ayf Опубликовано 26 мая, 2019 · Жалоба 16 часов назад, grifin.ru сказал: Кто же в интернет управление показывает ) Во время прошлогодней эпидемии у меня вскрыли несколько свичей через vstack. Причем управление было строго в локальной сети без выхода в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 мая, 2019 · Жалоба В 24.05.2019 в 07:23, Sergey Gilfanov сказал: Ну, интерфейсы не только Ethernet бывают. Ну ты ещё тундерболт или фаерварь предложи, ггг - чтобы сразу память читать в обход проца %) В 24.05.2019 в 07:23, Sergey Gilfanov сказал: Я так думаю, что если взять в ближайшем магазине пару USB-ных китайских звуковых карт, то закладок от упомянутых "А","Ф" в них все же не будет. И получить скорость модема в 56к в лучшем случае? Лучше уже ком портами совокупится, там хотя бы до 1-2 мегабит можно выжать и почти 100% гарантия от аппаратных закладок или возможности их активировать, ибо pci-e <-> com можно хоть самому реализовать за приемлемое время. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 мая, 2019 · Жалоба 46 минут назад, Ivan_83 сказал: Ну ты ещё тундерболт или фаерварь предложи, ггг - чтобы сразу память читать в обход проца %) Про эту шутку я знаю. А интересно, HDMI на видеокарте можно в режим передачи 'только данные' задействовать? 47 минут назад, Ivan_83 сказал: И получить скорость модема в 56к в лучшем случае? Да :-), а так же теплый модемный звук и возможность, еще сильнее удавив скорость, через обычную телефонию (включая сотовую связь) данные протащить. 47 минут назад, Ivan_83 сказал: ибо pci-e <-> com можно хоть самому реализовать за приемлемое время. Я думаю в реальности будет достаточно именно Ethernet-а. Только не IP интерфейсом на порту, а в качестве более тупой трубы - через PPPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 мая, 2019 · Жалоба 6 часов назад, Sergey Gilfanov сказал: Про эту шутку я знаю. А интересно, HDMI на видеокарте можно в режим передачи 'только данные' задействовать? Там нынче и отдельный 100м эзернет есть, но я бы не стал даже смотреть на эту экзотику, слишком оно сложное и непонятное. 6 часов назад, Sergey Gilfanov сказал: Да :-), а так же теплый модемный звук и возможность, еще сильнее удавив скорость, через обычную телефонию (включая сотовую связь) данные протащить. Это врядли, да и проще тогда модемы купить и чуток их переделать чтобы они всегда видили линию. 6 часов назад, Sergey Gilfanov сказал: Я думаю в реальности будет достаточно именно Ethernet-а. Только не IP интерфейсом на порту, а в качестве более тупой трубы - через PPPoE. У тебя стандартное админское мышление: берём херню А меняем на херню Б и думаем что всё ок. С точки зрения потенциального нападающего это всё пофик, железу искать паттерн активации по разным оффсетам ни разу не проблема, а твой PPPoE даже не шифрует ничего чтобы этот паттерн похерить. В 23.05.2019 в 21:58, sdy_moscow сказал: Иными словами с аппаратуры на которой создаются и через которую передаются сообщения (за исключением прокси железки) ДОСТУПА ВО ВНЕШНИЙ МИР БЫТЬ НЕ ДОЛЖНО! Иначе никак. Это всего лишь сводит атаку к: сначала ломаем херню А, потом херню Б которая за ней спрятана. В 23.05.2019 в 23:40, jffulcrum сказал: прокси по сигнатуре фильтрует пакеты - либо на один, либо на второй. Можно по TTL, lol Ты вообще задачу читал? Автор не контролирует каналы передачи, их полностью контролируют противники. Это значит что они тебе туда нарисуют любой IP пакет, с какими угодно адресами и прочим содержимым. И уж точно твоя фильтрация по TTL на уровне фаирвола никак не поможет есть у тебя есть аппаратная закладка в сетевухе, ибо она активируется и отработает сильно раньше и даже пакет не пустит дальше в ОС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 мая, 2019 · Жалоба 27 минут назад, Ivan_83 сказал: Ты вообще задачу читал? нестандартные хитрожопости могут конечно осложнить жизнь