10:04
8/3/2019

Jeśli używasz routera D-Link DWR-921 to lada dzień (albo raczej lada noc) ktoś może podnieść Twoje limity na usługi Premium Rate i zacząć nabijać Twój rachunek. Takie ataki miały już miejsce. Przynajmniej jeden operator wie o problemach i ostrzega przed nimi, ale lepiej uniknąć problemów niż bawić się w reklamacje.

Nie używaj tego

Router D-Link DWR-921 jest nie tylko ciągle używany przez wiele osób, ale też ciągle jest sprzedawany w najpopularniejszych sklepach z elektroniką.

Jeśli tego używasz to możesz mieć problem.

Tymczasem ze strony D-Linka dowiecie się, że jest to urządzenie o statusie “End of Life”, które w dodatku miało niepokojące podatności wykazane przez polskiego badacza(!). D-Link co prawda twierdził, że badacz trochę nadużywał słowa “zdalny” przy opisywaniu tych podatności, bo ich wykorzystanie było możliwe po połączeniu się przez LAN, ale tak czy owak luki były. Inna rzecz, że sam status “End of Life” wydaje się wystarczającym powodem, by tego urządzenia nie używać.

Jedna noc i rachunek na 1070 zł

Dodatkowym powodem jest to, że już mają miejsce kradzieże wykorzystujące luki w tych routerach. Przemek (imię zmienione) powiadomił nas, że dosłownie jednej nocy został okradziony na znaczną kwotę. Około godziny 2:26 z routera został wysłany SMS na rosyjski numer telefonu. Później przyszła seria SMS-ów od operatora (Orange) z informacjami o zmienieniu limitu na usługi premium – najpierw do 300 zł, potem coraz więcej (aż do 4000 zł! około 8 rano).

Billing wykazał wysłanie 35 SMSów na numery Premium Rate, w cenie ok. 25 zł. Przemek dostał też SMS od Orange informujący o przekroczeniu 1000 zł i wprowadzonej blokadzie karty SIM. I całe szczęście, że Orange zastosował ten środek ostrożności.

Limity to za mało. Rozważ blokadę wysyłania SMS-ów

Teoretycznie Przemka powinien chronić domyślny, 35-złotowy limit wynikający z Prawa telekomunikacyjnego. Przemkowi wydawało się zresztą, że sam ustawił niższy limit, ale nie był tego pewien. Zasadniczo zmiany limitów powinno się dokonywać przez aplikację Mój Orange albo przez infolinię, ale na stronie Orange wymieniona jest możliwość zrobienia tego SMS-em wysyłanym na numer 80603. Domyślamy się, że przestępcy skorzystali z tej drogi. Mając na uwadze powszechność podobnych oszustw powinniśmy sobie zadać pytanie, czy zmiana limitów nie powinna wymagać bezwzględnego kontaktu z infolinią?

Rzecznik Orange – Wojciech Jabczyński – tak skomentował sprawę.

O zagrożeniach wynikających z używania modemu Dlink DWR-921 informowaliśmy naszych klientów na stronie cert.orange.pl w październiku 2018 roku. Zalecaliśmy jego wymianę. Według informacji producenta modem już wtedy nie był wspierany, także w zakresie poprawek bezpieczeństwa. Urządzenie nigdy nie było sprzedawane w ofercie Orange Polska.

Każdy klient może założyć blokadę usług Premium Rate poprzez aplikację Mój Orange lub BOK. Zawsze też może złożyć reklamację, którą rozpatrzymy po przeanalizowaniu jego sprawy. Każdą reklamację rozpatrujemy indywidualnie.

Rzeczywiście Orange ostrzegał przed tymi D-Linkami  i zrobił to ponownie wczoraj. Przy okazji operator poradził, aby rozważyć wyłączenie SMS-ów i połączeń głosowych na kartach SIM, które są używane wyłącznie do transmisji danych. Taka możliwość istnieje i trzeba to zrobić poprzez kontakt z infolinią.

CERT Orange próbuje blokować ataki

Orange przyznał też, że w ostatnich dniach notuje “wzmożone próby nadużyć” na tych urządzeniach, a w reakcji na to CERT Orange przystosował swoje systemy do wykrywania podejrzanych aktywności związanych z SMSami. Podobno dzięki mechanizmom ostrzeżeń udało się zapobiec pewnym atakom, ale te routery i tak są do wymiany.

Sprawę Przemka uznajemy za rozwojową i może będziemy jeszcze do niej wracać. Niemniej postanowiliśmy opublikować ten tekst, aby ostrzec wszystkich potencjalnych użytkowników routerów Dlink DWR-921. Nie jest to zresztą pierwszy raz, gdy luki w routerze są wykorzystywane do nabijania SMS-ów Premium pomimo limitów ustawionych przez abonenta.

Routery powinny mieć datę ważności?

Cała ta historia jest dobrą okazją, by porozmawiać o odpowiedzialności producentów i sprzedawców za produkty. To ciekawe, że np. UOKiK wciąż ostrzega przed niebezpiecznymi produktami takimi jak motocykle, nakrętki, świecie czy nosidełka dla dzieci, ale niestety w tych ostrzeżeniach nie ma nic o routerach czy urządzeniach IoT. Dlaczego? Czy to nie są niebezpieczne produkty? Owszem, przyzwyczailiśmy się do tego, że podatności w oprogramowaniu nie czynią produktu “niebezpiecznym” w tym tradycyjnym rozumieniu. Te podatności na bieżąco łatamy, ale już zakończenie wsparcia dla danego urządzenia czyni je de facto produktem niebezpiecznym.

