{imgicourl}{zamok}
<< предыдущая заметкаследующая заметка >>
31 июля 2019
Программисты оценят: ESPSESSIONID=1

Предыстория. Решил привинтить к своей системе на чипе ESP8266 авторизацию. А то у меня раньше было все открыто наружу, пока в систему полива растений не забрел хацкер. Он конечно ничего там не понял, но нашел прямо на титуле удобный онлайн-редактор файлов и переправил в index.htm «Система полива» на «Залупа конская». Потом пришел я, нажал соседнюю кнопочку «upgrade», система сверила с сайтом-базой все свои файлы и автоматом перезалила измененные. На том хак и завершился. Но на всякий случай я порт наружу отключил.

Короче, решил я теперь привинтить нормальную авторизацию. Полез читать, распознает ли esp8266 браузерные Cookie и нарыл дивное. Это была предыстория. Вот что нашел.

Короче, какой-то альтернативно одаренный человек написал на чистом С под ESP «систему авторизации». Работает она следующим образом: по линку /login получает от пользователя username и password. Честно сравнивает, чтоб и то и другое совпадало с нужным, прописанным в коде. И если совпадает — то сервер ESP8266 выдает в ответ Cookie «ESPSESSIONID=1», и отныне этот зашедший браузер считается админом. А по команде /logout соответственно перезабивает куку на «ESPSESSIONID=0» — и уже больше не админ.
И да, вы догадались правильно: в любой другой ситуации сервер чипа ESP смотрит, если у пришедшего имеется Cookie «ESPSESSIONID=1» — значит, это админ...

Короче, чувак накодил такую систему на сраном Гитхабе. После чего тысячи долбоебов принялись ее тянуть и прилаживать к своим проектам! Пароли и логины, разумеется, они там свои в код вписывают. Наверно придумывают пароли посложнее, заглавные и строчные, не менее одной цифры и специальный знак — всё в лучших традициях хомячковой паранойи. Но реально по словам «ESPSESSIONID=1» гуглится тонна говнокода!

Короче, если вы вдруг в сетях обнаружили веб-мордочку какого-нибудь умного дома, самодельного градусника, пульт управления соседским самогонным аппаратом или ещё какой-то мелкий говнопроект на чипе 8266, и он требует логина... То просто запишите себе в браузере для этой мордочки Cookie ESPSESSIONID=1 — и с большой вероятностью то был клон вышеописанного говнопроекта, и вы теперь однозначно админ. Возможно, даже достаточно будет написать на этой мордочке в строке браузера: javascript:document.cookie='ESPSESSIONID=1';

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Linux Firefox
 Москва
1
0
lavart
А я ить тебя предупреждал ещё пару лет назад, что рано или поздно кто-нть залезет.
Ещё есть люди с фотографической памятью, которым раз мелькнешь страницей со списком RFID кодов открывающих входную дверь, и считай ключи отдал.

Альтернативно одаренных же полно, очень многие даже профессионалы считают, что скрытность равносильна безопасности. До недавних пор всякие радиовещи от беспроводных телефонов до сигнализации от автомобилей были либо без шифрования, либо с бесполезным шифрованием на отвяжись - радиоволны же никто не видит, фиг кто туда полезет.
Вот тут похоже та же логика - куки ведь никто не видит, фиг кто туда полезет.
Windows Safari Chrome
 Москва
1
0
Andy A
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Да ладно, ещё в середине 90-х в полный рост пользовали в сигналках с радиоканалом динамический код.
Windows Safari Chrome
 Домодедово
5
0
id
Что характерно, его повсеместно используют до сих пор: бесполезный динамический код из 90х...
Linux Firefox
 Boulder
7
0
Михаил (#1684620)
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> альтернативно одаренный человек написал на чистом С под ESP «систему авторизации»

Всё-таки на C++. На чистом C такое:

if (server.arg("USERNAME") == "admin" && server.arg("PASSWORD") == "admin" ) {

бы вообще не работало.
Linux Ubuntu Firefox
 Болгария
3
0
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
<pre>
sapa@silent:/tmp$ cat x.c
#include <stdio.h>

struct {
const char *(*arg)(char *);
} server;

const char *af(char *x) {
return "admin";
}

int main (int argc, char **argv) {
server.arg = &af;

if (server.arg("USERNAME") == "admin" && server.arg("PASSWORD") == "admin" ) {
printf("OK\n");
}
}
sapa@silent:/tmp$ gcc x.c
sapa@silent:/tmp$ ./a.out
OK
</pre>
Windows Firefox
 Израиль
1
0
braintunic
Ну да, правильно, struct с указателем на функцию позволяет такой синтаксис на чистом C.

Но есть и ещё один способ — практически эквивалентный по функциональности, но куда проще в реализации! :)

/*
if (server.arg("USERNAME") == "admin" && server.arg("PASSWORD") == "admin" ) {
*/
Linux Firefox
 Boulder
1
0
Михаил (#1684620)
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Открывающую фигурную скобку надо было оставить. ;–)

Но да, моё замечание было не про «не скомпилируется», а про «не будет работать».

Кстати, не знаю как в C, но насколько я понимаю про C++, компилятор не обязан собирать одинаковые строковые литералы вместе, поэтому разные "admin"ы в примере выше могут иметь разные или одинаковые адреса в произвольной комбинации, и результат может получиться какой угодно.
Mac Safari
 Израиль
1
0
braintunic
> не знаю как в C, но насколько я понимаю про C++, компилятор не обязан собирать одинаковые строковые литералы вместе

В стандарте C то же самое - зависит от реализации, то есть конкретный компилятор может оптимизировать код, собрав идентичные строковые константы под один адрес, а может и держать их по разным адресам.

Самое смешное в этой области было в языке Фортран, где компилятор был обязан унифицировать константы (как строковые так и цифровые), а поскольку в Фортране передача аргументов в подпрограмму делалась не по значению, а по ссылке, то была возможна (и реально встречалась) “порча” констант.

