IT в России и мире в реалиях мирового кризиса

Цитата: slavae от 30.07.2016 23:09:39Кто-нибудь пробовал? Для чего-нибудь нужного )

Некрософт во всей красе, бессмысленный и беспощядный
Нашел таки способ навести УЖОС на линуксоидов

Цитата: Danila96 от 09.08.2016 12:16:43Рискну прервать разные срачи, и задать такой вот вопрос, касательно темы.

У нас стартовало производство процов и прочего по технологиям 90-130 мм. Ссылка.

Сам вопрос - а имеется ли шанс у отечественного производственного ИТ сектора? Например стать мировым производителем защищенных ПК/Сетей от закладок западных производителей.

Судя по тому, насколько открыты эти "процы и прочее по технологиям 90-130 мм", а также отношение к этому процессу самих разработчиков, то определенно нет и никогда не случится.
Есть  вообще сомнения, что в принципе можно кому либо продать такой товар. Сделать такие безопасные системы/железки можно, но только для себя. Чтобы доказать покупателю, что система/микросхема безопасна, ему нужно предоставить весь проект целиком, начиная с функционального уровня и заканчивая топологией и масками, проект платы, прошивки и софт. Мало того, потребитель должен иметь возможность на своих фабриках это проект превратить в чипы, платы и системы. Собрать софт, установиь и все это оттестировать. Иное ничем не отличается от того, что, например, нам предлагает HP или IBM. 

Этот же разработчик держит в секрете даже обычную техдокументацию, которая необходима для разработки софта. В противовес этому, например, тот же интел на свои процы и микросхемы выкладывает в свободный доступ очень подробную информацию, за исключением информации о "закладках", которую, тем не менее, можно получить в рамках сотрудничества (возможно не всю, а только ту, насчет которой достоверно известно, что она существует). Это десятки тысяч страниц на процесор, сотни страниц на простые микросхемы, функционал которых входит в состав южных мостов.
Чтобы разработчики железа и систем без принуждения обратили внимание на эти "процы и прочее по технологиям 90-130 мм", разработчикам процев следует сначала выложить в сеть аналог такой документации. Не помешают функуиональные hdl-описания этих процев, чтобы народ мог с ними поиграться в сапрах -- разработать какую-нибудь контроллерную плату и потестировать ее без выхода на производство.

Цитата: Yuri__1964 от 11.08.2016 02:14:34Конкретно в этом нет конечно, во первых есть сомнения в существовании этих самых закладок, например в начале 2000-х РЖД для корпоративной сети (на все железные дороги) установило коммуникационное оборудование Cisco (тысячи единиц) и их проверяли (всё же стратегическое предприятие) не слышал чтобы что нашли, во вторых закладок стоит бояться только диктаторским режимам т.е. для таких стран да возможно Россия и могла бы поставлять, но даже тут надо конкурировать с Китаем, а это по моему не очень реально ну и мировым этот рынок назвать нельзя.

Скажу конкретно про циски. У компании есть возможность зайти на любую подключенную к сети циску и делать с ней что вздумается. Но, конечно, они это не афишируют и максимально скрывают. А так да, "закладоктамнет".

Цитата: Oleg K. от 11.08.2016 07:53:55Скажу конкретно про циски. У компании есть возможность зайти на любую подключенную к сети циску и делать с ней что вздумается. Но, конечно, они это не афишируют и максимально скрывают. А так да, "закладоктамнет".

Насколько это достоверная информация?

Цитата: Alexxey от 11.08.2016 10:27:44Насколько это достоверная информация?

Тот, кто работает в компании и может 100% подтвердить - связан NDA и никогда вам не скажет.

Я могу сказать, зная подобную кухню изнутри (занимался сетевыми железками) - такая возможность всегда есть. Это банально нужно для службы поддержки (когда в очередной раз забыли пароль для администрирования, а конфигурацию нигде не сохранили и сбросить устройство нельзя. Ну или же по другой причине нельзя "сбросить"). Собственно история с циской, которая дошла до меня - аналогичная - забыли пароль от важной железяки на важном участке. Этот пароль служба поддержки циски как раз и сбросила. Правда их пришлось ооооооооочень долго уговаривать, а они "ломались" - "мы не можем" и всё такое.

Цитата: Oleg K. от 11.08.2016 10:44:42Тот, кто работает в компании и может 100% подтвердить - связан NDA и никогда вам не скажет.

Я могу сказать, зная подобную кухню изнутри (занимался сетевыми железками) - такая возможность всегда есть. Это банально нужно для службы поддержки (когда в очередной раз забыли пароль для администрирования, а конфигурацию нигде не сохранили и сбросить устройство нельзя. Ну или же по другой причине нельзя "сбросить"). Собственно история с циской, которая дошла до меня - аналогичная - забыли пароль от важной железяки на важном участке. Этот пароль служба поддержки циски как раз и сбросила. Правда их пришлось ооооооооочень долго уговаривать, а они "ломались" - "мы не можем" и всё такое.

