Buenas tardes compañeros,
Los que ya me conocen por aquí saben que me encantan algunas cosas, entre otras, exprimir y toquetear en todos los sitios posibles. Y como he hecho en otras ocasiones, aquí va mi análisis preliminar de la "maldita" firmware n53 del ASKEY.
Tengo que decir que soy el primero que he sido muy reacio a instalarla, de echo lo he ido dejando hasta que he tenido un hueco más o menos prudencial, para revertir de forma rápida todo en caso de desastre. Y eso no es poca cosa, si tenemos en cuenta que hace ya meses que empezó a distribuirse de forma "aislada", aunque estas últimas semanas por lo que se ve pocos son los que no se les haya actualizado.
En pocas palabras como la definiría?? Incompleta, algún paso para adelante pero quizás 3 para atrás. Insistir en errores de políticas tomadas. Por desgracia, y es algo extremadamente habitual (lo raro es que no sea así), quien suele tener las "brillantes ideas" de cambiar algo y tienen el poder de decisión, no representan al 95% de los usuarios. Dichas decisiones nacen muchas de lo que a alguien se le ocurre de pronto, sin entender que lo que es bueno para uno puede no serlo para otro, no son usuarios de día a día, no hablan el mismo idioma. Y luego claro, el ego que es muy malo, el trabajo de rectificar... etc.
Bueno, veamos los cambios:
----------------------------------
CHANGELOG n43 -> n53
(Kernel: 3.4.11-rt19+. Compilación: Mar 16 15:24:30 CST 2018)
Cambios Internos:
-Remodelación de la Shell limitada: Se suprime la salida de la mayoría de los comandos, pero siguen ahí y funcionando. Se quitan algunos, se añaden otros.
-Encriptación del cfg de configuración se mantiene igual, cifrado AES-256 y key: AskeyPU3SW2
-Limpieza profunda de archivos obsoletos o en deshuso.
-Eliminación de xupnpd, vpxy y otros, desarrollo que empezó Movistar para implementar en sus Routers emisores upnp para poder ver la TV en cualquier reproductor upnp
-Añadido librerías/binarios para hacer Roaming y Steering
-Añadido ipset y tproxy (McAfee Home Platform)
-Añadido soporte para McAfee Home Platform: Binarios y librerías... (Proxy de contenido, URLs...).. Se levanta en el puerto 8080, por donde es deducible que se controlará con una API interna. En primera conexión conecta a servidores de McAffe y descarga un buen contenido. Para los maníacos como yo, por lo general es suficiente cortar el acceso a servicediscovery.ccs.mcafee.com.
-Se levanta un nuevo "acceso" web, no tengo claro del todo aun la utilidad, no he tenido tiempo. Se levanta en el puerto 26661, requiere conexión segura usando Auth Digest, y la contraseña es "K1a5R9p4O3V"
-Sigue configurado por defecto Servidor remoto para recolección de logs: wd.collector.logtrust.io
-Sigue Monitorización MAUI
-Mejora de forma sensible del tiempo de levantamiento de la Interfaz de 5GHz
-Actualización 1º y 2º fase Bootloader (u-boot y cferam)
-Actualización del Kernel y de la imagen del quantenna
-Actualización mayoría de binarios, librerías y módulos
-Se soluciona el problema con la enrutación de las DNS De CloudFlare (1.1.1.1)
-Se bloquea el acceso por defecto a la Interfaz Quantenna, aunque por otro lado se elimina el acceso por contraseña a su Shell.
Cambios Interfaz Web:
-Se elimina el control parental de la Interfaz Web Avanzada
-Se elimina la gestión de bloqueos MAC WIFI desde la interfaz Web Avanzada
-Aun Accesible: http://192.168.1.1/wlmacflt.cmd?action=view
-Se elimina el menú de configuración para servidores SNTP de la Interfaz Avanzada
-Aun Accesible: http://192.168.1.1/sntpcfg.html
-Se elimina el menú OMCI de la Interfaz Avanzada, aun accesible por URL
-Se restringe casi de forma completa la configuración WIFI avanzada de las dos interfaces
-Se pueden rehabilitar anulando de forma simple el código en el navegador web.
-Se habilita por defecto WIFI Roaming y Band steering.