W ubiegłym roku w Niemczech dyskutowano o wytycznych dla bezpieczeństwa domowych routerów. Pojawił się wówczas pomysł, aby na opakowaniach takich urządzeń umieszczać datę ważności. Taki niewspierany router jest przecież niczym zepsuta żywność, lecz sprzedawców to nie obchodzi. Oni chcą się pozbyć staroci z magazynu. Rozumiemy to, ale data ważności nie musiałaby oznaczać zakazu sprzedaży urządzeń. Po prostu niech niech użytkownik wie, że jego produkt jest przestarzały i niewspierany.

Z naszego krótkiego rekonesansu wynika, że D-linka DWR-921 da się ciągle kupić w kilkunastu dużych sklepach, w tym u sprzedawców, których można śmiało określić jako czołowych na rynku. Pozostaje mieć nadzieje, że wiadomość o problemach szybko dotrze do użytkowników i niedoszłych nabywców.

Aktualizacja 13.03.2019 8:29

W komentarzach zwrócono nam uwagę na dwie kwestie.

  1. Opisanego routera można używać nadal po zainstalowaniu na nim oprogramowania OpenWRT. Jest to słuszna uwaga, podobnie jak słuszne były opisywane u nas uwagi CCC, aby każdy producent umożliwiał zainstalowanie alternatywnego oprogramowania po zakończeniu wsparcia dla urządzenia.
  2. Router DWR-921 występuje w czterech wersjach sprzętowych – A, B, C1 oraz C3. Nowsze wersje nadal są wspierane.

Sama firma D-Link rozesłała do innych serwisów oświadczenie, które u nas pojawiło się w formie takiego oto komentarza.

Szanowny Panie Macieju,

korzystając z okazji, chcielibyśmy poinformować wszystkich użytkowników urządzeń DWR-921, iż dla wersji sprzętowych A1 oraz B1, które zostały wycofane ze sprzedaży zostały wydane aktualizacje uniemożliwiające wykorzystanie opisanych luk bezpieczeństwa. Problem nie dotyczy wersji sprzętowej C3, która jest dostępna aktualnie w sprzedaży. Wszystkie aktualizacje oprogramowania dostępne są na stronie producenta dlink.com.

Jednocześnie zwracamy się z prośbą o sprostowanie wpisu, który zawiera informacje nieprawdziwe. Otóż produkt DWR-921 jest dostępny w sprzedaży i jest objęty wsparciem technicznym D-Link w całym okresie życia produktu + 5 lat po zakończeniu produkcji.

D-Link Polska

Sprawdziliśmy i rzeczywiście. Na stronie D-Linka da się znaleźć…

  • Uaktualnienie zabezpieczeń FW 1.02B01 RevA1 dla wersji A (wydane w listopadzie 2018),
  • Uaktualnienie FW 2.03b01 RevB1 dla wersji B (wydane w listopadzie 2018),

Przy okazji warto zwrócić uwagę, że dla wersji C1 wydano uaktualnienie zabezpieczeń 1.02B04 T-Mobile RevC1 (maj 2018). Dotyczy ono innych luk, ale również warto się upewnić, że zostało ono wdrożone na waszym sprzęcie.

Choć uwagi powyżej są słuszne to mimo wszystko pozwólcie wytłumaczyć, dlaczego CERT Orange może mieć powody by doradzać niestosowanie routera DWR-921:

  1. Nie każdy poradzi sobie z instalacją OpenWRT i nie każdy będzie wiedział, że taka możliwość w ogóle istnieje. W świadomości większości konsumentów router to kompletny produkt obejmujący sprzęt i oprogramowanie. Oczywiście, każdy może próbować i niebawem opublikujemy artykuł o tym jak instalować OpenWRT, ale też przyznajmy jedno – jeśli ktoś wie jak to zrobić, będzie umiał zinterpretować informację o potrzebie wymiany jakiegoś routera (choć z drugiej strony warto uświadamiać w kwestii istnienia OpenWRT, co też będziemy robić).
  2. Firma D-Link nie może nikogo zapewnić, że urządzenia w wersjach A i B nie są nigdzie sprzedawane. Firma może co najwyżej zapewnić, że sama nie sprzedaje tych urządzeń, lub (być może) że nie ma ich w sklepach autoryzowanych. Kwestia ta wymaga doprecyzowania i będziemy jeszcze pytać firmę D-Link i sklepy autoryzowane. Natomiast sprzęt sprzedawany przez innych sprzedawców może być różny, a z reguły w opisach produktów nikt nie informuje o wersji firmware czy nawet o wersji sprzętowej. W skrócie: ktoś wciąż może kupić ten router w niewspieranej już wersji i “wdepnie” na minę.
  3. Cieszą nas wyjaśnienia firmy D-Link, ale martwi nas brak wyraźnych informacji o statusie produktów na stronach samego producenta. Przykładowo jeśli zajrzymy na tę stronę produktu to trudno będzie na jej podstawie ustalić, że urządzenia w starszych wersjach mają status End of Life. Komunikację w tym zakresie można poprawić.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

85 komentarzy

Dodaj komentarz
  1. Na tym routerze można bez problemu zainstalować openwrt, wcale nie trzeba go wymieniać, wystarczy zmiana oprogramowania.

    • No właśnie. Jak to będzie po wymianie oprogramowania na routerze ?