Т.е. речь идёт о некой железно "встроенной" учётной записи, никак не видной в конфигурации админу железки, но при этом под клятву (NDA) сообщаемой сотрудникам службы поддержки циски? Простите, не верю.

Цитата: Oleg K. от 11.08.2016 10:44:42Я могу сказать, зная подобную кухню изнутри (занимался сетевыми железками) - такая возможность всегда есть. Это банально нужно для службы поддержки (когда в очередной раз забыли пароль для администрирования, а конфигурацию нигде не сохранили и сбросить устройство нельзя.

Не знаю, как сегодня, а лет 10-15 назад все это делалось через порт RS232 с компа, на котором есть терминальная программа, без какой-либо аутентификации. Я просто брал отсоединял кабель от модема и втыкал его в маршрутизатор или коммутатор, после чего запускал обычную терминальную программу и без всяких особых телодвижений получал возможность залогиниться к роли. При этом на каждом из устройств были аппаратные возможности сбросить устройство, сохранить/восстановить конфигурацию без какого-либо логина, просто установив джамперы в позицию и набрав команду с терминала. При этом все шнурки из функциональных портов должны были быть отсоединены. В конторе был мультиплексор X.25,  маршрутизаторы и коммутаторы от разных производителей и все они могли управляться через терминалку. Что, конечно не исключало наличия трапдоров по функциональным портам и "инженерных" ролей и логинов.

Цитата: adolfus от 11.08.2016 12:48:42Не знаю, как сегодня, а лет 10-15 назад все это делалось через порт RS232 с компа, на котором есть терминальная программа, без какой-либо аутентификации. Я просто брал отсоединял кабель от модема и втыкал его в маршрутизатор или коммутатор, после чего запускал обычную терминальную программу и без всяких особых телодвижений получал возможность залогиниться к роли. При этом на каждом из устройств были аппаратные возможности сбросить устройство, сохранить/восстановить конфигурацию без какого-либо логина, просто установив джамперы в позицию и набрав команду с терминала. При этом все шнурки из функциональных портов должны были быть отсоединены. В конторе был мультиплексор X.25,  маршрутизаторы и коммутаторы от разных производителей и все они могли управляться через терминалку. Что, конечно не исключало наличия трапдоров по функциональным портам и "инженерных" ролей и логинов.

Речь идёт о "зайти на любую подключенную к сети циску и делать с ней что вздумается".

Цитата: Alexxey от 11.08.2016 11:16:02Т.е. речь идёт о некой железно "встроенной" учётной записи, никак не видной в конфигурации админу железки, но при этом под клятву (NDA) сообщаемой сотрудникам службы поддержки циски? Простите, не верю.

Я не прошу верить мне на слово. Просто предлагаю воспользоваться логикой и связать фактологическую информацию друг с другом (необходимость поддержки устройств по всему миру, возможность реализовывать бекдоры в прошивках и в железе без аудита заказчиками). Тут ведь нет никакой конспирологии - это просто бизнес, потому как позволяет быстро и дешево реализовать нужный сервис.

Тут даже кое-кто из камрадов писал про "закладки" в системах "умный дом" - чтобы не было желания у клиентов "кинуть" исполнителя.

Это не джентельменский мир - реальными делами люди занимаются и судят обо всем сугубо с практической точки зрения. И аппаратура связи всегда была и будет очень важной составляющей. И на самотек это никто отпускать не будет.

P.S. За возможность скрытного доступа к чужой сети передачи данных спецслужбы или денежку дадут какую, или бартером помогут. Поэтому не говорите мне про "честность циски". Да как и любого другого оборудования. Я лично доверяю ФСБ и не доверяю ЦРУ. Так что пусть уж лучше свои слушают.

Цитата: adolfus от 11.08.2016 12:48:42Не знаю, как сегодня, а лет 10-15 назад все это делалось через порт RS232 с компа, на котором есть терминальная программа, без какой-либо аутентификации. Я просто брал отсоединял кабель от модема и втыкал его в маршрутизатор или коммутатор, после чего запускал обычную терминальную программу и без всяких особых телодвижений получал возможность залогиниться к роли. При этом на каждом из устройств были аппаратные возможности сбросить устройство, сохранить/восстановить конфигурацию без какого-либо логина, просто установив джамперы в позицию и набрав команду с терминала. При этом все шнурки из функциональных портов должны были быть отсоединены. В конторе был мультиплексор X.25,  маршрутизаторы и коммутаторы от разных производителей и все они могли управляться через терминалку. Что, конечно не исключало наличия трапдоров по функциональным портам и "инженерных" ролей и логинов.

