Jump to content
Калькуляторы

Самый безопасный криптошлюз.

16 часов назад, grifin.ru сказал:

Кто же в интернет управление показывает )

Во время прошлогодней эпидемии у меня вскрыли несколько свичей через vstack. Причем управление было строго в локальной сети без выхода в интернет.

Share this post


Link to post
Share on other sites
В 24.05.2019 в 07:23, Sergey Gilfanov сказал:

Ну, интерфейсы не только Ethernet бывают.

Ну ты ещё тундерболт или фаерварь предложи, ггг - чтобы сразу память читать в обход проца %)

 

В 24.05.2019 в 07:23, Sergey Gilfanov сказал:

Я так думаю, что если взять в ближайшем магазине пару USB-ных китайских звуковых карт,  то закладок от упомянутых "А","Ф" в них все же не будет.

И получить скорость модема в 56к в лучшем случае?

Лучше уже ком портами совокупится, там хотя бы до 1-2 мегабит можно выжать и почти 100% гарантия от аппаратных закладок или возможности их активировать, ибо pci-e <-> com можно хоть самому реализовать за приемлемое время.

Share this post


Link to post
Share on other sites
46 минут назад, Ivan_83 сказал:

Ну ты ещё тундерболт или фаерварь предложи, ггг - чтобы сразу память читать в обход проца %)

Про эту шутку я знаю. А интересно, HDMI на видеокарте можно в режим передачи 'только данные' задействовать?

47 минут назад, Ivan_83 сказал:

И получить скорость модема в 56к в лучшем случае?

Да :-), а так же теплый модемный звук и возможность, еще сильнее удавив скорость, через обычную телефонию (включая сотовую связь) данные протащить.

 

47 минут назад, Ivan_83 сказал:

ибо pci-e <-> com можно хоть самому реализовать за приемлемое время.

Я думаю в реальности будет достаточно именно Ethernet-а. Только не IP интерфейсом на порту, а в качестве более тупой трубы - через PPPoE. 

Share this post


Link to post
Share on other sites
6 часов назад, Sergey Gilfanov сказал:

Про эту шутку я знаю. А интересно, HDMI на видеокарте можно в режим передачи 'только данные' задействовать?

Там нынче и отдельный 100м эзернет есть, но я бы не стал даже смотреть на эту экзотику, слишком оно сложное и непонятное.

 

6 часов назад, Sergey Gilfanov сказал:

Да :-), а так же теплый модемный звук и возможность, еще сильнее удавив скорость, через обычную телефонию (включая сотовую связь) данные протащить.

Это врядли, да и проще тогда модемы купить и чуток их переделать чтобы они всегда видили линию.

 

6 часов назад, Sergey Gilfanov сказал:

Я думаю в реальности будет достаточно именно Ethernet-а. Только не IP интерфейсом на порту, а в качестве более тупой трубы - через PPPoE. 

У тебя стандартное админское мышление: берём херню А меняем на херню Б и думаем что всё ок.

С точки зрения потенциального нападающего это всё пофик, железу искать паттерн активации по разным оффсетам ни разу не проблема, а твой PPPoE даже не шифрует ничего чтобы этот паттерн похерить.

 

В 23.05.2019 в 21:58, sdy_moscow сказал:

Иными словами с аппаратуры на которой создаются и  через которую передаются сообщения (за исключением прокси железки) ДОСТУПА ВО ВНЕШНИЙ МИР БЫТЬ НЕ ДОЛЖНО! Иначе никак.

Это всего лишь сводит атаку к: сначала ломаем херню А, потом херню Б которая за ней спрятана.

 

В 23.05.2019 в 23:40, jffulcrum сказал:

прокси по сигнатуре фильтрует пакеты - либо на один, либо на второй. Можно по TTL, lol

Ты вообще задачу читал?

Автор не контролирует каналы передачи, их полностью контролируют противники.

Это значит что они тебе туда нарисуют любой IP пакет, с какими угодно адресами и прочим содержимым.

И уж точно твоя фильтрация по TTL на уровне фаирвола никак не поможет есть у тебя есть аппаратная закладка в сетевухе, ибо она активируется и отработает сильно раньше и даже пакет не пустит дальше в ОС.