Например, выражение “1+1” вдруг получало в результате “4”.
Вот в таком коде:

SUBROUTINE X(J)
INTEGER J
J=2
RETURN
END
CALL X(1)
K=1+1
(здесь переменной K присваивалось значение 4, и как потом отловить такой баг??)
Linux Firefox
 Израиль
0
0
Mason
Я нашел этот прикол у Фортрана и тролил преподавателя. Незаметно менял константы, а потом невинно спрашивал, почему вот этот простенький код, который должен напечатать "МАШИНА ДУРА" вместо этого печатает "САМ ДУРАК"

Преподаватель нес пургу про малоизученные недокументированные особенности, которые кто-то заложил в компилятор Фортрана.

(подсказка - я использовал оператор FORMAT для чтения, и "сам дурак" с перфокарты ввода переписывалось вместо того, что ты видел в листинге)



Но что вы все до Леонида докопались - я не понял. Ясно же было, что там был не код, а псевдокод. Компактно и читабельно. Теперь вместо одной простой и понятной строчки несколько строк текста. Кому от этого легче стало? Формалисты хреновы.
Linux Ubuntu Firefox
 Болгария
1
0
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
> компилятор не обязан собирать одинаковые строковые литералы вместе

По стандарту, не обязан. Но в gcc есть ключики -fmerge-constants и -fno-merge-constants, так что вполне можно представить себе людей написавших такой код на C и не заботящихся о портабельности на другие компиляторы.
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
lleo запретил мне редактировать и удалять комментарии.

---------
Нет, дружище, тебе редактировать свои комментарии нельзя:
что написано, то и останется, пусть все видят.
---------

Не терпит он инакомыслящих, как и вся его компания. Кроет матом, обижает мерзкими капчами. Жалко мне его.
Mac Safari
 Израиль
0
0
braintunic
> lleo запретил мне редактировать и удалять комментарии

Ну, как я понимаю, это системный запрет на редактирование комментов всем пользователям с капчей.
Запрет удаления коммента здесь — это уже, по-моему, баг в дизайне, из-за внутреннего неразделения функций редактирования и удаления.

Лео, мне кажется, уже пора, в честь наступления последнего месяца лета, снять капчу с казуальных нарушителей незначительных правил блога!
Тарталья, Йож, кто там ещё?
Небось уже и сам не помнишь, за что они получили капчу ;)
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
Ещё Людовик пропал. Обиделся, должно быть.

За что нас прощать, мы же не покаялись?

Я готов разве что признать, что зря лезу с обсуждениями недавно умерших людей, кому-то это может быть неприятно. Для меня же их смерть — только повод ближе или даже впервые ознакомиться с их личностями и творчеством. Я вообще человек бесчувственный, как я это понял, вытаскивая малознакомого коллегу из петли в туалете под раковиной, когда все остальные это делать отказались.

Мы наказаны не за какие-то проступки, а за то, что мы раздражаем lleo. И он в своём праве — он тут хозяин, это его блог и это блог для него, может банить вовсе без причин. Мне жаль, что мы его раздражаем, хотя это происходит лишь оттого, что мы достаточно, imho, аргументированно излагаем мнения, отличные от мнений большинства.

Глупо, однако, что нельзя даже удалить дубликат комментария — уж в этом-то глюке я точно не виноват.
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Аргументирование раздражающего мнения не очень помогает уменьшить раздражение.
Linux Firefox
 Израиль
1
0
Mason
Кстати, может петицию подать Леониду, с предложением снять капчу с tartagliи и с ФЫФЫ Людовика 14-го? Лайк, кто за, дислайк, кто против :)
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Я не злопамятный, ничего не помню.
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Не помню, кажется мой движок как в ЖЖ: не разрешает редактировать комментарии по истечении некоторого времени или после появления ответов?
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
> Не помню, кажется мой движок как в ЖЖ: не разрешает редактировать комментарии по истечении некоторого времени или после появления ответов?

Это само собой. Но мне с некоторых пор не разрешает редактировать и удалять сразу.
Linux Safari Chrome
 Санкт-Петербург
0
0
LLeo
Вот честно - не помню. Не запоминаю, ни кому я ставил капчу и за что, ни как работает алгоритм движка. В любом случае - это точно не что-то лично вам. Могу вам просто убрать капчу.
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
> if (server.arg("USERNAME") == "admin" && server.arg("PASSWORD") == "admin" ) {

Тем не менее на C это действительно не работает, потому что трудно вообразить сценарий, в котором 'server.arg()' будет возвращать константы.

Кстати, clang на такие конструкции ругается и прямо предлагает использовать 'strcnmp', не то что GNU C.

А на C++ может работать, если 'server.arg()' возвращает объект, который сравним с 'const char *'. То есть переопределяет оператор '==' для сравнения с 'const char *' или каким-то объектом, который порождается из 'const char *'.

C++ замечательно запутанный язык. Люблю такие. Многие ругают Perl, но на том же Ruby можно написать гораздо более запутанную программу, чем на Perl. На Perl всего лишь есть разные крючки, которые облегчают работу программиста, но пугают посторонних, а реальную (не показательную) запутанную программу на нём написать трудно, не то что на Ruby или C++. Прост в освоении Python, но огорчает отсутствие встроенных в синтаксис регулярок.

А FORTRAN-то где теперь? Отстой же. Да, я помню, Брейн утверждает, что большая часть существующего кода до сих пор написана на Фортране. И я в универе что-то был вынужден несколько раз закодить. Но вот мой брат — реальный заграничный физик, и они там пишут на Питоне с разными библиотеками. Математики, говорят, любят Haskell. Единственное, imho, преимущество, которое было у Фортрана — его удобно набивать на перфокартах. Кому он теперь нужен?
Linux Ubuntu Firefox
 Болгария
3
0
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Perl прекрасен. Он слабо ограничивает пишущего на нем в стиле ппрограммирования, предлагая массу вариантов достижения цели. В итоге, бардак в голове пишущего сразу становится виден в коде. Это как косноязычность в общении с людьми. Она хорошо проявляется при использовании богатого литературного русского языка, но будь мы ограниченны предложениями типа: "Эта ручка зеленая. Возьми зеленую ручку." — трудно было бы распознать идиота, но и поэту не дало бы проявить себя.
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
В реальной жизни невероятен сценарий, чтобы из server.arg() возвращалась константа, так что на чистом C это работать ни в каком случае не будет.

А на C++ запросто, если возвращается объект, хоть std::string, который подходяще переопределяет оператор '=='.

Кстати, clang, в отличие от GNU C, ругается (warning) на эту конструкцию и предлагает использовать 'strncmp'.
Linux Ubuntu Firefox
 Болгария
1
0
sapa
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Ваши утверждения основаны на педположениях о том, что вы понимаете логику программиста который это писал. А вдруг там:

if (type == "USERNAME") {
return (!strcasecmp(p[0], "admin") || !strcasecmp(p[0], "root")) ? "admin" : "other";
}
Mac Safari Chrome
 Нижний Новгород
1
0
tartaglia
Хорошо, можно для type=="USERNAME" унифицировать и свести к одному варианту "admin", "root", "toor", "supervisor" (был такой в ОС "Novell NetWare") и т.д.

Придумайте только ещё, как унифицировать возвращаемое значение для type=="PASSWORD". ))))
Windows Safari Chrome
 Домодедово
0
0
id
"111","123","0000","1111111","admin"
Windows Firefox
 Израиль
0
0
Павел бывший Пашка
Ах, Михаил, Михаил, ваша аватарка (хоть сами ее видите?) не из несуществующих лиц... Была у меня такая девушка, лет 40 назад, то есть, да, уж теперь-то ее, вот такой, точно нет...
Чтоль поменяйте, а то эмоционально отвлекаете от кода. Прям увижу - как доской по спине...
Windows Firefox
 Эстония
0
2
mm3
так правильно нужно своей головой думать и заменять строчку "ESPSESSIONID=1" на какую нибудь нибудь свою секьюрную, как и зашитый в коде логин с паролем. Это такая своеобразная плата за использование открытых исходников.
Linux Ubuntu Firefox
 Москва
5
0
Adamos
Проверка авторизации админа предопределенной, ни от чего не зависящей кукой - это профанация безопасности в любом случае.
Открытые исходники просто выставили эту голую задницу на всеобщее обозрение.
Windows Safari Chrome
 Домодедово
0
0
id
Почти любая китайская "железяка" делает так же. IP-камеры, роутеры, вот это вот все - почти всегда имеет предопределенную куку, заходя с которой сразу становишься админом.
Linux Ubuntu Firefox
 Москва
3
0
Adamos
Однако это совсем не повод заявлять, что ламерское security through obscurity - это, видите ли, проблемы открытых исходников.
С точностью до наоборот - чем больше открытых исходников, тем очевиднее недопустимость таких убогих приемчиков.
Windows Safari Chrome
 Домодедово
0
0
id
Задачи могут быть разными. И вполне может оказаться, что интересы пользователя, продавца, производителя и разработчика - отличаются. Тогда техническая сторона будет всего лишь отражением стороны иной.

Так что дело, разумеется, не в открытых исходниках. Дело в том, что безопасность - неотчуждаемая субстанция: "Хочешь быть защищенным - защити себя сам".
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Как справедливо замечено ниже, закрытые исходники в подобных случаях лишают возможности защищаться самому. Лопай что дают или отваливай.
Windows Safari Chrome
 Домодедово
0
0
id
Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности. (с) Франклин

Лопать или отваливать - тут каждый решает сам.
Windows Firefox
 Эстония
0
0
mm3
тогда скажите чем это принципиально отличается от предопределенной, ни от чего не зависящей и фактически неизменяемой пары логин/пароль?
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Например, тем, что имя куки, играющее в таком случае роль предопределенного пароля, лежит открытым текстом в браузере и в каждом соединении.
Linux Safari Chrome
 Санкт-Петербург
0
0
LLeo
Тем, что в каждой системе логин и пароль будут установлены свои. А здесь одна и та же Кука на всю линейку.

В своей системе я собираюсь брать md5 от пароля (логин тут вообще не нужен) и серийных номеров собственно кристалла: процессора и флеш-памяти. Это и защитит от утечки пароля и обеспечит уникальность куки.
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Все равно получается, что утянуть у вас эту куку - и входи в админку на здоровье, пока хозяин пароль не сменит.
Можно хотя бы добавлять к ней дату выдачи (открытым текстом и с участием в хэше) и убивать через какое-то время.
Linux Ubuntu Firefox
 Санкт-Петербург
1
0
LLeo
Ну что за чушь? Каким способом посторонний человек "утянет" у меня куку?

Чтобы это сделать даже по открытому http нужны крайне серьезные хакерские мощности по доступу к моей сети и моему компьютеру (что с Линуксом практически нереально), либо возможности перехвата пакетов на уровне провайдера или транзитных узлов - то есть, фактически, взлом на уровне государства и спецслужб.

А вот кука "ESP=1", когда ты знаешь, что она одинакова у всех, является ключом для всех устройств всех систем этого типа вне зависимости от пароля.
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Вы своим поливом собираетесь только из дома руководить? Тогда и авторизация не требуется.
А в управлении через публичные роутеры (в аэропорту, например) по HTTP кука будет лежать открытым текстом в каждом запросе.
Linux Ubuntu Firefox
 Санкт-Петербург
1
0
LLeo
Слабо представляю ситуацию, когда мне захочется управлять поливом через публичные роутеры. Я еще понимаю, метро, но аэропорт?

Вообще в нормальном мире - сперва это началось в Силиконовой Долине, а теперь и в России - такая вещь, как WiFi, выходит из употребления. На хрена мне в кафе спрашивать у официанта пароль к местной сети, если у меня за 300 рублей 5Гб мобильного трафика, и я его весь и близко не выжираю, а мобильная сеть в большинстве случаев гораздо быстрее, чем местный вайфай?

В общем, это тоже какая-то страшилка из прошлого для сферического коня в вакууме, облепленном хакерами.
Linux Ubuntu Firefox
 Москва
1
0
Adamos
> у меня за 300 рублей 5Гб мобильного трафика

За границей, например, это не так.
Впрочем, я не собираюсь утверждать, что ваш полив в опасности, хоть вы просто замените "ESP=1" на "ESP=2". Обсуждается безопасность авторизация по куке как таковая, если я правильно понял заданную тему.
Linux Ubuntu Firefox
 Санкт-Петербург
0
1
LLeo
За границей рекомендую Drimsim или вайфай в доме друзей.

Лично моя система не в опасности вообще, даже если там будут топтаться хакеры круглые сутки и включать-выключать лампу подсветки ;) Но я делаю систему не только для себя.

Авторизация по куке для задач, не связанных с финансами и секретными материалами, абсолютно безопасна. Все страшилки на этот счет - чисто гипотетеческие выдумки про аэропорт и сидящих вокруг хакеров. К реальной жизни это не имеет никакого отношения.
Windows Safari Chrome
 Домодедово
1
0
id
Если судить по открытым источникам, цены на получение информации даже из баз данных государственных служб или разнообразных банков - вполне себе доступны самым широким слоям населения, начиная со школьников. С вступлением "в полную силу" "закона Яровой" на рынке появится настолько объемное предложение, что цена на гигабайт перехваченного трафика вряд ли превысит сто рублей.
Так что модель угроз вида "трафик видят все кому не лень" - это вполне себе реальность.
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Это совершенно разные вещи.
Одно дело запросить из базы данные человека, это минута. Но совсем другое дело - организовать за ним слежку. Тут нужны принципиально иные ресурсы, поэтому доступной слежка (что личная, что электронная) не будет.
Mac Safari
 Домодедово
0
0
id
Ну какие иные? Консолидация данных биллинга и трафика - это в яровой «из коробки». А слежка автоматически предусмотрена за всеми, остается лишь выбрать из базы нужные данные.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
единица "хакерской мощности" - простенький свитч с зеркальным портом в разрыве сетевого провода от твоей квартиры, если пров дает Интернет просто с порта своего коммутатора. На зеркальном порту весь твой нешифрованный и нетуннелированный трафик - как на ладони. Так что поднять дома VPN или как минимум, https-туннель, с подключением себя любимого через встроенный в Андроид клиент VPN - вполне резонная мера.
Linux Safari Chrome
 Санкт-Петербург
0
1
LLeo
Трудно наверно жить в мире, когда чудится, как ночами коварные хакеры крадутся по лестничной клетке, чтобы подсадить на твой провод следящее оборудование, и все ради того, чтобы управлять системой полива :)))

На самом деле подавляющее большинство концепций рассчитано на случай, когда твое железо в точке базирования хакеру недоступно. Строить концепцию безопасности в расчете на то, что хакер имеет доступ к твоему компьютеру, квартире или ее проводам - это абсурд. Если хакер
проник в твой дом и разрезал твои провода чтобы вставить жучок - тебе вообще не нужен пароль на чипе ESP8266. Тебе нужно срочно обращаться в полицию, к юристам, к охранному агентству, в службу внутренней безопасности твой фирмы или вообще бежать за границу. Потому что ты сделал в своей жизни что-то такое, что породило абсолютно запредельный, неадекватный уровень слежки. Забудь про чипы и спасайся.
Windows Firefox Opera Safari Chrome
 Fremont
0
0
Коржик
Между вашей системой полива и провайдерским оборудованием могут находиться: подъездный щиток, канал кабельной канализации, чердак, голубиное гнездо и еще куча всякой херни. Воткнуть коммутатор в любом из этих мест — это не зпредельный уровень слежки, это уровень школьника-скрипткидди.
Linux Safari Chrome
 Санкт-Петербург
0
0
LLeo
Вы продолжаете развивать идею о том, что за вами ходят по пятам со шпионскими оборудованием чтобы вас выследить? Я все-таки по второму диплому не программист, а клинический психолог, мне можно доверить все свои страхи и опасения.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Когда "чудится" - не знаю, наверное, трудно. Но почему "чудится"? Перехват и подделка данных с периметра наружу - вполне бизнес.
Просто ты никому нафиг не вперся (пока) со своей квартирой на хитроумном замке "игла в яйцеруке" и прочей "умной" начинкой. А так приходишь домой, а там только система полива и осталась, чтобы не вызывать подозрений.
Как не странно, лучшая защита системы - отсутствие выдачи информации о ней любому, кто не связан с владельцем "Соглашением о неразглашении".
Когда владелец и исполнитель один и тот же человек - тут, конечно, сложнее. Хочется поговорить с собой - но это же кошмар, кошмар!
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Еще раз терпеливо объясняю: существует огромное число уровней взлома в зависимости от выделенных ресурсов.

На одном конце этой шкалы - хакер Вася, который пытается ломать чужой сайтик через африканский прокси, потому что боится, что его возьмут за жопу. На другом конце - огромные деньги и связи в спецслужбах, а то и государственные спецоперации. Как мы помним, Телеграм Навального как-то ломали с перехватом авторизационных сообщений прямо на уровне оператора МТС.

Задача вменяемого человека - спроектировать систему безопасности под реальные угрозы для данных конкретных задач. В рамках допустимых мощностей программно-аппаратного комплекса. И не осложняя жизнь пользователям и админам до той степени, когда им будет проще не пользоваться системой вообще, чем проходить каждый раз утомительные квесты по получению доступа.

Система, о которой говорим здесь мы - это микроскопический 8266. На нем я строю систему для ряда задач - от управления движущимися куклами в рекламной витрине до системы полива и прочей домашней электроники.

Предполагать для таких задач, будто кто-то специально приедет в подъезд дома под камеры чтобы совершить уголовное преступление и внедрить в систему проводов шпионский прибор, купленный на свои деньги - это психиатрический неадекват.

Требовать, чтобы чип 8266 поддерживал VPN - тоже конструктивный неадекват.

Я выступаю категорически против любого неадеквата и паранойи, строящейся на опасениях теоретической возможности взлома сферического коне в вакууме. Будь я HR, я бы не брал на работу специалистов по безопасности, не умеющих оценивать уровни угроз для конкретной задачи :)
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Ну а с датой выдачи идея вообще крайне плохая и вредная.
Она порождает кучу совершенно неожиданных проблем (вдруг часы собьются на чипе?).
Она порождает массу бытовых неудобств "ох, блин, опять истекли трое суток и надо заново логиниться, опять светить пароль, набирая его в сетях"
И главное - она вообще не решает проблемы. Что такого должен делать хакер целых трое суток? Он за десять минут справится. Но даже если каждые десять минут менять пароль, вдруг ему хватит и пяти?
То есть - чушь со всех сторон. Примерно такая же чушь, как требование обязательно включить в пароль один из пяти спецсимволов или знаков пунктуации - это лишь облегчает его подбор, а не усложняет.
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Если часы собьются на чипе - случится страшное. Придется залогиниться еще раз.
Если вы так верите, что в ваш компьютер никто не влезет - почему не хранить пароли в браузере? Мастер-пароль делает это совершенно безопасным, и то, что вас откуда-то разлогинило, превращается в проблему одного клика.
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Начать с того, что на чипе ESP8266 нет часов.

Надо поднимать и программировать отдельную службу точного времени, которой требуется интернет, а он на чипе тоже есть не всегда (есть, например, автономный режим работы, когда чип поднимает свою собственную сеть, и к ней ты подсоединяешься).

В браузере пароли хранить не всегда удобно, потому что браузеров много. А мастер-пароли я принципиально не использую - считаю это лишним уязвимым звеном, потому что хрен их знает, кто их писал, кто проверял, куда они что сливают, или какие там адовы дыры могут выявиться через три года.
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Я предполагал, что для автоматического полива время-таки требуется. Окей, предложение снимается.
Насчет мастер-паролей браузеров - не вижу, чем они могут быть опаснее ввода паролей в собственно браузер. Сколько лет их так храню и присматриваю за темой, не было ли выявленных уязвимостей - ничего опасного не слышал. Да и зачем бы их сливать, если юзеры охотно синхронизируют сохраненные пароли прямо через тот же Гугль - греби лопатой...
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Я не люблю доверять свои пароли системам безопасности, написанным не мной. Как мы видим в сегодняшней заметке, не все программисты профессионалы даже на Гитхабе :)
Windows Safari Chrome
 Домодедово
0
0
id
В сообществе говорят: "если твой хеш не солен, у тебя нет хеша". А соль из серийных номеров устройств, имеющих заранее известный формат и +- известный диапазон значений - так себе соль...
Linux Ubuntu Firefox
 Москва
2
0
Adamos
Соль актуальна для таблиц с паролями пользователей.
Для одного пользователя-администратора соль, по большому счету, не меняет ничего.
Linux Ubuntu Firefox
 Санкт-Петербург
1
0
LLeo
Не совсем так. Если случайно будет украден хэш, то, зная, что алгоритм без соли, по радужным таблицам можно быстро узнать исходный пароль. А он мог применяться у этого господина и в других устройствах и аккаунтах, например.
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Если админ чего-то стоит как специалист, то его пароль не входит в словари и попытка найти этот пароль в радужных таблицах обломится независимо от того, соленый он или нет.
Ну, а если вы хэшируете пароль с дополнительной информацией - никакого смысла в соли нет вообще.
Она требовалась бы, если бы у вас были тысячи пользователей и одна и та же дополнительная информация. Но тут явно не тот случай.
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Есть радужные таблицы, которые содержат все комбинации символов разумной длины, не следует их путать с таблицами популярных паролей.

Если я хэширую пароль с дополнительной информацией - это и называется солью.
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Соль может быть одинаковой (как у вас с серийниками) или индивидуальной для каждого сохраненного пароля. Для борьбы с радужными таблицами все-таки используется вторая.
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
LLeo
Что значит, так себе? Это 12-значное число в сумме, пойди его подбери сперва. И как ты себе вообще это представляешь? Что именно ты будешь подбирать, не зная ни пароля, ни 12-значного числа? :)))
Windows Firefox
 Эстония
0
0
mm3
если уж заморачиваться то можно задуматься о добавлении одноразовых паролей типа TOTP (Time-based One-Time Password Algorithm) и использовать любую программу типа Google Authenticator для их генерации на основе секрета. тогда и утечки пароля можно будет не бояться
Linux Ubuntu Firefox
 Санкт-Петербург
2
0
LLeo
С какой, простите целью? Усложнить себе жизнь ради чего?

Секюрити-паранойя должна быть оправданной, иначе это клиника. Я не верю в одноразовые пароли вобще никак и нигде. Считаю, что их источники и генераторы - сами по себе точки уязвимости и потенциальные источники проблем, когда с ними что-то случится.

А описанной выше системы абсолютно достаточно чтобы избежать забегания на чип любых хакеров, которые вздумают взломать систему полива цветов ;)
Linux Firefox
 Пенза
0
0
qwerty блинн которого сайт забыл
это всё фигня!
а вот когда в спецоборудовании (недешевые такие радиомосты) похожая хрень с автоизацией это как? исходников нет чтоб исправить, закрыть админку снаружи фарволом тож не всегда итд... производителю пох, конкурентов то немного
Windows Safari Chrome
 Домодедово
0
0
id
> это как?

Китайский OEM выполняет волю родного китайского правительства, обеспечивая легкий доступ к оборудованию на территории вероятного противника.
Linux Ubuntu Firefox
 Германия
2
0
kirushik
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А Cisco, Cisco по чьей воле статические пароли в свой софт добавляет?

https://www.bleepingcomputer.com/news/security/hardcoded-pas[...]

> Cisco describes this as an "undocumented, static user credentials for the default administrative account," which is just a longer way of spelling backdoor account.

Увы, по-моему просто все производители железа — тупо долбоёбы (бритва Хэнлона, туда-сюда).
Я тут ещё замки для офиса выбираю — и чё-то мне кажется что будут у нас старые-добрые замки с ключами в итоге... (Удалённое открытие замка по нешифрованному радиоканалу с кастомным протоколом? Дайте два, и без replay protection пожалуйста. И это многомиллиардная мегакорпорация-лидер рынка)
Windows Safari Chrome
 Домодедово
0
0
id
Все крупные компании рано или поздно подменяют реальные механизмы их бюрократическими аналогами. Тем не менее, отличить ошибку от умысла зачастую все-таки можно.

Один из сотрудников одного из подразделений Cisco где-то на планете сделал недопустимое, а кто-то другой, кто должен был это проверить - забил болт? Похоже на ошибку (корпорация ошиблась в кадровом вопросе и в вопросах контроля). И она, что характерно, была тут же исправлена, когда о ней стало известно: выпущено обновление ПО, а внутри компании проведен аудит.

Материнские платы SuperMicro для "особых" заказчиков имели измененную конструкцию, встроенный аппаратный бекдор? Таких ошибок не бывает: внесение изменения в конструкцию - это сотни человек из самых разных подразделений, а главное - это дополнительные статьи расхода: на закупку чипов для этого бекдора, на разработку ПО для него, на внесение изменений в производственный цикл. Прозевать такую кипучую деятельность просто невозможно. "Случайная ошибка"? Нет, умысел. Поэтому и реакция была другая.
Windows Firefox
 Белоруссия
0
0
Korj
Справедливости ради, никакой особой конструкции платы SuperMicro не имели, это, судя по всему, был дичайший бред Блумберга.

А вот модификации оборудования Cisco между заводом и заказчиком, видимо, действительно были, раз сама Cisco официально требовала это прекратить (https://www.vox.com/2014/5/18/11627004/in-letter-to-obama-ci[...]).

Всё вышеописанное не означает, что китайское или какое другое правительство не хотело бы иметь доступ повсюду, и не может надавить на подконтрольные фирмы (или вообще государственные, как Hikvision).
Windows Safari Chrome
 Домодедово
0
0
id
> Справедливости ради, никакой особой конструкции платы SuperMicro не имели, это, судя по всему, был дичайший бред Блумберга.

Справедливости ради, на тех фотографиях отчетливо видна разница в конструкции.
Windows Firefox
 Белоруссия
0
0
Korj
Можно ссылку на "те фотографии"? Я, в своё время, видел просто обычные экранированные порты, самые распространённые в серверном железе. Вы видели какие-то другие фотографии?
Windows Safari Chrome
 Домодедово
0
0
id
Разница была в дополнительном чипе на плате.
Windows Firefox
 Белоруссия
0
0
Korj
Можно ссылку? Насколько я помню, всё то немногое, что показали, специалисты осмеяли, а "специалист", который Блумбергу голову задурил, чтобы раскрутить свою фирму, зарабатывающую на страхе перед аппаратными закладками, ушёл в глухую несознанку: заявил, сначала, что он под NDA, потом, что он ветеран Моссад и ему противно общаться с журналистами, а потом, что ничего не было, Блумберг всё переврал, а закладки если и бывают, то вставляют их так, как завещал Сноудэн - по дороге к заказчику (хотя изначально заливал с три короба, что находит заводские закладки ну прямо везде и повсюду).

Ещё раз, вопрос, на кого работает ваше оборудование - серьёзный. Но вот этот конкретный вброс в Блумберг сыграл, скорее, на руку тем, кто потенциально закладки вставляет.
Linux Safari Chrome
 Санкт-Петербург
1
0
LLeo
Присоединяюсь.

История мутная до невозможности, а растиражирована была некомпетентными журналистами в первую очередь.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
В конце концов, в НАЛИЧИИ самого чипа на плате, распаянного "практически фабрично". На другой фабрике, бгг. А посадочное место для штатного шинного формирователясупершпионского чипа одно и то же - разведено и есть не просит.
Windows Firefox
 Эстония
0
0
mm3
с этой проблемой более или менее успешно справляются пентестеры, которые угрозами раскрытия уязвимостей и силой общественного резонанса вынуждают производителя исправлять косяки. Правда для добросовестных клиентов такой путь чаще всего закрыт различными соглашениями о неразглашении. Зато доступна, чаще всего не менее дорогая, поддержка через которую можно запрашивать рекомендации по обеспечению безопасности с предоставлением определенных гарантий.
Windows Firefox
 Белоруссия
0
0
Korj
Сколько лет все материнские платы Intel бизнес-класса давали контроль уровня Бога каждому, кто знал, как послать в них по сети пароль нулевой длины? Все эти годы пентестеры что делали?
Windows Safari Chrome
 Москва
0
0
DarkSup
Вот в этом и беда современной распространённости веб-интерфейсов. Чем удобнее и универсальнее, тем уязвимее.
Вот я написал для своего проекта полновесный клиент - и всё, теперь никакой хацкер не узнает в каком шкафу у меня какие ботинки стоят, хоть эта информация и лежит на одном заокеанском сервере практически в открытом доступе. Просто потому, что никакой браузерной веб-морды у этого проекта нет.
Linux Ubuntu Firefox
 Москва
2
0
Adamos
Скорее потому, что никакому хацкеру этот неуловимый Джо просто не впился. У роутеров любого класса, например, веб-морда встроена. Однако ломают их не из-за того, что веб-морда, а из-за мудаков-инженеров, прописавших для своего удобства "сервисный пароль".
Да еще у пользователей, которые считают admin:admin нормальной настройкой.
Windows Safari Chrome
 Домодедово
0
0
id
> Да еще у пользователей, которые считают admin:admin нормальной настройкой.

"не, ну а чо? NAT же..." (с)
Windows Firefox
 Санкт-Петербург
0
0
den_x2
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
хакеры уже лет 10 ручками ничего не смотрят на вебках, скоростные роботы неугомонно сканируют ваши типичные порты, и вебку не очень, а вот телнет, SSH и прочие командные интерфейсы - достаточно посмотреть статистику на любом устройстве (или WAN-порту роутера) - сколько запросов от скриптов из Китая, да и всего мира по типичным портам валится - маманегорюй!
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Да, но веб атакуется тоже. Поэтому на нем аналоги fail2ban тоже неплохо бы заводить, дабы отвадить. Иначе могут стучаться вплоть до ДДоСов.
Кстати, о ДДоСах - например, торчащий наружу 53 порт роутера китайцы любят использовать для DNS Amplification Attack. Даже не взламывая...
Mac Safari
 Домодедово
2
0
id
Если речь о вебе сугубо для админства (как в данной теме), есть простой механизм: icmp knocking.

HTTP порт исходно закрыт для всех. Пингуем адрес одним размером пакета, затем другим, затем третьим. Если размеры и последовательность соблюдены, HTTP порт открывается для данного src на определенное время.
Mac Safari Chrome
 Нижний Новгород
0
0
tartaglia
> есть простой механизм: icmp knocking

port knocking, icmp knocking, SPA (Single Packet Authorization). Так ли уж это просто и доступно? На MikroTik своя встроенная система, на Linux пляски с бубном вокруг модуля "recent" или установка дополнительного софта типа 'fwknop'.

Кстати, SPA имеет перед Port Knocking очевидные преимущества: один пакет, гораздо быстрее, non-replayable и т.д.

Не пробовал, я человек ленивый, но спасибо за наводку. Начальство не любит SSH-доступа извне, а так можно эти запреты обойти.
Windows Safari Chrome
 Домодедово
1
0
id
В отличие от port knocking и тем более SPA, клиентская часть icmp knocking доступна "из коробки" на любой машине, от которой предполагается установить соединение: ping есть везде.

Что до серверной части... на микротике это реализуется тривиально, на линуксе силами iptables собственно говоря тоже.
Windows Safari Chrome
 Щелково
0
0
solarsky
Леонид, в копилочку к умному дому - наткнулся на умельца, который автоматизировал считывание и передачу всех жкх-данных, да еще анализатор воздуха приладил.
половину не понял (не программист), надеюсь вам пригодится:

mBbR-oAYrGo
Linux Ubuntu Firefox
 Санкт-Петербург
6
0
LLeo
Спасибо, но мне не пригодится.

Считывание данных ЖКХ - минута в месяц, двенадцать минут в год. Даже если тебе подарят уже готовое устройство бесплатно... только чтобы его приделать, наладить и обеспечить питанием потребуется часа два минимум. То есть, экономить твое время оно начнет только через 10 лет. А все эти 10 лет он будет потихоньку жрать электроэнергию, а то и батарейки. Которые надо покупать и менять раз в года три.

К сожалению, это большая проблема - Кризис Умного Дома.
Возможности, кажущиеся поначалу безграничными, на практике сводятся к опции прочитать раз в месяц данные сраного счетчика воды в туалетном шкафу, да зажечь и погасить лампочку в холодильнике с Айфона, не вставая с дивана.
Linux Ubuntu Firefox
 Волжский
0
0
djatlov_опять что-то с логином
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Угу. Зато либо сбой этого умного дома позволяет встрять на стотыщмиллионов предоплаты (случайная отправка 99999999 вместо показаний всех счётчиков) и включению на максимум всех систем охлаждения в мороз либо отопления в жару на весь рабочий день, на радость пришедшему вечером хозяину - либо дом умный, но дееспособность у него ограничена.
Linux Ubuntu Firefox
 Санкт-Петербург
4
0
LLeo
Кстати, да. Если допускать систему до работы с финансами - еще не то может быть. У меня когда-то были мысли автоматизировать дурацкие платежи через банк-онлайн или сделать скрипт-развлечение, который бы выискивал на Алиэкспрессы раз в неделю случайный товар за 2$ и были бы смешные сюрпризы... Но меня всегда останавливали опасения, что что-то глюкнет, и в один прекрасный день оно купит мне ковш для трактора Камацу за $2,000 ;)
Linux Firefox
 Пенза
1
0
qwerty блинн которого сайт забыл
От глюков с финансами есть средство - дополнительный счет/карта.
Раз в неделю/месяц/день на него переводиться определенная фиксированная сумма. А всякие рискованные операции итд - уже него. Если что - денег там немного. Я себе такое к гуглепайю привязал + оплата в инете....
Mac Safari
 Домодедово
4
0
id
Пока робот не поймет, что это такое: зарабатывать деньги, он не научится разумно их тратить.
Windows Safari Chrome
 Москва
0
0
DarkSup
Так биржевые роботы вроде научились зарабатывать.
Windows Safari Chrome
 Домодедово
2
0
id
Вот и пусть биржевой робот с прибыли откладывает немного, а потом тратит это по своему усмотрению :) а прочим роботам карманные деньги ни к чему.
Linux Firefox
 Amsterdam
4
0
lan787
Оно купит вам вещество, оборот которого в РФ запрещен. Будет смешной сюрприз в отделении почты.
Windows Safari Chrome
 Домодедово
1
0
id
Видимо для хождения на почту тоже нужен робот.

Кстати, а как это происходит чисто технически? Поступила посылка, получатель извещен о том что она поступила... но он ведь может придти за посылкой в любой день и в любую минуту? Целый месяц в отделении неотлучно сидит группа захвата и бьет баклуши?

Или владельца посылки вежливо просят подождать полчаса, пока за ним придут? Так ведь он может отказаться: "Извините, спешу! За посылкой зайду как-нибудь позже, извинитесь за меня перед операми..."

Или в каждом отделении есть штатная группа захвата, которая вообще никогда ничего не делает, кроме как раз в год-два берет покупателя GPS-поводка для собаки?
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Чисто технически такая посылка не попадет в отделение почты, а будет задержана на таможне, и получатель получит повестку на беседу о том, что он может сказать по этому поводу.
Windows Safari Chrome
 Домодедово
0
0
id
Все истории в Сети начинаются словами "меня взяли при получении посылки"...
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Потому что либо "она не находится сразу", либо предварительно клиент звонит и спрашивает, где посылка, и когда подойти, расписание. Посидит чекист в засаде день, на другой с почты позвонят клиенту и напомнят. Тут-то он и прибежит, под молотки.
Windows Safari Chrome
 Москва
0
0
DarkSup
Эх... большая беда, когда даже писатель-фантаст разочаровывается в перспективах технологий. Значит с системами "умного дома" совсем всё плохо и безнадёжно.
Это как если бы Жюль Верн разочаровался в подводных лодках и полётах на Луну...
Windows Safari Chrome
 Домодедово
0
0
id
Кто знает, что было бы, доживи Жюль Верн до наших дней... Возможно, он писал бы про слатшейминг квиртбейтинга, а в полетах на Луну был бы как раз крайне разочарован?
Windows Firefox
 Нижний Новгород
9
0
alxumuk2
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Дык, давно известно, что буква S в аббревиатуре IoT означает Security...
Linux Firefox
 Пенза
0
0
qwerty блинн которого сайт забыл
Кстати - про "неуловимых джо" - любой джо, даж самый хилый, сгодиться в качестве ботнета. А ломают его не руками, а таким же ботнетом...
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Пока в мире слишком много дырявых веб-серверов и панелей управления, чтобы ботнеты обращали внимание на всякую SoC-шелупонь. С ней же головной боли больше, чем профита...
Windows Firefox
 Москва
0
0
Кирилл
Никогда не слышали про Mirai?
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Когда на SoC ставится одна и та же система и их миллионы - профит, конечно, появляется.
Но здесь-то обсуждается кромешный и непредсказуемый DIY.
Linux Safari Chrome
 Санкт-Петербург
0
0
LLeo
Для этого Неуловимый Джо должен иметь стандартный софт с типичными багами. Если у Джо софт самописный, он становится Неуловимым по-настоящему. Например, ко мне в дневник ежедневно ломятся толпы ботов в попытках найти /wp-login и обратиться к нему. Видимо, там есть, чем поживиться. Но у меня не ВордПресс, а свой софт. Возможно даже в нем есть тоже дыры, неизвестные мне. Но я Неуловимый Джо именно поэтому.
Linux Firefox
 Пенза
0
0
qwerty блинн которого сайт забыл
дык либы стандартные, ботнет тестит стандартные уявимости, кому попало - значит повезло! Потестил набор кук, потом набор ещё скриптов и вот вам шел или сторидж... на край прокси.... как я понял раз получилось поменять файл - значит сторидж как минимум есть. пусть небольшой, но вирусные модули для распространения положить можно.
А уж устроить DNS амплификейшен - так вообще!
В общем надеться задача :)
Windows Safari Chrome
 Долгопрудный
0
0
Ананас
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
ESPSESSIONID=1
echo "Залупа конская" > index.html
Чет не работает метод.
Linux Safari Chrome
 Санкт-Петербург
1
0
LLeo
Это всё, что вы поняли из заметки?
Windows Safari Chrome
 Россия
0
0
Ваасечка
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Авторизацию -> аутентификацию
Linux Safari Chrome
 Киев
0
0
Vitaliy
Лео, вы как в первый раз замужем и никогда не видели пример http сервера для 8266, в котором используется std::string. Да-да, с конкатенацией через "+".
Это же примерчики алгоритмов, а не готовые решения, их нужно внимательно читать и надфильком обрабатывать.
Linux Ubuntu Firefox
 Владимир
2
0
Adamos
Внимательно прочитавшие пост могли заметить, что рассказывать это надо не Леониду - он-то как раз читал внимательно, - а ребятам из тех проектов, что можно найти в сети по заветной строчке.
Mac Safari
 Emirates Integrated Telecommunications
4
0
Залупа Конская
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Не обижайся на залупу, родной. Я просто хотел на дырку внимание обратить, ничего портить не стал специально. Глумиться над живыми существами (растениями) считаю недопустимым.

У тебя там просто пиздец был, форма для залива произвольных файлов наружу торчала, порт без простука nmap'ился, и т.д. Ещё вроде можно было прошивку обновлять, что за гранью добра и зла. А вообще, "хакать" Ллео это добрая традиция, я 7 лет твоим ftp пользовался на lleo.homeip.net как файлообменником без капчи.

Я приношу извинения, если что, ты мой любимый русский писатель, надеюсь зла не держишь.
Linux Safari Chrome
 Санкт-Петербург
1
0
LLeo
Я наоборот поржал! :)

Просто я доделывал полив в последний день перед поездкой в Израиль и не был уверен, что все будет работать, не повиснет и так далее. Поэтому оставил порт открытым иногда заходить и проверять, что все исправно и цветы не сохнут без воды.

А сломать там все равно нечего, это ж чип размером с ноготь, какие туда файлы... Не более 8кб. И прошивка и файлы там обновляются не от пользователя, а с базы - специального раздела на lleo.me, где содержатся файлы для обновления чипов разных назначений. То есть, чтобы хакать, менять их надо совсем в другом месте на другой машине.

Сейчас как время будет - доделаю логин админа и множественные скрипты с разными таймерами, и будет вообще сказка.
Mac Safari
 Москва
0
0
bambr
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Специалисты Центра анализа угроз Microsoft обнаружили атаки на корпоративные сети через устройства "интернета вещей" со стороны группировки Strontium, также известной как Fancy Bear и APT28, которую связывают с Главным управлением Генштаба вооруженных сил России.В некоторых случаях киберпреступникам даже не приходилось ничего взламывать: достаточно ввести заводские пароли. Как сообщили в Microsoft, специалисты обнаружили как минимум три случая подобных атак. Злоумышленники пытались получить доступ к внутренней сети через VOIP-телефон, офисный принтер и видеодекодер. В двух случаях оказалось достаточно ввести заводской пароль, а на третьем устройстве не было установлено последнее обновление безопасности.
Устройства использовали в качестве точки входа. Через них хакеры проникли в сеть и начали сканировать ее в поиске других незащищенных устройств с учетными записями с высокими привилегиями.После получения доступа к каждому из устройств злоумышленники устанавливали скрипт для перехвата трафика в локальной сети. При перемещении между устройствами хакеры также внедряли скрипт для укоренения в системе.Специалисты считают, что хакеры связаны с группировкой Strontium, также известным как Fancy Bear и APT28.Интернет вещей - это глобальная сеть подключенных к Интернету физических устройств - "вещей", оснащенных сенсорами, датчиками и устройствами передачи информации и объединенных с помощью подключения к центрам контроля, управления и обработки информации.

Совпадение? Не думаю!

всего комментариев: 130

<< предыдущая заметка следующая заметка >>