атакующему. типа как по Бисмарку " На каждую вашу военную хитрость они ответят непредсказуемой глупостью " но увы, судя по обьёму и разнообразию слитых из АНБ уязвимостей , это вероятно лишь отсрочит взлом ( а возможно и позволит узнать о нём вовремя ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 мая, 2019 · Жалоба 59 минут назад, Ivan_83 сказал: С точки зрения потенциального нападающего это всё пофик, железу искать паттерн активации по разным оффсетам ни разу не проблема, а твой PPPoE даже не шифрует ничего чтобы этот паттерн похерить. Не, то что внутрь PPPoE туннеля уходит шифрованный трафик - это очевидно. Потому и не сказал. А не просто IP - чтобы как раз разные закладки в сетевушке, которые пытаются вдогонку к твоим пакетики послать, обламывались из за отсутствия маршрутизации. 59 минут назад, Ivan_83 сказал: Там нынче и отдельный 100м эзернет есть, но я бы не стал даже смотреть на эту экзотику, слишком оно сложное и непонятное. Так это же хорошо. Чем экзотичнее - тем вероятнее, что закладку забыли поставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 мая, 2019 · Жалоба 1 час назад, Sergey Gilfanov сказал: Так это же хорошо. Чем экзотичнее - тем вероятнее, что закладку забыли поставить. А вот куй. В HDMI даже для прямых заказчиков - коперастов DRM сделали умышленно ослабленным. Я же уже написал - serial port спасёт, потому что предельно простой и самостоятельно имплементируемый. И обвязка ему нужна совсем мизерная, где то можно ip-serial купить или в роутере подцепится ко встроенному и в опенврт чтонить доставить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 мая, 2019 · Жалоба 40 минут назад, Ivan_83 сказал: В HDMI даже для прямых заказчиков - коперастов DRM сделали умышленно ослабленным. в каком смысле ослабленным? он вроде до сих пор не сломан. ну то есть из определенного устройства сумели выковырять ключи - в принципе достаточно отозвать эти ключи и перестать из подерживать в новых прошивках мониторов и проекторов и будет полный сосайт ( будь на то воля консорциума и большинства участников ) видимо, решили не негнетать просто Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 мая, 2019 · Жалоба 42 минуты назад, LostSoul сказал: в каком смысле ослабленным? он вроде до сих пор не сломан. Причем все это не существенно. Вопрос в том, можно ли этим hdmi воспользоватся в той же схеме вместо COM порта для связи двух компов (скорость сильно больше, не?). И какие риски оно принесет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 мая, 2019 · Жалоба Смысл инкапсуляции и RS232 - это очень простой протокол и в активке просто недостаточно мозгов для аппаратной закладки (ну и конвертер можно сделать на коленке). А HDMI не самый простой протокол и смысла в него инкапсулировать Ethernet нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 мая, 2019 · Жалоба 1 час назад, Sergey Gilfanov сказал: Вопрос в том, можно ли этим hdmi воспользоватся в той же схеме вместо COM порта да в этом вообще нету никакого смысла. типа для защищенности от вторжения? бредово же. проще просто какой-нибудь PCIe соединить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 мая, 2019 · Жалоба 7 минут назад, LostSoul сказал: бредово же. проще просто какой-нибудь PCIe соединить Возможно. Идея была в том, что кабель hdmi и видеокарты продается в любом ларьке. Т.е. можно попытаться обойтись без паяния на коленке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 27 мая, 2019 · Жалоба - Скажите, какой у Вас диагноз? - Не могу! За нами следят. - Всё понятно, пациент, у Вас мания преследования. - И что делать, доктор? - Возьмите вот эту шапку-невидимку из фольги и носите постоянно. Итак, друзья: Берем готовые компоненты и решения от разных производителей, разных поставщиков, на разном софте, из разных стран. Ставим друг за другом последовательно, причем по нескольку раз, в разном порядке, вгоняем туннели в туннели, крипту в крипту и где-то, это "всевидящее око Саурона" непременно нае..