Share this post


Link to post
Share on other sites
27 минут назад, Ivan_83 сказал:

Ты вообще задачу читал?

нестандартные хитрожопости могут конечно осложнить жизнь атакующему.

типа как по Бисмарку " На каждую вашу военную хитрость они ответят непредсказуемой глупостью "

 

но увы, судя по обьёму и разнообразию слитых из АНБ уязвимостей ,  это вероятно лишь отсрочит взлом ( а возможно и позволит узнать о нём вовремя )

 

Share this post


Link to post
Share on other sites
59 минут назад, Ivan_83 сказал:

С точки зрения потенциального нападающего это всё пофик, железу искать паттерн активации по разным оффсетам ни разу не проблема, а твой PPPoE даже не шифрует ничего чтобы этот паттерн похерить.

Не, то что внутрь PPPoE туннеля уходит шифрованный трафик - это очевидно. Потому и не сказал. А не просто IP - чтобы как раз разные закладки в сетевушке, которые пытаются вдогонку к твоим пакетики послать, обламывались из за отсутствия маршрутизации.

 

59 минут назад, Ivan_83 сказал:

Там нынче и отдельный 100м эзернет есть, но я бы не стал даже смотреть на эту экзотику, слишком оно сложное и непонятное.

Так это же хорошо. Чем экзотичнее - тем вероятнее, что закладку забыли поставить. 

Share this post


Link to post
Share on other sites
1 час назад, Sergey Gilfanov сказал:

Так это же хорошо. Чем экзотичнее - тем вероятнее, что закладку забыли поставить.

А вот куй.

В HDMI даже для прямых заказчиков - коперастов DRM сделали умышленно ослабленным.

 

Я же уже написал - serial port спасёт, потому что предельно простой и самостоятельно имплементируемый. И обвязка ему нужна совсем мизерная, где то можно ip-serial купить или в роутере подцепится ко встроенному и в опенврт чтонить доставить.

Share this post


Link to post
Share on other sites
40 минут назад, Ivan_83 сказал:

В HDMI даже для прямых заказчиков - коперастов DRM сделали умышленно ослабленным. 

в каком смысле ослабленным?

он вроде до сих пор не сломан.

ну то есть из определенного устройства сумели выковырять ключи - в принципе достаточно отозвать эти ключи и перестать из подерживать в новых прошивках мониторов и проекторов и будет полный сосайт ( будь на то воля консорциума и большинства участников )

видимо, решили не негнетать просто

 

 

Share this post


Link to post
Share on other sites
42 минуты назад, LostSoul сказал:

в каком смысле ослабленным?

он вроде до сих пор не сломан.

Причем все это не существенно. Вопрос в том, можно ли этим hdmi воспользоватся в той же схеме вместо COM порта для связи двух компов (скорость сильно больше, не?). И какие риски оно принесет.

Share this post


Link to post
Share on other sites

Смысл инкапсуляции и RS232 - это очень простой протокол и в активке просто недостаточно мозгов для аппаратной закладки (ну и конвертер можно сделать на коленке).

А HDMI не самый простой протокол и смысла в него инкапсулировать Ethernet нет.

Share this post


Link to post
Share on other sites
1 час назад, Sergey Gilfanov сказал:

Вопрос в том, можно ли этим hdmi воспользоватся в той же схеме вместо COM порта

да в этом вообще нету никакого смысла.

типа для защищенности от вторжения?

бредово же.

проще просто какой-нибудь PCIe соединить

 

Share this post


Link to post
Share on other sites
7 минут назад, LostSoul сказал:

бредово же.

проще просто какой-нибудь PCIe соединить

Возможно. Идея была в том, что кабель hdmi и видеокарты продается в любом ларьке. Т.е. можно попытаться обойтись без паяния на коленке.

Share this post


Link to post
Share on other sites

- Скажите, какой у Вас диагноз?

- Не могу! За нами следят.

- Всё понятно, пациент, у Вас мания преследования.

- И что делать, доктор?