    • Na każdej wersji? Bo ja mam A i chyba się nie da, przynajmniej tak twierdzi https://openwrt.org/toh/d-link/d-link_dwr-921
      Jak masz jakiś myk na to z chęcią skorzystam :)

    • Ogólnie będzie lepiej. Inna sprawa że tanie routery nie posiadają wystarczająco duzo flasha aby to “lepiej” pozwalało rozwijać skrzydła z tym co alternatywny soft oferuje, tendencja jest taka że tnie się pojedncze centy więc róznica 8->4MB flash jest czasem “sukcesem” dla producenta. Dla osób swiadomych pozostaje zakup routera w którym openwrt/lede instaluje się z definicji i robi się to po wyjęciu z pudełka i rozmiar flasha jest sensowny. Problem w tym że producenci to utrudniają jak mogą choć przeciez nie zarabiają na usługach.

    • @Sebo bez przesady, OpenWRT bez LUCI (konfiguracja po ssh) pójdzie na naprawdę starym sprzęcie, ostatnio postawiłem bez żadnych problemów świeże OpenWRT na kultowym aczkolwiek wiekowym już Linksysie WRT54G (4MB flash)

    • OpenWRT i D-link… Zawsze tworzenie softu na ten sprzęt (włącznie z serią DL na rdzeniu AMRISC) wymagało optymalizacji, a to nie jest wpisanie “make” z architekturą w zmiennej systemowej. Flasha było zawsze mało, gdy inne miały po 8..16MB, D-Link miał 2MB, pamięci często było kilka MB. Kiedy rozstałem się z tymi routerami przepaść była ogromna i była sprawnie nadrabiana przez bardzo głęboką optymalizację systemu – tego nie ma co się spodziewać w żadnym otwartym systemie. Tu można spotkać mnożenie zbędnych obiektów, niepowycinane binarki, niepokompresowane elementy, a OpenWRT żre flash z wersji na wersję, niedługo będzie trzeba to na komputerze z gigabajtowymi SSD odpalać. Na końcu (autentyk z mojej instalacji na którymś DLinku) system wywali PANIC, czyli błąd na najniższym poziomie jądra, bo uwaga, z jakiegoś powodu nie wytworzył node’a dla LEDa. Tak, dla LEDa. Nie wiem czemu ubił chyba wówczas inita (?).
      Niestety dzisiaj to albo “ekologicznie” wyrzucać kolejne routery co pół roku lub rok, albo po prostu kupić mały komputerek typu “all in one” (tylko nie Pi zero bo 512MB RAM to za pół roku kolejne aktualizacje “bezpieczeństwa” zjedzą), porządnie skonfigurować małego Linuksa do tych celów i to stosować do routingu.

    • na allegro są obecnie routery za około 20 pare zł posiadające dostatecznie dużo flasha. Bez obudowy, więc rękodzieło, ale za to z USB, com i niezłym wifi. Od czego drukarka 3d. Kupiłem i na razie nic lepszego nie widzę, stabilny jak skała, routery z xiaomi które były naprawdę wypasione znikneły z rynku i alternatyw brak.

      A usunięcie LUCI to średniwiecze. Tak, da się ale czasem chciałbym coś wyklikać, podejrzeć, itd itp. Nie widzę sensu ciśnięcia się w 2,4 czy 8 MB, to już nieuzyteczny złom.

      Uzywałem przez jakiś czas terminali w tym celu, ale terminala z POE nia da się zasilić, przynajmniej nie każdego, duże to i upierdliwe i żre 10x więcej prądu. Pewnie że lepsze, ale … zależy do czego. Moje pudełko wielkosci dwóch paczek papierosów ma wszystko co niezbędne i wiele więcej.

    • @Sebo

      Podaj nazwę lub url do tych wynalazków.

    • https://allegro.pl/oferta/router-openwrt-tp-mr3220-16-64mb-poe-lede-wifi-7285547802

      Router OpenWrt TP-MR3220 16/64MB POE LEDE WIFI

      Jedyny bład to sprzedwca wsadza tam wersję snapshot do której nie ma pakietów. Trzeba przestawić na normalny release.

      Wymaga dolutowania kabelka do wifi wprost w pcb. W tej cenie nie potrafiłem znaleźć nic innego z takimi parametrami.

    • @Sebo “Nie widzę sensu ciśnięcia się w 2,4 czy 8 MB”

      Przecież to nie jest żadnym problemem gdy router posiada port usb. Wciskasz pena, kładziesz extroota i masz rozszerzenie flasha nawet o pojemność pena. Ja tam nie widzę sensu bawienia się w szczególności w małej domowej sieci w jakieś autorskie wynalazki. Porządny tplink, który oficjalnie wspiera OpenWRT z portem usb spokojnie wystarczy (przykładowo WR1043ND albo Archer) i możesz na takim routerze naprawdę dużo w szczególności jak podepniesz pod usb aktywny hub powielający porty (wtedy bez problemu wciśniesz tam modem, drukarkę czy dysk zewnętrzny a OpenWRT to wszystko ładnie pociągnie umożliwiając konfigurację)

    • Extroot to w moim przypadku kilka interesujacych efektów specjalnych:
      a) porty usb w tanich routerach potrafią panikować w kernelu
      b) porty USB potrafią mieć błędy transmisji
      c) całość operacji wcale nie jest taka trywialna jak normalne wgranie firmware

      “With sufficient thrust, pigs fly just fine”.

      Dlaj nie wiem po co się pakować w router 4MB i męczyć się z extrootem skoro za 20zł masz 16MB.

    • @Sebo, Nie wiem co za routery użytkowałeś i jakie wydania OpenWRT, że miałeś takie problemy. Jeżeli chodzi o konsumenckie routery do małych sieci to używam zawsze tplinki ponieważ większość ich routerów ma oficjalne wsparcie dla OpenWRT i nie ma z nimi żadnych problemów, przynajmniej w moim przypadku.

