам на плате диаметрами 1-1.5мм
Вот такие неплохо цепляются и держатся сами. Много разных shelly розеток перепрошил ими.
d_nine
23.06.2025 09:18Мне очень нравятся вот такие:
Полная копия с Agilent/Keysight с зауженным кончиком удобно цеплять - не норовят соскочить когда к соседним ножкам нужно подцепиться.
MkIV007
23.06.2025 09:18Помню, я году в 14м в Саудовской Аравии покупал ноут. Продавец в магазине спросил - вы какой ВПН брать будете? - показав пачку карточек по типу интернетных из 90х. Вариант "не буду" он даже не рассматривал. Там уже тогда нахреначили биг файрвол, Скайп и торренты не работали нихрена.
HydrAttack Автор
23.06.2025 09:18Там до сих пор такие ограничения. Тексты работают с видеосообщениями, а голосовые звонки - нет (кроме тимса и гугл-мита). Поэтому да, там это было необходимостью.
К слову сказать, там есть свои 2 мессенджера: ботим и второй (не помню название), где функционал звонков работает.MkIV007
23.06.2025 09:18Дык, вход рубль, выход два. Судя по всему - рано или поздно все там будем, свободный интернет иссякнет и исчезнет как класс.
jaelynn23
23.06.2025 09:18входящие работают а исходящие на публичных вайфай рубятся но в альхарам-ареа нет ограничения тк люди по делу коммуницируют - они вынуждены защищаться тк на разбыдление их женщин в сша работают институты
hw_store
23.06.2025 09:18помню, в районе 2005 года наткнулся где-то в интернете на заглушку "This site is prohibited by the laws of Qatar", срхранил скриншот, но он где-то в глубинах архивов болтается - видимо, ходил куда-то через катарский прокси ))
muxa_ru
23.06.2025 09:18https://habr.com/ru/articles/590141/ - по-айпи банили сразу как появился этот самый айпи, просто массовые пользователи этого долго не замечали :)
MkIV007
23.06.2025 09:18Катар, Саудия, Эмираты, Бахрейн, Кувейт, Оман. Страны GCC - Gulf Cooperation Council - аналог ЕС на минималках. Они примерно по одному и тому же шариату интернет режут.
vikarti
23.06.2025 09:18Тут-то я и обратил внимание на маленькую деталь: опция с разрешением доступа из интернета была включена по умолчанию. Получается, у продавца этих устройств есть круглосуточный доступ к ним, по крайней мере, если вы не догадаетесь снять эту галочку.
Эта галочка - немного про другое, она (по сути) про проброс портов напрямую + через облаку Keenetic/Netcraze если напрямую не вышло. Штатная и документированная фича KeenDNS. Да, нужно ли это использовать пользователь в норме сам решает.
Удаленный доступ для техподдержки у Keenetic'ов можно выдать - https://help.keenetic.com/hc/ru/articles/115005732589-Как-предоставить-удаленный-доступ-к-интернет-центру-Keenetic-для-службы-техподдержки (а если использовать штуки типа RMM пользователь сам его выдаст для работы) но..его нужно выдавать в явном виде а admin/admin тут - это явная диверсия.
Кстати судя по скрину - наценка на этот Keenetic всего то чуть больше 100%. Ну и да - и Xray (через Xkeen) на Keenetic ставится без проблем но конечно надо хотя бы уметь вводить в терминале команды написанные в инструкции (понимать - не обязательно но хоть вводить). Но да - нужен сервер хоть какой то и лучше не за 2.5 доллара в месяц.
По мне - намеренной диверсии тут нет, просто кто-то хочет немного заработать на роутерах с VPN и совершенно не думает про безопасность.
HydrAttack Автор
23.06.2025 09:18Да, скорее всего тактика "быстрое снятие сливок".