(Band Steering lo hacen habilitando una interfaz 5GHz adicional (a modo de invitado) con el mismo nombre y ajustes que la interfaz de 2.4GHz, se puede deshabilitar)
-Se retocan diferentes otras páginas, algunas comprobaciones, saneamientos y otros.
-Diferentes Bugs en la representación de los datos de las páginas de instalación
-Cambios estéticos en la interfaz básica y otros ajustes.
-Sin control de sesión de loggeo, gran facilidad de colarse en el Router sin saber la contraseña.
Aplicación Móvil:
-Toda la comunicación se hace bajo HTTP, no HTTPS
-La contraseña de acceso al Router se transmite en texto plano
-Al ser la conexión en texto plano, tanto la contraseña del Router como de WIFI va de un lado a otro sin control alguno. Cualquiera en la red la puede saber.
-Problemas de conexión de la App con la n53 debido a, entre otras cosas, el servicio de McAffe provoca un leak de memoria que termina por hacer caer al propio servicio, y provoca a su vez que la app no conecte (o eso parece, esto último aun estoy investigando)
--------------------------
Problemas y Soluciones
Más o menos es a groso modo todo lo que se ha realizado. No todo es malo,lo que no entiendo es como algo que parece una versión beta/alpha se empieza a desplegar así, con fallos importantes, y capando además la posibilidad de deshabilitar las opciones más controvertidas o los cambios más profundos.
Se agradece el intento que están realizando por implementar WIFI Roaming o Band Steering, el problema es que al margen de que esté más o menos buggeado, no son funcionalidades que debería de estar habilitadas por defecto, hacer eso es una barbaridad, y encima no permitir deshabilitarlo es aun peor. Esto va a abrir la puerta a un sin fin de nuevos problemas WIFI para muchos. Sobre el papel WIFI Roaming o Band Steering es una buena idea, pero en la práctica depende del escenario de cada casa, de la compatibilidad con los dispositivos, de... optar de forma unilateral por habilitar WIFI Roaming sin dejar deshabilitarlo (por defecto) es una temeridad. Por supuesto, siempre desde mi punto de vista.
Para deshabilitar WIFI Roaming ver el siguiente párrafo. Para deshabilitar Band Steering es mas sencillo, si vamos a las redes WIFI de 5Ghz, veremos que aparecen 2, una la PLUS y otra con el mismo nombre que nuestra red de 2.4. Deshabilitando la red extra de 5GHz problema arreglado.
Del mismo modo es 5 pasos hacia atrás capar completamente la configuración WIFI, quiero pensar que alguien se equivocó y que la próxima versión más pulida revierta esto. Por suerte con pequeños ajustes en el navegador Web podemos volver a reabilitar cualquier ajuste que queramos cambiar, y se aplicará correctamente, incluyendo WIFI Roamming. Se trata simplemente de sacar las herramientas de desarrollo del navegador web, localizar el campo a editar, y eliminar la etiqueta "disabled" del código HTML.
Más preocupante me sigue pareciendo la recolección de datos que se hace a través de MAUI o incluso con el servidor de log remotos. Y para colmo de males, lejos de dar marcha atrás, se habilita por defecto también McAffee Home Platform, sin que en ningún momento se advierta al usuario. No obstante este último aun puede tener "salvación". La idea es buena, y si se implementa bien PERMITIENDO AL USUARIO SIEMPRE ESCOGER si desea usarlo o no, y por supuesto permitir a McAffe el acceso a nuestros datos. Por desgracia en todo esto poco podemos hacer. La única forma de deshabilitar la monitorización MAUI es hacer cambios internos en el Router, lo cual no es algo que haga casi nadie. Sobre McAffe tampoco se puede deshabilitar por ahora, pero quiero pensar que será posible. EL registro remoto de logs en cambio si se puede deshabilitar desde la interfaz avanzada. Dudo enormemente que Movistar esté cumpliendo con el RGPD en ninguno de los 3 supuestos citados... eso de "compartir/ceder" datos identificativos a terceros...
Otra de las cosas que me ha entristecido ha sido ver que han dado marcha atrás con la posibilidad de usar el Router como servidor upnp para la televisión. Una de esas funcionalidades que creo que iba a sentar muy bien a muchos, y me temo que no la veremos ver la luz.