      “porty USB potrafią mieć błędy transmisji”
      wlan też a już w szczególności w warunkach dużego zaszumienia i tłoku na paśmie 2,4Ghz mimo to większość z niego korzysta i nie narzeka na niewygody z tym związane. Nie przesadzajmy w domowych warunkach to nie jest jakimś mega problemem jak raz na miesiąc zerwie połączenie albo kilka kilo pakietów będzie błędnych.

    • @Sebo, btw. gdybym miał za darmo prąd, to też bym wolał wrzucić jakąś intelowską maszynę na debianie i zrobić z niej router no ale póki co to free energy jeszcze nie wynaleziono :)

    • Błędny pakiet WiFi zostanie ponowiony. Błedny zapis sektora na usb oznacza za chwile że router spanikuje albo w ogóle nie wstanie po resecie. Czaisz różnicę?

      extroot jest niebezpieczny również z powodu tego że pamięci flash w pendrive nie są przystosowane do częstych zapisów. emmc w routerze są. Również wear leveling w pendrive i kartach SD może doprowadzić do randmicznych uszkodzeń danych. eMMc nie ma takich problemów bo jest przewidziany jako nośnik do takich zastosowań. Dalje nie widzę gdzie jest zysk męczenia się z routerem 4MB kiedy za 20zł ma się 16MB. Na allegro są też takie które mają gigabitowe porty, 10zł droższe …

    • Jest ktoś w stanie polecić jakiś dobry tutorial postawienia domowej sieci na OpenWRT bez LUCI? Zalogowałem się bez problemu przez ssh, ale nie jestem linuksowym guru, a chcialbym router skonfigurować i zabezpieczyć. Ktoś rzuci jakimiś linkami?

    • @kogan
      Na WRT54G*, to śmiga OpenWRT z pełnym LuCi i jeszcze trochę miejsca na pakiety zostaje. Dla większej ilości, banalny mod dodania slotu karty SD (mam, działa przez wiele lat bez żadnych error’ów systemu plików, ostatnio z pojemności na karcie nie korzystam, no bo ileż to pakietów można sensownie chcieć na routerze? :P )

  2. Uwaga – router nadal jest w sprzedaży, kwestia tylko jaka to wersja : https://eu.dlink.com/pl/pl/products/dwr-921-4g-lte-router
    Wycofane są starsze wersje.

    • Potwierdzam

  3. “Planned obsolescence” to chyba jednak nie jest dobra droga…

  4. Trzeba dodać, że niewspierane są wersje modelu A1 i B1. Wersje C1 i C3 są nadal wspierane. Jakiś czas temu, na przykładzie innego modelu, się dowiedziałem, że oni potrafią w ramach jednego modelu zmienić absolutnie wszystko pod maską i nazwać to kolejną wersją.

    Routery i inny sprzęt elektroniczny powinny mieć oprócz daty ważności, możliwość instalacji własnego oprogramowania po jej upływie.

    • Możesz zainstalować OpenWRT na nim.

    • @Kuba nie na wszystkich się da, zgadzam się z kolegą wyżej dlinki są o tyle upierdliwe, że przykładowo ten sam model ale przykładowo jeden w wersji ‘A’ drugi w wersji ‘B’ mogą już mieć czipy radiowe i procki zupełnie innego producenta i przykładowo wersja A jest wspierana przez OpenWRT a wersja B już nie w porównaniu z takim tplinkiem gdzie praktycznie na każdy model wchodzi OpenWRT, dlink to szajs

  5. “Tymczasem ze strony D-Linka dowiecie się, że jest to urządzenie o statusie “End of Life” (…)”

    Tymczasem ze strony D-Linka dowiemy się też, że urządzenie jest dalej w sprzedaży. :(

    https://eu.dlink.com/pl/pl/products/dwr-921-4g-lte-router

  6. Dokładnie taki router, Plus sprzedał moim rodzicom w lipcu 2018.

    • A jakim cudem to Plus doradza i sprzedaj router twoim rodzicom, anie taki ekspert jak ty?

  7. @Niebezpiecznik czy polecacie jakiś router z LTE? Najlepiej gdyby nie kosztował milionów monet.

  8. I znowu to samo. Najlepsze jest to, że hardware tego routera jest całkiem niezły i jeszcze mógłby posłużyć parę lat.

    Jakiś czas temu ludzie z OpenWRT wysłali petycję do władz niemieckich o wymuszenie podawania daty końca wsparcia i po tym momencie udostępniania źródeł do budowy obrazów.
    Szkoda że pewnie temat pozostanie bez echa:
    https://www.ccc.de/de/updates/2018/risikorouter

    A wydaje mi się, że walka o to bardzo zwiększyłaby bezpieczeństwo.

  9. A co jeśli korzystam z tego routera ale nie z jego mobilnych zalet a tylko służy mi do dzielenia internetu w domu od lokalnego dostawcy?

    • Jeżeli nie ma w nim SIM, to nie ma jak wysłać z niego SMSa. Żadnego. Nawet premium.

  10. Problemu by nie było, gdyby wszelkie usługi premium były by zablokowane podczas podpisywania umowy. Tak z automatu. A jeżeli ktoś by chciał je mieć włączone to na osobnym świstku, lub poprzez infolinię.

  11. Czy taki router można teraz oddać do sklepu w ramach gwarancji / rękojmii i żądać zwrotu pieniędzy?

  12. Szanowny Panie Macieju,

    korzystając z okazji, chcielibyśmy poinformować wszystkich użytkowników urządzeń DWR-921, iż dla wersji sprzętowych A1 oraz B1, które zostały wycofane ze sprzedaży zostały wydane aktualizacje uniemożliwiające wykorzystanie opisanych luk bezpieczeństwa. Problem nie dotyczy wersji sprzętowej C3, która jest dostępna aktualnie w sprzedaży. Wszystkie aktualizacje oprogramowania dostępne są na stronie producenta dlink.com.