Ага, и насколько легко добраться до этого порта? На вышку полезете в другом городе из-за добавления пары строк в конфиге (включая командировочные расходы на дорогу и проживание) - и это при ограниченном бюджете. Я всех обстоятельств дела вам не сообщу, так как не знаю.

Кроме того выделенное как-то плохо соотносится с тем, что устройство нельзя отключать. Ну да чего тут гадать... Каждый просто для себя сам делает выводы на основе имеющейся информации.

Цитата: Oleg K. от 11.08.2016 13:09:42Я не прошу верить мне на слово. Просто предлагаю воспользоваться логикой и связать фактологическую информацию друг с другом (необходимость поддержки устройств по всему миру, возможность реализовывать бекдоры в прошивках и в железе без аудита заказчиками). Тут ведь нет никакой конспирологии - это просто бизнес, потому как позволяет быстро и дешево реализовать нужный сервис.

Это всё понятно, логично, возможно и т.д. Я просто спросил, насколько достоверна и конкретна Ваша информация про циску.

Цитата: Alexxey от 11.08.2016 13:50:09Это всё понятно, логично, возможно и т.д. Я просто спросил, насколько достоверна и конкретна Ваша информация про циску.

Конкретно про циску - было не лично со мной, так что гарантий не дам.

Это ж какое поле деятельности: вирус для монитора

Такой целью и задались ребята из американской конторы Red Balloon Security. Не стану утверждать, что они были первыми, кто попытался, но они точно стали первыми, кто добился значимых результатов и предал их огласке. Их презентация только что состоялась на DEFCON. Вот она в полном объёме (слайды из неё иллюстрируют сегодняшнюю колонку), а я перескажу самые важные моменты.

Подопытным стал Dell U2410 — обычная рабочая лошадка дисплейного племени.
---
Вооружившись отвёрткой, дизассемблером, здравым смыслом и терпением (говорят, на всё про всё ушло два года), авторы установили, что управляет им серийно выпускаемый микроконтроллер. Его firmware была препарирована и методом тыка нащупаны ключевые процедуры и участки памяти, модификация которых позволила получить контроль над монитором.

Ребята подчёркивают, что добиться этого можно с любой персоналки даже без привилегированного доступа к ней, то есть, например, с помощью вредоносной программы, попавшей на компьютер через уязвимость в браузере. Фирмварь модифицируют (если нужно, то и перепрошивая), после чего она, параллельно с основными обязанностями, начинает делать что-то ещё. Вот три трюка, продемонстрированных авторами (исходники, кстати, опубликованы).

Во-первых, можно «на лету» подменять отображаемую картинку. Скажем, нарисовать неверную сумму денег в электронном кошельке: обнаружить число и модифицировать его попиксельно.
Во-вторых, можно полностью или частично занять экран какой-нибудь постоянной надписью. Скажем, требованием о переводе суммы X на банковский счёт Y.
Наконец, в-третьих, можно заставить часть электронной схемы монитора работать как радиопередатчик — транслируя в эфир какие-нибудь важные данные (эту функцию назвали Funtenna). Злоумышленник, вооружённый хорошим приёмником, может спрятаться в соседнем помещении.
---
Стоит опасаться направленных единичных атак, организованных спецслужбами или террористическими организациями против промышленных объектов и важных объектов гражданской инфраструктуры. Тут задача сильно упрощается, во-первых, тем, что можно точно узнать, какое оборудование используется на атакуемом объекте. И во-вторых, мониторы здесь часто отображают стационарную картинку (набор регуляторов SCADA-системы и т.п.), подменить которую сравнительно легче. Остаётся только придумать способ причинить системе ущерб, введя оператора в заблуждение неверными данными на экране…


Funtenna.

Цитата: Alexxey от 11.08.2016 12:52:29Речь идёт о "зайти на любую подключенную к сети циску и делать с ней что вздумается".

Смешно. Если такая возможность предусмотрена, ее нужно явным образом разрешить, типа 22, 23 порты нараспашку открыть. Вопрос -- зачем? Искаропки там все наглухо перекрыто и войти можно только либо через отдельный терминальный разъем, либо через "собственную" локальную сеть, которая наружу не маршрутизируется.
 

Цитата: adolfus от 13.08.2016 13:42:18Смешно. Если такая возможность предусмотрена, ее нужно явным образом разрешить, типа 22, 23 порты нараспашку открыть. Вопрос -- зачем? Искаропки там все наглухо перекрыто и войти можно только либо через отдельный терминальный разъем, либо через "собственную" локальную сеть, которая наружу не маршрутизируется.

Вот и мне видится, что такая "скрытая" учётная запись лишена смысла. В сети, которая построена с пониманием, что безопасность бывает двух уровней: "hi и нехай", такая закладка либо не будет работать совсем, либо рано или поздно спалится (и уже бы где-нибудь спалилась и стала широко известной).