нётся, т.к. разные закладки заложены разными "дядями Васями", а такие вещи "дяди Васи" друг другу не сливают. З.Ы. Раз сюда пришел Иван - теме капец - будет много слов и мало смысла, я умываю руки. Напомню кстати, что первоначальное условие - ничего не пишем и не паяем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 27 мая, 2019 · Жалоба 3 часа назад, LostSoul сказал: в каком смысле ослабленным? он вроде до сих пор не сломан. С разморозкой! https://kiwibyrd.org/2015/10/01/1092/ 1 час назад, LostSoul сказал: проще просто какой-нибудь PCIe соединить И тем самым даём полный доступ ко всей памяти в обход вообще всех запретов и контроля. Проще тогда уж сетевухами, там хотя бы программный стёк имеется и вылизан. 36 минут назад, sdy_moscow сказал: З.Ы. Раз сюда пришел Иван - теме капец - будет много слов и мало смысла, я умываю руки. Напомню кстати, что первоначальное условие - ничего не пишем и не паяем. Схему с ком портами в принципе наверное можно собрать на том барахле что доступно в магазинах и репозиториях. (Я с нульмодемной сетью не работал - не знаю как оно настраивается) Можно сделать чуть хуже но на готовом программном стёке используя старые модемы, там 56к максимум будет и новых мопедов в магазах наверное уже нет :) Схема по девайсам требует всего два девайса (как минимум) с каждой стороны и гарантирует невозможность активации никаких аппаратных закладок на устройстве которое будет контент шифровать и хранить. И остаётся только придумать чем шифровать: тлс или опенвпн или что ещё. Я за своё шифрование потому что оно исключает наличие закладок. И да, можно шифровать хоть всеми более-менее известными алгоритмами сразу, каждому отдавая разный ключ, на выходе будет знатная энтропия :) Твоя схема не подразумевает вообще никаких возможностей удостоверится что нас ещё не сломали. Да банально из условий вытекает что тебе могут продать железки уже с имплантами - компроментация цепи поставок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 мая, 2019 · Жалоба 1 час назад, Ivan_83 сказал: Схему с ком портами в принципе наверное можно собрать на том барахле что доступно в магазинах и репозиториях. (Я с нульмодемной сетью не работал - не знаю как оно настраивается) uucp через com порты должно работать. Оно для того, собственно, и было придумано. 1 час назад, Ivan_83 сказал: Можно сделать чуть хуже но на готовом программном стёке используя старые модемы, там 56к максимум будет и новых мопедов в магазах наверное уже нет :) Я не зря тыкал в minimodem и звуковую карту. Если не нравится минимодем - то, в принципе, в репозитариях есть еще небольшая кучка странного софта, которая для любительского радио предназначены - оно тоже может вместо эфира провода использовать. (Условному Сноудену, кстати, радиостанцию приобрести можно?) А из покупного - на eBay-е наверняка пачками DSL железки валяются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 мая, 2019 · Жалоба 18 часов назад, Sergey Gilfanov сказал: А из покупного - на eBay-е наверняка пачками DSL железки валяются. Я весь DSL который видел - он уже на эзернете был, там вполне себе пролезет волшебная сигнатура чтобы сетевушка чтонить натворила. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 28 мая, 2019 · Жалоба Коллеги, вы защищаете сферического коня в вакууме. Какая разница какой интерфейс использовать ? Дело не в типе интерфейса, а в доверии к аппаратным средствам, на которых интерфейс реализован, доверие к драйверу, доверие к ОС. Давайте считать что мы доверяем опенсорсу, но как мы можем доверять аппаратным средствам хоть то аппаратные средства UART контроллера, хоть Ethernet Интерфейса. Напомню что вопрос был в том, что бы вы купили из готового, а не что бы вы собрали, и он был так сформулирован именно потому, что при