    Jednocześnie zwracamy się z prośbą o sprostowanie wpisu, który zawiera informacje nieprawdziwe. Otóż produkt DWR-921 jest dostępny w sprzedaży i jest objęty wsparciem technicznym D-Link w całym okresie życia produktu + 5 lat po zakończeniu produkcji.

    D-Link Polska

    • Witam .. A jak zakualizowac oprogramowanie? Sorki. Ale jestem laikiem :(
      Pozdowienia
      Michal

    • Czyli jako użytkownik C1 z T-Mobile jestem całkowicie bezpieczny lub jest jakaś łatka, która pozwala na zabezpieczenie się, tak ?

    • To bardzo interesujące, ponieważ dla “A” dostępny na Państwa stronie jest firmware z… 2013 roku ;)

    • @Michal – instrukcja obsługi się kłania.

    • Obecnie na stronie D-linka dla wersji A oraz B jest dostępny firmware FW 2.03b01 RevB1 datowany na 2018-11-01, to chyba o ten chodzi, bo ostatni jaki miałem był z 2015 r.

    • Czyli klient który posiada ten router w wersji C3 oraz firmware pod t-mobile, a któremu został nabity spory rachunek może liczyć na rekompensatę ze strony Dlink Polska?

    • @Adam

      Ja widzę 2018-11-01

  13. A ja z innej beczki. Czy przeciętny klient Orange wie o istnieniu strony cert.orange.pl? Zastanawiam się operator dołożył należytych starań w celu poinformowaniu klientów o rekomendacji nie korzystania z tego modelu routera….

  14. Tu są de facto 2 tematy:
    1) bezpieczeństwo produktów IT – co prawda powoli, ale ludzie się jednak uczą, że na badziewiach można więcej stracić (i to żywej gotówki) niż się oszczędza przy zakupie. Zmiany w prawie pod tym kontem to raczej zły kierunek, bo jak juz zaczniemy, to prędzej czy później dojdziemy do jakicś głupich certyfikatów, które bezpieczeństwa nie podniosą, za to ceny na pewno.
    2) usługi Premium Rate SMS – ich uzyteczno�??c jest bliska zeru, a mimo to żaden operator nie oferuje ich _domyślnej_ blokady (którą można by sobie ewentualnie zdjąć). Jeśli już kombinować ze zmianami w prawie to raczej pod kontem zwiększenia odpowiedzialności takich instytucji za ewentualne fraudy realizowane z pomocą ich infrastruktury (to samo dotyczy banków). To oczywiście też podniesie ceny, ale może przy okazji także jakość usług.

  15. Mam ten router, zgodnie z poradą wyłączyłem przez infolinię właśnie wszystkie usługi prócz internetu. Pani poinformowała mnie, że nie ma możliwości już nabić konta na tym numerze. chciałem zainstalować Open WRT ale poległem :D w sensie zainstalowałem, ale konfiguracja mnie pokonała. Polecanie jaki router z modemem? A może dwa osobne urządzenia?

    • Ja od siebie polecam Asusa 4G-AC53U. Drogi ale tam gdzie inne nie domagają(zasięgi słabe) ten daje radę. Raz nawet cała elektronika poszła do piachu w domu bo “elektryk” grzebał w skrzynce (popaliło telewizory, lodówkę, piec, siłowniki bramy dosłownie wszystko), a ten maluch dalej działał. Choć to zapewne zaleta zasilacza niż samego routerka.

    • Ja mam 921 C3/C1, zainstalowałem openwrt, pół dnia walczyłem na nim jak się połaczyć się z Internetem, w końcu się udało. Ale wielu kwestii nadal nie ogarniam typu odczyt SMS (umiem tylko z poziomu CLI) lub zarządzania internetem. W GUI nie mam nic, modem sie poprostu z nim łączy automatycznie. Ale ma to kilka funkcji na plus:) Jest nawet adblock

  16. Dla wszystkich, którzy chcą zainstalować OPEN WRT – bez drugiego mobilnego internetu lub przerabianego firmware’u NIE DA SIĘ uruchomić modemu LTE. Brak jest driver’a qmi . Jeżeli ktoś chce ogarnąć router to potrzeba chociażby tel. kom. z udostępnioną siecią wifi. Intalujemy openwrt ze strony https://openwrt.org/toh/d-link/d-link_dwr-921 , po zainstalowaniu w network – wireless i klikamy SCAN – wybieramy WPA2 jako szyfrowanie i łączymy router z siecią. Następnie z komputera z wiersza polecen wpisujemy ssh root@192.168.1.1 . Wpisujemy yes (jeżeli będzie pytanie) a potem hasło jakie ustawiliśmy na routerze. Następnie wpisujemy ciąg komend : uci set network.wwan=interface
    uci set network.wwan.proto=’qmi’
    uci set network.wwan.device=’/dev/cdc-wdm0′
    uci set network.wwan.apn=’internet’
    uci set network.wwan.modes=’lte’
    uci commit network
    uci set firewall.@zone[1].network=’wan wwan wan6′
    uci commit firewall
    ifup wwan
    opkg update
    opkg install luci-proto-qmi
    /etc/init.d/uhttpd restart
    reboot

    U mnie musiałem ustawić w Network – Interfaces – WWAN – edit – Authentication type wartość PAP/CHAP.
    Router teraz śmiga, że aż miło.

