| |
| |
| 3.36, dq0s4y71 (ok), 17:52, 22/04/2014 [^] [^^] [^^^] [ответить]
| +16 +/– |
 Думаешь, они такие дураки, что пользуются сами тем же говном, которое продают нам? :)
| | |
|
| 2.10, Аноним (-), 14:50, 22/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys ( а может в Cisc-ах совсем все пакеты парсят ;) ).
| | |
| |
| 3.12, Andrey Mitrofanov (?), 15:06, 22/04/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys
В новом pdf-е (ссылка внизу):
* 4 affected manufacturers (Cisco, Linksys, NetGear, Diamond)
| | |
|
|
| |
| |
| |
| 4.14, ананим (?), 15:20, 22/04/2014 [^] [^^] [^^^] [ответить]
| +7 +/– |
КО намекает, что это могут быть далеко не все найденные бэкдоры.
| | |
| |
| |
| Часть нити удалена модератором |
| 6.29, irinat (ok), 16:17, 22/04/2014 [ответить]
| +4 +/– |
 > Не путайте очевидность с параноей.
КП намекает, что это могут быть далеко не все найденные бэкдоры.
| | |
|
|
|
| 3.85, Аноним (-), 12:57, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Почти, но там дрова проприентарные.
Ну так покупайте железо поддерживаемое openwrt и проблем не будет. Там список немеряного размера. Да, эти господа мутные блобы не лю категорически, если что.
| | |
|
|
| 1.3, alexey (??), 14:14, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Это опять тот чувак с прикольными картинками в отчете?
Жаль, что новый отчет не нарисовал.
| | |
| 1.7, Alen (??), 14:25, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)
| | |
| |
| 2.22, Аноним (-), 15:46, 22/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)
Ничего, платить-то за это переписывание будут покупатели.
| | |
| |
| 3.23, клоун Стаканчик (?), 15:50, 22/04/2014 [^] [^^] [^^^] [ответить]
| –6 +/– |
Платить за это будет компания-производитель. И если она столь настойчиво хочет вставить такой функционал, значит есть потребность. Те же ФСБ/АНБ напр., которые требуют наличие некоторых возможностей и ответ "пнх" их не устраивает. Или же собственный сервис онлайн-поддержки, которому требуется полный доступ. В обоих случаях данный функционал останется, но будет замаскирован лучше. Также как сейчас он есть в криптоалгоритмах, позволяющих расшифровать информацию не за тысячелетия, а за недели.
| | |
| |
| 4.63, Аноним (-), 07:46, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
не, это АНБ требует. а если быть точным DHS. который через FCC - насаждает. а используется - ВСЕМИ - от DIA и CIA до DoC, DoS и крупных корпораций.
| | |
| 4.72, Аноним (-), 12:02, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Платить за это будет компания-производитель.
За счет повышения цены для конечных пользователей, естественно.
> И если она столь настойчиво хочет вставить такой функционал, значит есть потребность.
Это потребность хорошо известная современной психиатрии http://tinyurl.com/kkzklm9
| | |
| |
| 5.78, Anonym2 (?), 01:04, 24/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Платить за это будет компания-производитель.
> За счет повышения цены для конечных пользователей, естественно.
За счёт снижения цен на устройства как ни странно. В том числе из-за рекламы представленной данной новостью. Эти фирмы по ходу и банкротятся, однако производственные мощности продолжают свою работу под очередной маркой и так сказать прикрытием... Такой вот рынок. >:-)
| | |
|
|
|
|
| 1.31, Ivan_83 (?), 16:38, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Это ж капец как производительность должно просаживать такое прослушивание всех пакетов.
| | |
| |
| |
| 3.86, Аноним (-), 12:59, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Пакеты с типом 0x8888 приходят нечасто.
Но пока не сравнишь - не узнаешь что 0x8888.
| | |
|
| 2.34, Мегазаычы (?), 16:54, 22/04/2014 [^] [^^] [^^^] [ответить]
| +2 +/– | |
именно поэтому парсятся не все пакеты, а только с определённым ethernet-типом.
статью не понимай
@
сразу комментяй
| | |
| |
| 3.55, Ivan_83 (?), 22:24, 22/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы это попало в ядро и потом с сокет, нужно чтобы пакет не угодил в аппаратный нат.
Это вам не писюк у которого все пакеты через драйвер + ядро летят, тут есть чисто железные пути через чип между интерфейсами.
И для роутинга тоже.
И далее, если железо не поддерживает аппаратного оффлоадинга нат и маршрутизации то рав сокет всё равно создаёт доп нагрузку, ведь нужно матчить пакеты.