самостоятельной сборке тот вопрос никуда не уходит, а встает столько раз, из скольких компонентов собирается система. Все аппаратные средства, все контроллеры, все прошивки, ОС, драйвера, прикладное ПО - все это должно быть доверенным, чтоб конечное изделие было доверенным. Большинство озвученных тут предложений не приводят нас к этой цели, как мне кажется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 28 мая, 2019 · Жалоба 9 минут назад, Ivan_83 сказал: Я весь DSL который видел - он уже на эзернете был Продадим центнер разнообразного чисто для изучения раритетов. :-) Самовывоз! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 мая, 2019 · Жалоба 42 минуты назад, grifin.ru сказал: но как мы можем доверять аппаратным средствам хоть то аппаратные средства UART контроллера Если мы не доверяем чипу UART контролера, купленного в ближайшем магазине электроники, то мы уже вообще ничему доверять не можем. Остается только сшить из металлической ткани мешок-палатку Фарадея и выпускать за ее пределы только шифротекст, распечатанный на бумаге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 28 мая, 2019 · Жалоба 53 минуты назад, Sergey Gilfanov сказал: Если мы не доверяем чипу UART контролера, купленного в ближайшем магазине электроники, то мы уже вообще ничему доверять не можем. Остается только сшить из металлической ткани мешок-палатку Фарадея и выпускать за ее пределы только шифротекст, распечатанный на бумаге. Я не говорю что мы ему не доверяем, я говорю что если вы ему доверяете больше, чем какому-нибудь более интеллектуальному устройству, то обоснуйте. Чем отличается сетевушка, DSL модем и готовая Циска, что вы одному доверяете, а другому - нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 мая, 2019 · Жалоба 45 минут назад, grifin.ru сказал: Чем отличается сетевушка, DSL модем и готовая Циска, что вы одному доверяете, а другому - нет. У меня логика тут такая, что чем массовей и дешевле и проще какая-нибудь микруха, тем меньше вероятность, что в нее слишком умную закладку воткнут. Она туда просто не влезет по сложности и стоимости производства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 мая, 2019 · Жалоба 25 минут назад, Sergey Gilfanov сказал: Она туда просто не влезет по сложности и стоимости производства. Спецслужбы этим не интересуются :) Надо - будет и спецжучок, и вам его точно продадут в виде электросигареты например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 28 мая, 2019 · Жалоба 3 часа назад, YuryD сказал: Спецслужбы этим не интересуются :) Надо - будет и спецжучок, и вам его точно продадут в виде электросигареты например. Жучок придется вставлять во все сигареты подряд и достаточно заранее. Т.к. покупаться она будет в какам-нибудь случайном киоске. Нет, понятно, что что-нибудь придумать смогут. Но у всех вещей с достаточно хорошими мозгами даже придумывать, как закинуть жучок не надо - софт без дырок человечество делать так и не научилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 мая, 2019 · Жалоба 9 часов назад, grifin.ru сказал: се аппаратные средства, все контроллеры, все прошивки, ОС, драйвера, прикладное ПО - все это должно быть доверенным, чтоб конечное изделие было доверенным. Что-то такое пытаются делать индусы - https://namektech.in/category/firewall/open-source-firewalls/ . Типа, Open-Source, Open-Hardware. Правда, чем это лучше, чем DD-WRT на Raspberry PI - вопрос открытый Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 мая, 2019 · Жалоба 8 часов назад, Sergey Gilfanov сказал: Жучок придется вставлять во все сигареты подряд и достаточно заранее. Т.к. покупаться она будет в какам-нибудь случайном киоске. Нет, понятно, что что-нибудь придумать смогут. Попараноим ? Контроллер лиионаккума, и питание есть, и доступ к мозгам елефона, ну иногда и usb-зарядка попадётся :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...