  17. Przecież operator doskonale wie jaki router się z nim łączy. Wie też dokładnie czy z danej karty sim klient wykonuje połączenia czy tylko korzysta z Internetu.
    Blokada lub choćby ostrzeżenie klienta SMSem to żaden problem

    • hajs się musi zgadzać, ogólnie w Polsce większość ISP czy operatorów telefonii robią co chcą jawnie oszukując klientów i nikt z tym nic nie robi w tym kraju.

      Prosty przykład, jestem klientem lokalnego ISP osiedlówki od ponad dekady, firma jakiś czas temu przeszła w ręce jednej z czołowych polskich korpo i złącza dotychczas symetrycznego zrobiło się “magicznie” łącze niesymetryczne gdzie up pomniejszył się o 80% SIC! Oczywiście ceny abonamentu pozostały te same a i jeszcze po drodze tak po prostu ISP zmienił mi adres ip (mam zewnętrzne) bez jakiegokolwiek poinformowania mnie o tym zamiarze czy nawet fakcie. Dowiedziałem się o tym dopiero podczas próby zalogowania do kilku swoich usług w których miałem dropnięte logowania z innych adresów niż ten który mi po 10 latach zmienili. Człek się zestresował potem musiał wydzwaniać po zagranicznych helpdeskach i podawać nowe ip a wszystko dlatego, że jakiś pajac ma w dupie swojego klienta bo przecież jest monopolistą na lokalnym rynku ehh szkoda gadać

  18. Posiadam taki ruter z kartą play na wsi pod Bydgoszcza jestem zadowolony żadnych problemów

  19. generalnie to jestem coraz bardziej zdolowany
    jakikolwiek sprzet d-linka zakupiony w media-markt jest jak się póżniej okazuje przestarzały i już nie wspierany oraz występuje wiele problemów z zabezpieczeniami.
    Tak mam z kamerami, zdalnymi gniazdkami. alarmem a teraz do tego doszedl nieszczęsny ruter. Wywaliłem kupę kasy na badziewie.

    Chyba jednak zainwestuję w sprtzęt Xiaomi lub podobny. No i co z tego, że chinole będą mnie podsłuchiwać, ale za to sprzęt będzie jakoś hulać przez jakiś czas

  20. Mamy XXI wiek, używanie telefonu zaczyna się w od WYŁĄCZENIA WSZYSTKICH USŁUG PREMIUM ŁĄCZNIE Z NUMERAMI 0800. Kto tego nie robi, sam sobie szkodzi.

  21. Hej,
    Mam 921 (zaraz lece sprawdzac wersje). Jakoś na przelomie stycznia i grudnia dostalem dwa rachunki na 200 pln na uslugi premium w t-mobile. Zrobiłem awanture i zwrocili mi 100pln w ramach rekompensaty.
    Bo raz juz mialem taka akcje z 2 lata temu gdzie wyraznie prosilem o blokowanie wszystkich uslug premium a jednak nie pomoglo.
    Najbardziej irytuje mnie to, ze operatorzy wiedza ktore firmy nabijaja te uslugi premium, wiedza, ze okradaja ich klientow a dalej zezwalaja na te praktyki. To trwa latami, nikt nie reaguje. Nie wiem czy moj przypadek pasuje do opisanego (ktos z zewn wysyla) ale jedno jest pewne, bandyckie praktyki i zero szacunku dla klienta. Raz zmieniam router, dwa opertora. To są po prostu jaja. Jeszcze jedno, jak 2 lata temu prosilem o wylaczenie/zablokowanie uslug premimum to mnie odeslali do firmy ktora je swiadczy (z Krakowa kolejni zlodzieje). Oczywiscie w tej firmie nic nie zdzialasz, nie wylaczysz, to jest sciema. Firma znana na rynku, policja 5 lat temu powinna wpasc i zamknac ich wszystkich w wiezieniu. T-Mobile niestety to akceptuje i możemy im skoczyc.

  22. A czy bezpiecznie będzie używać tego routera w trybie bridge na stockowym firmware?

  23. nie orange informowalo,ze,nie,moge wylaczyc polaczen glosowych

  24. Dla mnie ostrożność 1000 zł chyba dla Orange bo 1000 zł na polskie zarobki to bardzo dużo czy nie ma mniejszego limitu?

  25. Z aktualizacją firmware’u 2.03b, dostępną na polskiej stronie D-linka dla wersji A i B nie jest już możliwy atak path/directory traversal zgłoszony w CVE-2018-10822 oraz CVE-2018-10824. Sprawdziłem na swoim routerze, zamiast pliku z konfiguracją dostaję poprawnie 404 not found. Podatność CVE-2018-10823 wymaga przejścia przez autentykację, wiec jak ktoś nie zna hasła to w takiej sytuacji nic nie zrobi.
    Druga sprawa, autor zgłoszenia zastrzegł w komentarzu do prezentacji na youtube, że wyłączenie zdalnego dostępu do konsoli routera z Internetu (domyślnie jest wyłączony) w konfiguracji routera powinno udaremnić próby ataków metodą path/directory traversal.

    https://www.youtube.com/watch?time_continue=36&v=s2xrQlfd7BY

  26. Nigdy więcej D-Linka, a w ogóle routera, który nie umożliwia zainstalowania wolnego oprogramowania. Bo bycie na łasce i niełasce producenta i co parę lat wymiana sprzętu, który jeszcze “może” jest śmieszna, nieekonomiczna i nieekologiczna.

