peter_lemenkov
Recent Entries 
26th-Jul-2009 12:12 pm - Дыры в роутерах
Что-то зачастили новости про уязвимости в роутерах. Прав был Harald Welte, когда говорил, что сейчас, с развитием и открытием технологий все больше специалистов по сетевой безопасности начнут копаться в бытовых устройствах, Linux-прошивки которых в своей массе сляпаны кое-как, умельцами, тренировавшимися на Gentoo в студенчестве.

Тут есть одна фундаментальная проблема - бытовые устройства (роутеры, wifi- и dect-телефоны, NAS-устройства, да даже телевизоры, внутри которых теперь линукс устанавливают) в 99.9999% случаев не имеют никакого механизма скачки и установки апдейтов.

Этому препятствуют, с моей т.з., три вещи

* Конторы не берут апдейты из dd-wrt/openwrt, т.к. не хотят подписываться под тем, что там наворотило коммьюнити, и тут их мотивация вполне понятна. Почему они сами, как та-же Redhat, не принимают активного участия в деятельность этих коммьюнити - непонятно. Видимо из-за косности мышления (вместо спеца из числа активных участников openwrt лучше возьмем троих студентов на летний internship). Хотя вот, недавно была новость, что Ubicom официально объявил, что их новый роутер будет полностью совместимым с OpenWRT.

* Вполне допускаю, что есть какие-то сложности морально-юридического характера, связанные с перезапуском сервисов устройства (или целиком самого устройства) при получении апдейта. Хотя тут неясно - виндовс ведь как-то сам принимает решения.

* Проприетарный дух в производстве железа. Чаще всего исходники для железа, это какое-нибудь ядро linux версии 2.6.15 (или вообще 2.4.20), т.к. производитель не понимает своей выгоды во включении поддержки своего железа прямо в ванилловое ядро. Понятно, что современные дистрибутивы могут так просто и не заработать с таким несвежим ядром (реально, у меня Fedora 11 просто не запустилась на ядре 2.6.15). Думаю, что это тоже препятствует прямому использованию дистрибутивов типа openwrt.

Проблема еще в том, что поломанный роутер никому не жалуется, в отличие от виндовс на компе, на которую юзер худо-бедно, но посматривает, и взломанное устройство может месяцами (или даже годами) быть источником проблем.

Прикинув масштабы распространения умного железа (пользователей Linux сейчас просто дофигищи - роутеры, NAS-устройста, даже телефоны), и количество потенциальных проблем с безопасностью, даже не учитывая обычною головожопость юзеров, - думаю, что скоро будет весело.
9th-Jul-2009 09:38 pm - Yo Bunny wrote!
Почитав про проблемы уважаемого [info]k001 решил запостить про свои проблемы.

Так вот - сегодня ломанули одну из моих машинок. Самое обидное - ругать некого! Сам ступил (у меня простые рутовые пароли, но логиниться удаленно рутом я запрещаю, а тут - забыл закрыть, и хакеры тупо подобрали пароль с 10-20 попыток). Хорошо, что на ней ничего не хранилось (была голосовым автоответчиком). Буду завтра переустанавливать на ней CentOS 5.3

А идя домой видел, как гаишники протоколировали сбитого пешехода (перебегал в неположенном месте).

Определенно Высшие Силы нам всем подают неведомые знаки.
1st-Jul-2009 04:20 pm - Милые пушистики
Наткнулся на изумительное (по наводке [info]fr0stb1te):

http://www.newslab.ru/news/285689

три собаки ...напали на 13-летнего подростка. Собаки почти отгрызли мальчику ноги, повреждена голова, он доставлен в реанимацию.

Охуенчик. Покалечили парня на всю жизнь, и ведь никто не будет виноват - у нас хозяева собак за своих собак не отвечают.

Мне вот интересно, как чувствует себя человек после того, как собаки, находящиеся под его присмотром, на его глазах враз сломали жизнь другому человеку? Ну, как это с психологической точки зрения? Мучается-ли он угрызениями совести?
27th-Jun-2009 09:21 pm - Mozilla придумала что-то новое в защите от XSS-скриптов
Вот, пишут тут:

http://www.opennet.ru/opennews/art.shtml?num=22308

Прочитал несколько раз, что они собираются делать - понял лишь, что проблем добавится. Тут надо подходить не так, а по-серьезному. Все скрипты, да и вообще все интернет-файлы должны б, по-хорошему, содержать дополнительную мета-информацию. А вот туда можно вписывать много нужного - условия распространения и цифровую подпись. Проверил подпись, и сразу понятно - хороший джаваскрипт, или нехороший. Все это хорошо б интегрировать с adblock+. Можно и через https скрипты пускать, но тут надо каждый скрипт в рамках клиентской сессии заново зашифровывать, а так - проверил подпись, и все.

Дедушка Столлман давно говорил, что надо в джава-скриптах включать условия лицензии. Слушайте его, мозиллодевелоперы!
This page was loaded Apr 3rd 2020, 4:57 am GMT.