Respecto a otros puntos de seguridad, me ha sorprendido que el acceso Web no realiza ninguna verificación por cookie. Por cierto, la contraseña se transfiere en texto plano, ya no voy a que sea bajo HTTPS, que tampoco, es que ni siquiera se hashea ni codifica en base64, nada de nada. El caso es que una vez el usuario se identifica, queda logeado por IP, no por sesión/contraseña, lo que significa que cualquiera en la red si quiere puede suplantar de forma sencilla el acceso, será que es complicado cambiar la IP privada dentro de una red...
La idea de McAffe me parece buena como he dicho, explicaría la eliminación del control parental y el filtrado MAC, para implementarse todo en McAffee. Pero ojo, a ver como se hace. Veo que tendrá opción para proxear peticiones DNS y otros, que mientras sean opciones que el usuario pueda o no habilitar, genial. En lo personal siempre he estado en contra de todo esto, ya tenemos suficientes problemas de privacidad como encima estar enviando todas las páginas que visitamos y otras informaciones a terceros. No obstante no me parece mala idea, pensando siempre en la inmensa mayoría de usuarios, repito, siempre que nos dejen escoger. De todos modos esto también tiene los días contados, veo un "atraso" invertir tiempo en esto, cuando se está empezando a implementar incluso a nivel de navegadores Web el uso de DNS Over HTTPS, con lo que da igual el control parental que se quiera hacer, el Router no verá peticiones DNS. Firefox ya lo implementa de forma nativa, Chrome va de camino.
Sobre los cambios en la Shell reducida, me parece un sin sentido. Siguen manteniendo una shell (que el usuario normal puede acceder) totalmente capada, muy lejos a la que por suerte tiene el HGU Mitrastar. Pero esta vez aun peor, porque a pesar de que han añadido funciones muy útiles al usuario, han eliminado la salida por pantalla, con lo que a menos que el usuario sea adivino o un crack, de poco o nada le va a servir. Curioso de nuevo esto, invertir tiempo en sueldos para hacer la vida más complicada al usuario cortándole posibilidades interesantes (y bien intencionadas), cuando tienen fallos de seguridad de 1º grado que parece no importarles demasiado. Eso me lleva a pensar que, a título personal como siempre, al margen de políticas y decisiones las prioridades son muy cuestionables... ¿¿Una Shell reducida que vale para poco se hace aun más inservible para los pocos que les gustaría toquetear, y en cambio el acceso al Router por Web o, peor aun, por la aplicación que tanto se "vende" y que se quiere que use todo el mundo, transfiere contraseñas y otros en texto plano?? Si lo primero me parece cuanto menos incomprensible, lo segundo mejor no opino.
Lo peor de todo es que la Shell reducida permite de forma sencilla añadir filtros MACs (a pesar de que personalmente piense que es una tontería usar filtrados MACs). También permite cambiar las opciones WIFI que actualmente no permite la interfaz Web y otros.
La mayoría de problemas de la n53 son solucionables a día de hoy, excepto en todo caso el uso efectivo del control parental, que como digo a medio plazo el que quiera usarlo mejor que piense en otras alternativas, y no lo digo por la n53, sino porque no va a ser efectivo ni una cosa ni otra.
Que se impida por defecto editar las opciones WIFI me parece un sin sentido, así como habilitar de forma indiscriminada Roamming y Band Steering en WIFI, es querer tener más problemas WIFI de los que ya se tienen. A los que podemos controlar un poco más, sinceramente, nos afecta menos, ya sea por usar nuestros propios equipos o porque podemos a las malas reconfigurarlo a gusto, pero precisamente si miramos más al público en general, me parece un atraso. Siempre he dicho que una de las cosas que más me ha gustado siempre de Movistar ha sido su... "mano abierta" en ciertas cuestiones, y sinceramente llevamos un año que pienso que son palos de ciego y mal dados, restringiendo, complicando las cosas...
Y puedo estar equivocado y que no todos tengan mi visión, pero honestamente, cuando raro es el día que no piden unos cuantos compañeros un downgrade a la versión anterior... igual es que algo pasa y no se han hecho las cosas bien. No pasa nada por escuchar al cliente, que de aspectos técnicos a lo mejor no saben nada, ni de políticas, pero son los que mejor representan el día a día, la usabilidad, lo que realmente gusta, lo que no...
Saludos.
Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