- Возьмите вот эту шапку-невидимку из фольги и носите постоянно.

 

Итак, друзья:

Берем готовые компоненты и решения от разных производителей, разных поставщиков, на разном софте, из разных стран. Ставим друг за другом последовательно, причем по нескольку раз, в разном порядке, вгоняем туннели в туннели, крипту в крипту и где-то, это "всевидящее око Саурона" непременно нае..нётся, т.к. разные закладки заложены разными "дядями Васями", а такие вещи "дяди Васи" друг другу не сливают.

 

З.Ы. Раз сюда пришел Иван - теме капец - будет много слов и мало смысла, я умываю руки. Напомню кстати, что первоначальное условие - ничего не пишем и не паяем.

 

Share this post


Link to post
Share on other sites
3 часа назад, LostSoul сказал:

в каком смысле ослабленным?

он вроде до сих пор не сломан.

С разморозкой!

https://kiwibyrd.org/2015/10/01/1092/

 

1 час назад, LostSoul сказал:

проще просто какой-нибудь PCIe соединить

И тем самым даём полный доступ ко всей памяти в обход вообще всех запретов и контроля.

Проще тогда уж сетевухами, там хотя бы программный стёк имеется и вылизан.

 

 

36 минут назад, sdy_moscow сказал:

З.Ы. Раз сюда пришел Иван - теме капец - будет много слов и мало смысла, я умываю руки. Напомню кстати, что первоначальное условие - ничего не пишем и не паяем.

Схему с ком портами в принципе наверное можно собрать на том барахле что доступно в магазинах и репозиториях. (Я с нульмодемной сетью не работал - не знаю как оно настраивается)

Можно сделать чуть хуже но на готовом программном стёке используя старые модемы, там 56к максимум будет и новых мопедов в магазах наверное уже нет :)

Схема по девайсам требует всего два девайса (как минимум) с каждой стороны и гарантирует невозможность активации никаких аппаратных закладок на устройстве которое будет контент шифровать и хранить.

И остаётся только придумать чем шифровать: тлс или опенвпн или что ещё.

Я за своё шифрование потому что оно исключает наличие закладок. И да, можно шифровать хоть всеми более-менее известными алгоритмами сразу, каждому отдавая разный ключ, на выходе будет знатная энтропия :)

 

Твоя схема не подразумевает вообще никаких возможностей удостоверится что нас ещё не сломали.

Да банально из условий вытекает что тебе могут продать железки уже с имплантами - компроментация цепи поставок.

Share this post


Link to post
Share on other sites
1 час назад, Ivan_83 сказал:

Схему с ком портами в принципе наверное можно собрать на том барахле что доступно в магазинах и репозиториях. (Я с нульмодемной сетью не работал - не знаю как оно настраивается)

uucp через com порты должно работать. Оно для того, собственно, и было придумано.

1 час назад, Ivan_83 сказал:

Можно сделать чуть хуже но на готовом программном стёке используя старые модемы, там 56к максимум будет и новых мопедов в магазах наверное уже нет :)

Я не зря тыкал в minimodem и звуковую карту. Если не нравится минимодем - то, в принципе, в репозитариях есть еще небольшая кучка странного софта, которая для любительского радио предназначены - оно тоже может вместо эфира провода использовать. (Условному Сноудену, кстати, радиостанцию приобрести можно?)

 

А из покупного - на eBay-е наверняка пачками DSL железки валяются.

Share this post


Link to post
Share on other sites
18 часов назад, Sergey Gilfanov сказал:

А из покупного - на eBay-е наверняка пачками DSL железки валяются.

Я весь DSL который видел - он уже на эзернете был, там вполне себе пролезет волшебная сигнатура чтобы сетевушка чтонить натворила.

Share this post


Link to post
Share on other sites

Коллеги, вы защищаете сферического коня в вакууме. Какая разница какой интерфейс использовать ? Дело не в типе интерфейса, а в доверии к аппаратным средствам, на которых интерфейс реализован, доверие к драйверу, доверие к ОС. Давайте считать что мы доверяем опенсорсу, но как мы можем доверять аппаратным средствам хоть то аппаратные средства UART контроллера, хоть Ethernet Интерфейса.