И это я ещё не уверен можно ли на рав сокет ставить фильтры уровня ядра, а то полетит копия всего трафика в юзерленд тому процессу на матчинг.
| | |
| |
| 4.58, axe (??), 02:40, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в том числе матчинг и по содержимому пакета можно сделать, вы же не хотите сказать, что они на ЦПУ обрабатываться?
Что мешает отматчить нужные пакеты в железе и отправить их на разбор на ЦПУ? Ничего. Просто одно невидимое правило.
| | |
| |
| 5.64, Аноним (-), 07:47, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в
> том числе матчинг и по содержимому пакета можно сделать, вы же
> не хотите сказать, что они на ЦПУ обрабатываться?
> Что мешает отматчить нужные пакеты в железе и отправить их на разбор
> на ЦПУ? Ничего. Просто одно невидимое правило.
"в железе" реализованное это - можно было увидеть в продукта, лет 12 назад, самое ранее.
если конечно вы не про тупые свичи на ASIC.
| | |
| |
| 6.84, axe2 (ok), 01:48, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > "в железе" реализованное это - можно было увидеть в продукта, лет 12
> назад, самое ранее.
> если конечно вы не про тупые свичи на ASIC.
Хм, вы имеете в виду, что внутри ASIC может работать софт?
| | |
|
| 5.75, Ivan_83 (?), 16:07, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в
> том числе матчинг и по содержимому пакета можно сделать, вы же
> не хотите сказать, что они на ЦПУ обрабатываться?
> Что мешает отматчить нужные пакеты в железе и отправить их на разбор
> на ЦПУ? Ничего. Просто одно невидимое правило.
Ничё не мешает, только:
1. не всякое железо это умеет
2. нужно ещё суметь заюзать эту возможность и ядру сообщить.
Не видел я сохо железяк с таким матчингом, максимум фильтры мультикаста/маков/вланов и всякие оффлоадинги для сетевых адаптеров.
| | |
|
|
|
| 2.41, Аноним (-), 18:53, 22/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
стелстнетов - вагон )
к счастью - не все юзают raw-траффик с лютым зашумлением и стеганографией как в ранних прототипах Рутковской и ко.
обычно просто unusual использование привычного в L3.
вроде side-channel-ов в DNS-траффике, NTP и прочих(все ~ сотня-полсотни первых портов ;).
или сочетание всего. доступ снаружи поверх легальных сервисов и полный ниндзя - ВНУТРИ сети.
| | |
|
| 1.35, Аноним (-), 17:44, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Прошивки не нужны.
Даёшь свободный загрузчик с полноценным дистрибутивом.
| | |
| |
| 2.42, Аноним (-), 18:53, 22/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Прошивки не нужны.
> Даёшь свободный загрузчик с полноценным дистрибутивом.
с загрузчиком-то как раз и будут проблемы.
даже у OpenWRT.
бо ряд платформ - чудесат аппратно и загрузчики жуть какие проприетарные и писать альтернативу - жутко трудоемко и дорого/долго.
| | |
| |
| 3.88, Аноним (-), 13:01, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> бо ряд платформ - чудесат аппратно и загрузчики жуть какие проприетарные
А зачем грызть кактус? Вон народ например u-boot для атеросов адски допилил, воткнув в него даже вебморду для рекавери, например.
| | |
| 3.97, Аноним (-), 13:01, 27/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> с загрузчиком-то как раз и будут проблемы
На помойку такие девайсы. Производителя в блэклист.
| | |
|
| 2.87, Аноним (-), 13:00, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Даёшь свободный загрузчик с полноценным дистрибутивом.
U-boot + openwrt. Enjoy! Да-да, все можно пересобрать из сорцов. И железо на котором все это работает есть. Атеросы те же.
| | |
|
| 1.45, Аноним (-), 19:36, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ] | +1 +/– | в целом - описан стандартный способ реализации все трех CALEA и вот ПОЧЕМУ - фе... большой текст свёрнут, показать | | |
| |
| 2.46, Аноним (-), 19:43, 22/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
и Lawful Intercept извне USA - перманентно превращается в Illegal Intelligence Gathering and Sabotage.
| | |
|
| 1.48, Alex (??), 20:08, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном десктопе собственной сборки!
| | |
| |
| 2.51, Аноним (-), 21:11, 22/04/2014 [^] [^^] [^^^] [ответить]
| +6 +/– |
Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров на *BSD и Pentium II.
| | |
| |
| 3.61, upyx (??), 07:16, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров
> на *BSD и Pentium II.
Втыкая в них новые "шайтан-сетевухи"? :-)
| | |
| 3.89, Аноним (-), 13:02, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> на *BSD и Pentium II.