НО! если сами продавцы не имеют злых намерений, это не означает, что покупатель (зная как этот зоопарк устроен) не будет этим злоупотреблять.vikarti
23.06.2025 09:18По мне (пока нет хоть каких то оснований подозревать злонамеренность (а не глупость(хотя еще - как с у умом то сделать? как сам кинетик печатать индивидуальный(или общий для модели - у меня нет двух одинаковых кинетиков) пароль?) продавца вот этого - уж лучше так пусть проблема решается.
По мне - любому адекватному пользователю кто понимает ЧЕМ плохо пароль admin/admin на смотрящем в интернет устройстве - и так очевидно что проще найти гайд и прочитать и настроить но если человек не понимает - вот как ему быть? Мастера на авито по настройке VPN искать? так дорого ж :). Хотя конечно лучше чтобы продавцы вот этого - закрыли хотя бы такие зияющие дыры. Кстати интересно - а автообновление прошивки на кинетике из статьи включено? (по умолчанию насколько помню оно включено).
Знакомых искать? Я вот например такое кому то настраивать врядли буду чисто потому не хочу потом еще и техподдержкой бесплатной работать.
Другой вопрос - а куда борцы за все хорошее против всего плохого смотрят? Реклама VPN, за деньги, на российском маркетплейсе, с российским ИП...
Partdet
23.06.2025 09:18У них есть некоторый пул паролей, они повторяются, хоть и очень редко. Некоторое время назад настраивал много их одной модели, находил одинаковые)
Barnaby
23.06.2025 09:18надо хотя бы уметь вводить в терминале команды написанные в инструкции
С амнезиней даже ничего вводить не нужно, она сама по ssh подключается :)
Но да - нужен сервер хоть какой то и лучше не за 2.5 доллара в месяц.
Лучше за бакс или меньше, у меня промо за 60 центов больше года работает.
SLUTE
23.06.2025 09:18Как вообще к амнезии относитесь?
Выглядит ведь вполне как немного корявый, но функциональный метод настройки VPS без заморочек для базового юзера. Но открытый код я, конечно, не смотрел.
Есть проблемы с безопасностью там?
muxa_ru
23.06.2025 09:18По мне - намеренной диверсии тут нет, просто кто-то хочет немного заработать на роутерах с VPN и совершенно не думает про безопасность.
И это главная проблема современной айтишечки - нашу безопасность рушат не могучие целеустремлённые злодеи, а не_думающие рукожопы желающие срубить копеечку.
vikarti
23.06.2025 09:18В конкретно данном случае - скорее уж те кто ставят перед выбором - покупать такое вот или искать кто может настроить нормально (и готов хоть как то поддерживать) или учится самим. :(
David_Osipov
23.06.2025 09:18Отличное исследование! Честно говоря, очень позабавили сети из роутеров с открытыми админками :D
Кстати, вроде же WG и OpenVPN давно режутся - получается, что и тут людей налюбили.HydrAttack Автор
23.06.2025 09:18WG и OpenVPN используются в корпоративных средах (малых и средних предприятий), а также на некоторых исследовательских ресурсах (например, в бизоне впнка на OpenVPN для багбаунти, хакзебокс...), где сисадмины используют не дефолтные настроки...
David_Osipov
23.06.2025 09:18Имел ввиду, что эти протоколы ТСПУ режут, если IP нет в белых списках, которые подали какие-нибудь компании. Т.е. простые человек с таким роутером всё равно не сможет использовать такие преднастроенные VPN'ы.
Barnaby
23.06.2025 09:18Странно что они просто не продают openwrt с запретом, можно на квн сэкономить и с ним явно будут проблемы, когда все эти 30 человек пойдут ютуб смотреть.
hssergey
23.06.2025 09:18Потому что софтины типа byedpi надо настраивать под конкретного провайдера, а это уже противоречит парадигме "просто включи и заработает"
Barnaby
23.06.2025 09:18Сложно что ли перебирать стратегии скриптом и загружать новые с гитхаба? OVPN и WG тоже много где блочат. В byebyedpi как раз есть скрипт перебирающий стратегии.
badryuner
23.06.2025 09:18Скрипт byebyedpi больше не работает, благодаря обновлению тспу. Фильтр определяет наличие bb и отправляет первый 1 кбайт страницы, а после обрывает соединение. Скрипт переборщик не учитывает этот нюанс и определяет все комбинации как работающие.