Цитата: Alexxey от 13.08.2016 17:11:27Вот и мне видится, что такая "скрытая" учётная запись лишена смысла. В сети, которая построена с пониманием, что безопасность бывает двух уровней: "hi и нехай", такая закладка либо не будет работать совсем, либо рано или поздно спалится (и уже бы где-нибудь спалилась и стала широко известной).

Она и стала широко известной через показания Сноудена. Как вы думаете NSA снимает мировой интернет-траффик - зеркалируя потоки с маршрутизаторов.

Цитата: Поверонов от 13.08.2016 17:18:42Она и стала широко известной через показания Сноудена. Как вы думаете NSA снимает мировой интернет-траффик - зеркалируя потоки с маршрутизаторов.

Подробности? А до показаний Сноудена все администраторы этих маршрутизаторов хлопали ушами и не видели, что их трафик зеркалируется? Или может быть Вы всё-таки немного о другом?

Цитата: Поверонов от 13.08.2016 17:18:42Она и стала широко известной через показания Сноудена. Как вы думаете NSA снимает мировой интернет-траффик - зеркалируя потоки с маршрутизаторов.

Я 21 год проработал в сотовой связи. И если по какому-то каналу с клиентов сняли бы денег за N терабайт  траффика, а провайдер выложил бы прайс за 2*N , то вопросов было бы очень много. Но такого не наблюдалось. Следовательно, не так все просто. Допускаю наличие закладок, но они не могут быть столь глобальными. Да и топологией сети закрываются большинство...

Цитата: Valery от 14.08.2016 00:29:22Я 21 год проработал в сотовой связи. И если по какому-то каналу с клиентов сняли бы денег за N терабайт  траффика, а провайдер выложил бы прайс за 2*N , то вопросов было бы очень много. Но такого не наблюдалось. Следовательно, не так все просто. Допускаю наличие закладок, но они не могут быть столь глобальными. Да и топологией сети закрываются большинство...

Интернет под колпаком

Цитата: ЦитатаНа этом же невзрачном слайде чуть ли не единственно содержательная информация говорит о том, что технология перехвата под названием DROPMIRE внедрена американской спецслужбой в факсимильный шифратор Cryptofax, засекречивающий переписку посольства Евросоюза в Вашингтоне.

Цитата: ЦитатаВторой топ-секретный слайд из коллекции Сноудена посвящен разведывательной программе АНБ под названием PRISM. С помощью наглядной блок-схемы он отображает общие принципы, на основе которых функционирует эта система-пылесос для тотальной слежки за Интернетом.

Цитата: Цитатакак выясняется, база данных АНБ фактически напрямую подключена к серверам провайдеров, но только через каналы DITU ФБР. А это означает, как свидетельствуют опубликованные Сноуденом документы, что в АНБ имеют возможность не только тотально перекачивать себе все что нужно, но и в реальном времени контролировать онлайновую жизнь своих «объектов» — сразу же получая сигналы об их заходе, скажем, в аккаунт электронной почты или об отправке очередного послания...

Цитата: Цитатаоператор связи Vodafone Greece эту программу легального подслушивания для себя не приобретал и не устанавливал, а в сети компании шпионская подсистема работала как бы невидимо и неведомо для обслуги Vodafone.

Цитата: ЦитатаПоследний из рассматриваемых здесь топ-секретных слайдов хронологически оказался слитым в прессу одним из самых первых. И по содержанию своему, пожалуй, представляется наиболее понятным для постороннего человека. Ибо суть картинки вполне внятно передает уже название слайда: «Даты, когда сбор данных в базу PRISM был начат от каждого из провайдеров» (11 сентября 2007 года — Microsoft, 14 января 2009 года — Google, 6 февраля 2011 года — Skype и так далее).

Цитата: Valery от 14.08.2016 00:29:22Я 21 год проработал в сотовой связи. И если по какому-то каналу с клиентов сняли бы денег за N терабайт  траффика, а провайдер выложил бы прайс за 2*N , то вопросов было бы очень много. Но такого не наблюдалось. Следовательно, не так все просто. Допускаю наличие закладок, но они не могут быть столь глобальными. Да и топологией сети закрываются большинство...

Насколько я понимаю, логически связанная последовательность дата-блоков называется коннектом который маршрутится через цепь маршрутизаторов. Таким образом для перехвата последовательности дата-блоков достаточно делать это лишь с одного из маршрутизаторов по маршруту, а не с каждого. Разумеется, такой "перехватчик" должен быть расположен на "толстом" канале ведущем к дата-центру NSA. Таким образом для перехвата траффика нет необходимости иметь доступ к  каждому машрутизатору - достаточно иметь возможность управлять прокладкой маршрутов так, чтобы они всегда проходили через  некие региональные перехватывающие узлы, например, на выходах бонов из океанов.