Напомню что вопрос был в том, что бы вы купили из готового, а не что бы вы собрали, и он был так сформулирован именно потому, что при самостоятельной сборке тот вопрос никуда не уходит, а встает столько раз, из скольких компонентов собирается система. Все аппаратные средства, все контроллеры, все прошивки, ОС, драйвера, прикладное ПО - все это должно быть доверенным, чтоб конечное изделие было доверенным. Большинство озвученных тут предложений не приводят нас к этой цели, как мне кажется. 

Share this post


Link to post
Share on other sites
9 минут назад, Ivan_83 сказал:

Я весь DSL который видел - он уже на эзернете был

Продадим центнер разнообразного чисто для изучения раритетов. :-)

Самовывоз!

Share this post


Link to post
Share on other sites
42 минуты назад, grifin.ru сказал:

но как мы можем доверять аппаратным средствам хоть то аппаратные средства UART контроллера 

Если мы не доверяем чипу UART контролера, купленного в ближайшем магазине электроники, то мы уже вообще ничему доверять не можем. Остается только сшить из металлической ткани мешок-палатку Фарадея и выпускать за ее пределы только шифротекст, распечатанный на бумаге.

Share this post


Link to post
Share on other sites
53 минуты назад, Sergey Gilfanov сказал:

Если мы не доверяем чипу UART контролера, купленного в ближайшем магазине электроники, то мы уже вообще ничему доверять не можем. Остается только сшить из металлической ткани мешок-палатку Фарадея и выпускать за ее пределы только шифротекст, распечатанный на бумаге.

Я не говорю что мы ему не доверяем, я говорю что если вы ему доверяете больше, чем какому-нибудь более интеллектуальному устройству, то обоснуйте. Чем отличается сетевушка, DSL модем и готовая Циска, что вы одному доверяете, а другому - нет.

Share this post


Link to post
Share on other sites
45 минут назад, grifin.ru сказал:

Чем отличается сетевушка, DSL модем и готовая Циска, что вы одному доверяете, а другому - нет.

У меня логика тут такая, что чем массовей и дешевле и проще какая-нибудь микруха, тем меньше вероятность, что в нее слишком умную закладку воткнут. Она туда просто не влезет по сложности и стоимости производства.

Share this post


Link to post
Share on other sites
25 минут назад, Sergey Gilfanov сказал:

 Она туда просто не влезет по сложности и стоимости производства.

 Спецслужбы этим не интересуются :) Надо - будет и спецжучок, и вам его точно продадут в виде электросигареты например.

Share this post


Link to post
Share on other sites
3 часа назад, YuryD сказал:

 Спецслужбы этим не интересуются :) Надо - будет и спецжучок, и вам его точно продадут в виде электросигареты например.

Жучок придется вставлять во все сигареты подряд и достаточно заранее. Т.к. покупаться она будет в какам-нибудь случайном киоске.  Нет, понятно, что что-нибудь придумать смогут. Но у всех вещей с достаточно хорошими мозгами даже придумывать, как закинуть жучок не надо - софт без дырок человечество делать так и не научилось.

Share this post


Link to post
Share on other sites
9 часов назад, grifin.ru сказал:

се аппаратные средства, все контроллеры, все прошивки, ОС, драйвера, прикладное ПО - все это должно быть доверенным, чтоб конечное изделие было доверенным.

Что-то такое пытаются делать индусы - https://namektech.in/category/firewall/open-source-firewalls/ . Типа, Open-Source, Open-Hardware. Правда, чем это лучше, чем DD-WRT на Raspberry PI - вопрос открытый

Share this post


Link to post
Share on other sites
8 часов назад, Sergey Gilfanov сказал:

Жучок придется вставлять во все сигареты подряд и достаточно заранее. Т.к. покупаться она будет в какам-нибудь случайном киоске.  Нет, понятно, что что-нибудь придумать смогут.

Попараноим ? Контроллер лиионаккума, и питание есть, и доступ к мозгам елефона, ну иногда и usb-зарядка попадётся :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now