А для WG есть клиент, который фейковые пакеты отсылает.
microArt
23.06.2025 09:18zapret надо индивидуально под провайдера настраивать, а там настройка совсем не из легких. Если бы можно было поставить zapret на устройство, потом передать/продать устройство пользователю, тот подключит его у себя и нажмет кнопку в интерфейсе - и конфиг сам автоматически подберется так, чтобы можно было ютуб смотреть.
Но пока это из области фантастики.
А так zapret замечательнейшая штука, сама его использую на openwrt.vesper-bot
23.06.2025 09:18у меня с дефолтным конфигом работал до 19.06, потом видать тспу стали фрагменты https дропать. есть идеи как дальше жить?
CitizenOfDreams
23.06.2025 09:18Ну вы бы еще купленную на Вайлдберриз флешку исследовали, которая на 1024 гигабайт и за 400 рублей. А вдруг настоящая? Все-таки четыре звезды в отзывах.
microArt
23.06.2025 09:18Но ведь такие роутеры есть и не только на маркетплейсах.
О поддельных флешках и дисках везде предупреждают.
Хорошо, что и роутеры такие разобрали с точки зрения безопасности.
Так что автору большое спасибо за статью.CitizenOfDreams
23.06.2025 09:18О поддельных флешках и дисках везде предупреждают.
И тем не менее у одной только флешки по той ссылке 8000+ покупок. То ли люди предупреждений не читают, то ли надеются на чудо.
NutsUnderline
23.06.2025 09:18есть еще более офигительные предложения, цены бывают и 28К, и всякие суперсекретности обещают
kenomimi
23.06.2025 09:18Если вам дают что-то бесплатное - товар это вы.
Тема с бесплатным впн очень стара. Ставят на разовом паршивом хосте впн-сервис, раздают нахаляву всем страждущим, лох подключается - потом сканят порты и ломают. Фактически, нам не надо сканить большие диапазоны публичных адресов в поисках дедов, нам не надо с трудом ломать и потом прятаться от обнаружения... ЦА обычно глупа, все наши вложения это пачка самых простых впсок, и скрипт для организации публичного доступа. Доступно для любого Васяна, желающего себе карманный ботнет.
Роутеры с впн - это уже дальнейшее развитие идеи. Причем те, кто их продают, про хакерство скорее всего и не слышали - они купили "прибыльный бизнес под ключ за $999 почти без вложений", доступ к админке впн им дали вместе с описанием того, что надо купить сотню роутеров по 1000 на али, настроить, и потом продать его на МП/Юлито за 3000. В итоге хакер и на инфоцыганстве заработал, и на создании ботнета...
vanxant
23.06.2025 09:18Собственно, за то, что в сяоми залили нормальный openwrt (ну как нормальный, кастрированный по самое не балуй, ибо вендор сэкономил три копейки на флеше) - за это уже можно и заплатить. Не для хомяков задачка так-то. Сначала всё найди, откатись на древнюю прошивку с дыркой, потом её взломай, потом залей openwrt и не окирпичь. Так и представляю себе не то что домохозяйку, но пусть даже фронтендера или там питониста, который этим все выходные развлекается. (Да ладно, чо уж там, сам это проходил:)
То, что непонятная версия openwrt - ну оно да, но скачанная с широко известного в узких кругах форума тоже содержит непонятно что. Вряд ли эти ребята добавили что-то от себя кроме своих ключей и паролей, которые в принципе можно и сменить.