    Miałem kiedyś D-Linka DIR-655B1 i najlepiej chodził z oryginalnym firmware’em (innego niż oficjalny nie ma i nie było). Update firmware wprowadził tylko wkurzającą, stabilnie występującą niestabilność w utrzymaniu połączenia z siecią (sam się resetował w losowych momentach). Nie jestem specem i przez rok się męczyłem z tym g…m odciążając to jego dziadowskie oprogramowanie poprzez wyłączanie bardziej zaawansowanych funkcji, ale nic nie pomagało. Myślałem, że może dostawca nawala. Jak wróciłem do pierwotnego firmware to problem minął, ale z kolei jak to się ma do bezpieczeństwa i łatania luk?

    A teraz od kilku lat mam firmowy router od Netii i mam zero problemów. Uptime doszedł do 150 dni, aż przez przypadek podczas porządków wyłączyłem wtyczkę z prądu, bo kto wie do ile bym dobił. Stabilny jak skała, dobry zasięg wifi, bezpiecznie (nic nie słychać, żeby dochodziło do globalnych tragedii bezpieczeństwa).

    Gdyby mi przyszło dodać coś do tego routera od Netii, czy zmienić dostawcę sieci to nigdy, przenigdy więcej D-Linka w domu. Może dla firm bardziej się starają.

    Teraz nim coś kupię to najpierw przejrzę stronę OpenWRT, ale też jestem już mądrzejszy, że router routerowi nierówny.

  27. Panowie 6 miesięcy temu obczaiłem że wystarczy mieć wersję sprzętową z C i wyłączony dostęp zdalny . To są bardzo dobre routery . Przede wszystkim dlatego że mają opcję Mostkowania bardzo przydatne jeśli urządzenie ma spełniać role modemu.

    No i polecam wyłączyć możliwość wysyłania sms pozagranice oraz smspremium . A jeśli się da to wogóle sms.

    Z moich obserwacji wynika że to całkiem dobry sprzęt za dobrą kasę .

  28. Przypomniało mi się fajny artykuł
    https://frankowicz.me/backdoor-i-pare-ciekawostek-w-serii-routerow-d-link-dwr/

    • A wydawałoby się, że taka solidna firma. Mi się też kiedyś wydawało, ale to chyba przez to, że popularna i wszędzie człowiek natyka się na reklamy w sieci. A to zwykła masówa.

  29. […] Źródło: Orange, Niebezpiecznik […]

  30. Tymczasem Plus nadal sprzedaje Internet z tymi routerami

    • Tak, wszyscy na około sprzedają, bo ten router występuje w 4 wersjach hardware’owych: A1, B1, C1 i C3. Status EoL mają wersje A1 oraz B1 i tylko te wersje są narażone na ataki opisane w artykule jeśli mają zainstalowany firmware z 2015 r. Na stronie producenta jest dostępna aktualizacja firmware, która naprawia opisywane dziury w oprogramowaniu A1 i B1.

  31. https://eu.dlink.com/pl/pl/products/dwr-921-4g-lte-router
    Nie wszystkie wersje są oznaczone jako end-of-life, rev-C3 ciągle w sprzedaży.

  32. D-Link wydał update i udaje, że zrobił to już w listopadzie 2018, co jest ewidentną nieprawdą! Miałem ten router w łapach kilka dni temu – wersja A1. Niczego nowego nie było na ich serwerach… Pomijam fakt, iż jest to czysto PR-owa zagrywka po złej prasie!

  33. “Nie używaj, nie kupuj!!!” Potem nieprawdziwe informacje o wsparciu i dostępności aktualizacji, żenujący poziom. Wskażecie choć jakiś ruter bez podatności który można kupić, czy zamiast tego poradzicie kupić bilet na swój wykład?

    • Kup mikrotika jak nie masz budżetu albo ubiquity jak budżet masz. A na wykład, wpadnij. Jest nie tylko o routerach :p

    • Z tymi dostępnymi aktualizacjami dla A1 oraz B1 na stronie D-linka jest niestety tak, że naprawiają podatności CVE-2018-10822, 10824 i prawdopodobnie 10823, ale nie naprawiają 18008, co sam sprawdziłem instalując aktualizację i przechodząc scenariusze ataku dla tych podatności. Mając więc włączony w routerze remote access z WAN jest się nadal narażonym na odkrycie hasła administracyjnego. W sieci LAN zagrożenie jest stałe, jeśli ktoś załamie hasło wifi to uzyska dostęp do konsoli administratora. Router po aktualizacji nadal nie jest więc bezpieczny i nie należy go używać z WAN i najlepiej nie kupować w wersjach A1 oraz B1 ani nowego ani używanego. Autor artykułu w zasadzie się tu nie pomylił :)

  34. Po pierwsze urządzenie nie jest w statusie End of Life, co można łatwo sprawdzic na stronie producenta.
    Po drugie opisywana podatnośc została załatana w zeszłym roku we wszystkich rewizjach tego modelu.
    Po trzecie by być obiektywnym, to może warto napisać o niezałatanych podatnościach routerów innych producentów.

  35. Dlaczego tylko TEGO D-linka? O ich pozostałych modelach mam równie słabą opinię… Jak nie dziura, to wiesza się lub kończy żywot bez wyraźnej przyczyny.

  36. Naprawdę tak ciężko sprostować błędy w artykule i napisać, że ma kilka wersji o różnych terminach wsparcia? Od 4 dni informacje o tym wiszą w komentarzach, ale jak widać straszenie stoi u was wyżej niż rzetelne opisanie sprawy.