Попутно вычищая бэкдоры из IPSec-ов и SMM режима i386.
| | |
|
| 2.65, Аноним (-), 07:50, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на
> полноценном десктопе собственной сборки!
ага, елозящем на проце с SMM,а то и с VT-d и TCN.
Линус, внезапно - тоже не в китае место жительства имеет, равно как и столлман.
хотяяя, дистры, собранные полностью ЗА пределами США и не имеющее среди мэйнтэйнеров и контрибуторов - ни одного из их граждан - имеют шансы.
так прикладуха равзвивается тоже, вроде LibreSWAN, к примеру.
| | |
| |
| 3.66, Аноним (-), 07:50, 23/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на
>> полноценном десктопе собственной сборки!
> ага, елозящем на проце с SMM,а то и с VT-d и TCN.
> Линус, внезапно - тоже не в китае место жительства имеет, равно как
> и столлман.
> хотяяя, дистры, собранные полностью ЗА пределами США и не имеющее среди мэйнтэйнеров
> и контрибуторов - ни одного из их граждан - имеют шансы.
> так прикладуха равзвивается тоже, вроде LibreSWAN, к примеру.
надо на ROSA перелезать. похоже ;)
| | |
| |
| 4.80, arisu (ok), 12:49, 24/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > надо на ROSA перелезать. похоже ;)
ага. в рамках поддержки отечественного ФСБ, а не буржуйского АНБ.
| | |
|
|
| 2.74, tonys (??), 15:46, 23/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном >десктопе собственной сборки!
Ты уже изучил BIOS своего компа на предмет закладок?
В 64 Mb можно прошить полноценный гипервизор.
Представь, что твой суперзащищенный роутер всего лишь виртуальная машина.
Ась?
| | |
| |
| 3.96, Alex (??), 18:41, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
А что, BIOS'ы с backdoor'ами тоже бывают? И случаи реальные есть? И прям ставишь систему на комп с таким BIOS, и она работает в виртуальной среде, а компьютер превращается в троян/keylogger?
| | |
|
| 2.76, hummermania (ok), 16:26, 23/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Всегда выступал за роутеры на базе обычных компов, но контрагруементов много - и вес, и размеры и энергопотребление, и маркетинговая дизайнерская супер пупер инновация в виде гламурного корпуса - решает дело. Кому нужен большой, пыхтящий, шумящий и страшненько серый/пошкарябанный системник, без гламурненьких светодиодиков и веселеньких антенн.
Неттопы конечно - вариант, но цену не сравнить. Так и покупают люди красивенькую коробочку - она и в дизайн комнаты подходит, и вообще - Вы программеры шибко параноите - кому нужны мои котики... Вот и весь сказ. Так что да - xWRT - пока рулят, но по ходу и к ним можно собрать претензий, если всё-таки проверять код на безопасность. Хотя шанс случайного бага все же будет выше, чем преднамеренного бэкдора в открытом пакете, входящем в прошивку.
| | |
| |
| 3.77, Аноним (-), 20:26, 23/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
купите nITX или pITX борду с 2х или 4х ядерным процом с 10W-25W TDP и будет счастие в слим-кейсе размером с книжку.
минс - не во всех бордах - больше одного эзернета(но всегда есть PCI/PCIe слот для решения этой проблемы) и иногда не бывает miniPCIe-слота для вайфай карточек.
старайтесь выбирать борды с внешним джеком для питания, чтобы не мучаться с избыточным по мощности, ненадежным и шумных FlexPSU/ATX блоком питания.
| | |
| |
| 4.81, Аноним (-), 17:16, 24/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
В этих формфакторах в основном слабые и прожорливые системы via, и ни о каких pci-e речи нет. а цены выше обысных mITX
| | |
| 4.90, Аноним (-), 13:04, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> купите nITX или pITX борду с 2х или 4х ядерным процом с
> 10W-25W TDP и будет счастие в слим-кейсе размером с книжку.
И получите черти-какой проприетарный BIOS в подарок. А возможно еще и фирмвари EC/BMC - вот уж удобное место для бэкдоров то. И на ЭТО сорц вам нифига не выдадут.
| | |
|
|
|
| 1.50, anonymus (?), 20:29, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Либо списывайте сроки фишерам, кракерам и прочим бесчестным IT-шникам, либо сажайте за такое производителей железа и тех, кто их распространяет. А иначе будет у вас в государстве чучело вместо закона.
| | |
| 1.52, Ydro (?), 21:28, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я вот не пойму: У нас в России сертификация электроники только на уровне "Током не бьёт", "Не воняет", "Мозг излучению не мешает", а то, что данные устройства работают в гос.учреждениях, предприятиях - как говорится заходи бери персональные данные, анализируй работу предприятий. Чего говорить про прошивки, если у Dr.Web трафик со скриптом обновления не шифруется. Не знаю как сейчас, раньше там точно Lua скрипты использовались. При этом он сертифицирован, сами посмотрите на их сайте кем. В общем, что можно с этим делать думаю понятно. У нас вообще хоть один телефон проходил проверку на уровне прошивок. Безопасность страны не только у границ проходит.
| | |
| |
| 2.83, Аноним (-), 17:20, 24/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Это вся безопасности страны не касается. "Безопасники" вообще работают без интернета. В критичных сферах используются российские девайсы.
| | |
| |
| 3.95, Аноним (-), 13:13, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Это вся безопасности страны не касается. "Безопасники" вообще работают без интернета. В
> критичных сферах используются российские девайсы.
Оно и видно - даже во всяких бункерах прослеживается обычная такая винда на скринах. Очень интересно, как они без интернета в ней работают, учитывая что без интернета у нее активация отваливается. Да и апдейты не приезжают - если не апдейтить, есть куча известных дыр которыми это можно долбануть.
| | |
|
|
| 1.53, Ydro (?), 21:38, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я извиняюсь, и одновременно просто вахаю от этого, выдержка: Dr.Web соответствует требованиям Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006, предъявляемым как к антивирусным подсистемам локальной сети компании, так и к подсистемам защиты от несанкционированного доступа и может применяться в сетях, соответствующих максимально возможному уровню защищенности, включая сети, защищенные по классу К1.
| | |
| 1.56, хм (?), 23:26, 22/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так понимаю наличие бекдора обязательно для получения сертификатов соответствия.
Коммуникационные устройства без бекдоров вообще можно распространять, или все что продается заряжено?
| | |
| 1.57, Аноним (-), 01:21, 23/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
звездец. Забить деревянным молоточком досмерти их.
в tp-link находили бекдоры?
| | |
| |
| 2.68, Аноним (-), 10:38, 23/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
tp-link бэкдоры не нужны они дырявые чуть более чем полностью
| | |
| 2.91, Аноним (-), 13:06, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> в tp-link находили бекдоры?
Вопрос неправильно поставлен. В почти всех прошивках с фабрики или бэкдоры или просто дыры. А особо наглые ISP просто ставят своего ремотно-управляемого шпиона, позиционируя ремотно запускаемый апдейт прошивки как "фичу". Правда, иногда фича убивала юзерам девайсы... :)
| | |
|
| |
| 2.92, Аноним (-), 13:06, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> черный список где по бэкдорщине ?
А это мысль. Hall of shame :).
| | |
|
| 1.62, FSA (??), 07:29, 23/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес
Вот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера. Однако в этом случае MAC-адрес устройства обязан появиться в сети по ARP запросу, иначе просто никто с этим устройством не будет общаться.
| | |
| |
| |
| 3.71, Аноним (-), 11:05, 23/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
есть L2TP, есть стремительно набирающий популярность VPLS(и тругие TE и LDP -пауэрЭд, штуки)? есть наконец - целый вагон ad-hoc/mesh-сеток, в части которых - оно вполне себе, елозит с L2, начиная.
| | |
|
| 2.70, alexey (??), 11:03, 23/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ARP - уровнем выше. Здесь коммутация в пределах одного сегмента, IP адреса не нужны.
Маршрутизатор, кстати, тоже не нужен. Пакет можно отправить с любого устройства в сегменте, можно даже без IP адреса и не отвечающего на ARP и прочие бродкасты (при условии, конечно, что доступ между устройствами открыт).
| | |
| 2.94, Аноним (-), 13:12, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера.
Или прицепившись к вафле и кинув пакетик издали. Комар носа не подточит - мужичок с ноутом или там планшетом в соседней кафешке. Пришел, кинул пакетик, вгрузил троянца и удалился. Все, плацдарам для атак на интранет есть.
| | |
|
| 1.67, Аноним (-), 07:58, 23/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
опа ! мне пакеты по этим адрессам начали валиться на гейты.
раньше - за полтора месяца - не было(специально посмотрел логи с дистрибьюцией по после чтения новости)
мораль - кто то уже жаждет проэксплоитировать из ранее неосведомленных )
DHS пора менять делянку, реализацию фичи.
| | |
| |
| 2.93, Аноним (-), 13:07, 25/04/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> и это тоже ошибка, ага. «мы радость доставить хотели вам!»
Да, "нечаянно упал на мой кулак лицом, и так пять раз подряд".
| | |
|
|