В любом случае, по сравнению со стоковой прошивкой сяоми, которая стучит и содержит бэкдоры, кажется, для всех китайских корпораций разом - это небо и земля. Это уже даже похоже на роутер.
project_delta
23.06.2025 09:18На XIaomi похоже стоит прошивка, которую сделали на 4пда умельцы, так как официально AX3000T стал поддерживаться только в версии 24.10 где то с марта этого года. До этого момента или ставили snapshot версию openwrt или пропатченную с форумов. Прошивка от умельцев тащила с собой сразу кучу предустановленных пакетов...
P.S. жил на снепшоте почти полгода, пока не дождался официального релиза. Но ради интереса ставил на второй роутер сборку умельцев и выглядела она точь в точь, как на скринах)
ValdikSS
23.06.2025 09:18Это какие-то эталонные вася-роутеры, если даже provisioning не реализовали и запрещают сбрасывать роутер кнопкой. О каком тестировании на безопасность может идти речь.
Serj8355
23.06.2025 09:18Странно ожидать от этого всего чего либо другое
HydrAttack Автор
23.06.2025 09:18ну я ожидал минимальской защиты, хотя бы сегментацию если честно...
andrewilife
23.06.2025 09:18Если тянет ютуб то для обычной домохозяйки смотреть смарттв почему бы и нет.
Те кто шарит поднимут свой VPS.
И волки целы и овцы сыты
Kitjus
23.06.2025 09:18Превосходный обзор, однако тэйк автора про безопасность для простых владельцев (простых - не имеющих за спиной каких-либо ценных цифровых ресурсов типа крипты и т.п) не имеет какого-либо значения, если пользователь как и раньше хочет пользоваться свободным интернетом, а не тем огрызком, который ему навязывают.
Поясняю: Безопасность - философский вопрос: то ты купишь данный роутер для свободного интернета и к нему будут иметь доступ всякие левые типы через дыры в коде, по аналогии как и будут иметь доступ к вашим данным группа РКН под предводительством "товарища майора" - вы всё-равно будет вне приватности.
Ну и напомню, что ваши данные уже скорее всего давно слиты в открытый доступ, так-как с определённой периодичностью их теряют по тем или иным причинам официальные хранители данных типа маркетплэйсов Яндекс, фастфудов и т.п.
Просто напомню: 8 мая 2022 г. — Теперь слитые базы данных ГИБДД, СДЭК, Wildberries, Avito, «Билайна» и «Яндекса» объединили в одну.
NikaLapka
23.06.2025 09:18Иметь данные и иметь возможность совершать действия с вашего оконечного оборудования - разные вещи. Не дай бог, кто-то с вашего роутера, который подключен по договору к провайдеру, с вашими паспортными данными, напишет, что-то дискредитирующее..
xevlkswne
есть квн с такими тарифами (где от $1/lifetime-connection с безлимитами & p2p) и находятся они на кайманах & etc - но все они давно попали в общую кучку блокировки: поэтому остался только один акредетованный гос квн с ценой от1руб/сутки девайс где цена по купону как раз 1500руб/(2-3)года (на толпу) чего достаточно для гарантии на устройство - обещают(ли) сторис и видео без тормозов в пять иностранных локаций (сейчас не так открыто транслируют но пока это единственный разрешёный государством к продаже операторами квн и люди знают об этом)
HydrAttack Автор
Есть еще ряд крупных клауд провадйеров, которые за 700 рублей в месяц предоставляют ВПСки. вот там то и можно развернуть свою безопасную инфраструктуру
jaelynn23
одно дело вбить купленые настройки а другое организовать сервис по обходу - могут и закрыть
HydrAttack Автор
можно еще перепродать купленные настройки ;) (и тут гифка с поваром)
Nikolay55
Пардон, кого закрыть, частное лицо, которое купило заграничняй vps для туннелирования личного трафика?
hypocrites
Разрешенный? А чего клоунов из себя строим с заменой слов тогда? Тоже мне, борцы с мракобесием на белых конях, а у самих новояз и сайт с красным значком от цензортрекера.
beliy1
«Разрешённый».