  37. Czy artykuł zostanie zaktualizowany? Pojawiła się w komentarzach informacja o aktualizacji dla starych wersji tego modelu i o tym, że sprzedawane są obecnie nowe rewizje. Zresztą informację o aktualizacji firmware można było sprawdzić samemu, przed napisaniem artykułu. Jest informacja od Orange w artykule, a nie ma żadnej informacji o próbie kontaktu z firmą D-Link – jeśli to, co jest w komentarzu to prawda, to czy artykuł ma rację bytu w takiej formie (m.in. ostatni akapit)? O co tu chodzi?

  38. Drogi Piotrze, “nie kupuj” już zniknęło z tytułu, teraz pozostaje jeszcze tylko zamienić “nie używaj” na “uaktualnij”, w treści dopisać coś na temat mechanizmu tego ataku.

    Wtedy będę mógł nawet polecać innym przeczytanie :)

    A na przyszłość może warto pilnować poziomu, żeby naczelny redaktor nie musiał się potem tłumaczyć albo wymyślać rutery bez podatności bo nawet dzieci wiedzą ze one istnieją tylko w bajkach pisanych przez producentów :)

    • Nie masz racji, aktualizacja nie rozwiązuje podatności CVE-2018-18008, a jedynie te dotyczące path/dir traversal. Wiem, bo zaktualizowałem i sprawdziłem wszystkie podane w dokumencie wektory ataku na swoim routerze (B1). Osoby, które zaktualizowały firmware powinny bezwzględnie wyłączyć dostęp z WAN do konsoli i upewnić się że mają ustawione mocne hasło do WIFI, ponieważ ciągle są narażone na atak i konsekwencje takie, jak opisane w artykule. Jeśli ktoś używa routera w tych starszych wersjach w firmie i daje dostęp osobom niezaufanym do LAN, powinien zmienić router na inny.

  39. […] Całość tutaj.  […]

  40. […] Przeczytajcie cały wpis tutaj. […]

  41. T-mobile niestety nie za bardzo dba o bezpieczeństwo klientów. Albo nie są świadomi problemu.
    Jestem świeżo po rozmowie z infolinią T-mobile i w przeciwieństwie do Orange u tego operatora można tylko zablokować wszystkie usługi – SMS, głosowe i także internet. Nie ma możliwości zablokowania wyłączenie SMS-ów i połączeń głosowych.
    W tym temacie T-mobile strasznie słabo wypada na tle Orange.

    • Pracuję w T-Mobile i niestety od ponad roku (od kiedy sprzedają usługę internet domowy bez limitu danych) występuje ogromna liczba sytuacji w których klientów TM obciąża fakturami za usługi WAP billing/Direct Billing. Klient jest przede wszystkim nieświadomy możliwości skorzystania z takich usług mając “internet domowy”, który kojarzy sobie z internetem stacjonarnym. Pomimo zalewu reklamacji i występujących opłat premium firma TM ani myśli blokować domyślnie takie usługi na internecie domowym. Firma T-Mobile to wyjątkowo specyficzny twór. Wyższe kierownictwo tu zwykle dochodzi do wniosków, że skoro da się strzyc barany to róbmy to tak długo ile to możliwe.

  42. […] 8 marca na portalu Niebezpiecznik.pl pojawił się artykuł dot routerów D-Link. Dostępny jest tutaj. […]

  43. […] 8 marca na portalu Niebezpiecznik.pl pojawił się artykuł dot routerów D-Link. Dostępny jest tutaj. […]

  44. Jak dla mnie uzasadnienie dlaczego nie używać D-Linka jest trochę mało przekonywujące.
    Generalnie podatności, luki bezpieczeństwa są w każdym sprzęcie, to czy są exploitowalne to już inna sprawa. W tym konkretnym przypadku użytkownik narażany jest na koszty wynikające z rachunku za usługi premium, ale w przypadku wadliwej pralki czy zmywarki użytkownik również narażony jest na koszty remontu/zalania sąsiada i w dalszym ciągu korzysta z serwisu zewnętrznego nawet jak sprzęt jest po gwarancji. Oczywiście jest to inna półka cenowa ale może warto skorzystać z usług profesjonalnej firmy i tak samo jak robimy przegląd samochodu czy roweru to warto zrobić przegląd infrastruktury IT we własnym domu ? Zarobią polskie mikro-przedsiębiorstwa i będzie mniej elektro-śmieci! :)

  45. Ja mam model DWR-921 Rev B1. Kupiłem go w kwietniu 2015 roku. Oczywiście jak się tylko dowiedziałem, najnowszy firmware wgrałem. Używam go bardziej okazjonalnie, jak Neostrada ADSL2+ którą mam odmówi posłuszeństwa lub jak gdzieś jadę na wakacje. Ale znam takich co na co dzień z niego korzystają. Wtedy zapłaciłem za niego prawie 600 zł.

    Czy openwrt działa w trybie graficznym jak gargoyle? Czy może tylko w wierszu poleceń?

    Z drugiej strony do Neostrady używam routera TP-Link Archer D5 Ver 1.0. I tak samo – ostatni soft fabrycznie wgrany jest z 2015 roku. Oczywiście TP-Link firmware nie aktualizuje. Bo i po co. Także jest jakaś zmora wśród producentów Routerów, że wydają coś i potem firmware nie aktualizują.

  46. ale te ataki to tylko w przypadku adresu publicznego czy również za natem?

  47. Te ataki można byłoby zminimalizować gdyby nie operatorzy którzy userów mają za nic.
    Kupuje abonament na internet i tylko ta usługa jest dostępna. Bez usług MMS, sms, itp. A każda zmiana usługi powinna być potwierdzona indywidualnym kodem lub przez infolinię po weryfikacji.

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: