Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал (https://www.oneconsult.com/de/smart-tv-hacking/) практическую возможность совершения атаки на умные телевизоры, позволяющей получить полный контроль за устройством через подстановку команд HbbTV (https://ru.wikipedia.org/wiki/HbbTV) при обработке потоков DVB-T (https://ru.wikipedia.org/wiki/DVB-T) (Digital Video Broadcasting — Terrestrial), позволяющих инициировать обработку произвольных web-страниц в поставляемом на Smart TV браузере.Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, применяемых на умных телевизорах. В использемом для демонстрации телевизоре Samsung движок HbbTV был основан на устаревшей версии WebKit, поэтому в ходе эксперимента проблем с поиском уязвимостей не возникло. По данным исследователя около 90% всех умных телевизоров потенциально подвержены подобным атакам.
Для выполнения кода на телевизоре достаточно, добиться обработки на устройстве специально оформленного потока DVB-T. Атакующий может взломать инфраструктуру вещательной компании, завлечь пользователя на специально подготовленный подставной канал или просто подменить сигнал цифрового телевидения при помощи портативного передатчика. Например, в ходе доклада продемонстрирована возможность использования квадрокоптера с закреплённым передатчиком DVB-T, который может подлететь к антенне телевизора и осуществить подмену определённых каналов.
Кроме DVB-T, потенциально могут быть атакованы и системы, работающие по протоколам DVB-C (https://ru.wikipedia.org/wiki/DVB-C) (Digital Video Broadcasting - Cable) и IPTV, с которыми также можно использовать расширения гибридного телевидения HbbTV. Примечательно, что предупреждения о возможности проведения атак через подстановку команд HbbTV высказывались и ранее, но координирующий развитие HbbTV консорциум проигнорировал их в виде отсутствия работающих эксплоитов. В качестве одной из мер для усложнения атак предлагается ввести проверку контента по цифровой подписи.
С практической стороны атаки на умные телевизоры могут применяться для включения устройств в ботнет сети для совершения DDoS-атак, для того чтобы шпионить за пользователями (например, можно передавать данные со встроенного микрофона и web-камеры), для продолжения атаки на внутреннюю сеть, для подстановки своей рекламы и т.п. Примечательно, что у пользователя практически лишены возможности восстановления телевизора после взлома, так как после успешной атаки злоумышленник может блокировать установку обновлений или существенно усложнить удаление установленного бэкдора. Совершению же атаки способствует достаточно большие сроки доставки обновлений у всех основных производителей Smart TV, что позволяет использовать уже известные уязвимости в WebKit.URL: https://www.bleepingcomputer.com/news/security/about-90-perc.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=46287
Если раньше SmartTv были тупыми игрушками для хыпстеров, то теперь превратились в огромные дыры в безопасности(глупо думать, что производители будут оперативно выпускать обновления через год после выхода модели).
Как все не знаю, а вот сони воплне себе обновляет сматр тв 2013 года, самс тоже регулярно обновляет тв 15 года
Вопрос в том что он там обновляет, вот LG к примеру в прошлом году обновило выпилив поддержку Skype.
> LG к примеру в прошлом году обновило выпилив поддержку Skype.Пффф. Вот клоуны! Они на полном серьёзе думают, что телевизор без скайпа кому-то нужен?
Ну, допустим, и Samsung тоже скайп выпилил, так что думаю, что это всё от Майкрософт идёт изначально.
> Они на полном серьёзе думают, что телевизор без скайпа кому-то нужен?Да, очень многим.
Все же юзеркейс, когда группа людей могут по видео побазарить, не такой уж популярный.
> Вопрос в том что он там обновляет, вот LG к примеру в
> прошлом году обновило выпилив поддержку Skype.А при чём тут LG? Это требование владельца skype - microsoft.
Какая разница, всёравно всех вас с "web" камеры ТВ - видно всем желающим и слышно.
так же как и с любой [в лаптопе/мобилке]
и ничего вы не сделаете.. продолжая пользоваться,
рабы анонимных удалённых на [миллионы] километров хозяев...
(причём заведомо из ваших недоброжелателей, кучи разных групп).И не только вас, а и ваших детишек - в т.ч. педиками, лесбиянкам и прочим сатанистам для их целей, которые вам вряд ли понравятся...
Вы - будете наказанны, за свою халатность и потворство своим удобствам.
Если не сами лично - через детей и внуков.
> ничего вы не сделаетеУ меня заклеены камеры :P
>> ничего вы не сделаете
> У меня заклеены камеры :PИ микрофон?... (Его кстати не заклеить, точней заклеив - не заблокируешь). И в мобилке?...
А, вы в курсе что совремнные камеры снимают не только видимый глазом, световой спектр,
это намёк на например инфракрасный или л.др.на которой её настроит производитель - способный пройти насквозь через вашу заклейку() пусть не весь, но всё же частью.
Но, суть не в этом - заклейкой вы привлекаете внимание...
Но даже если бы не это всё - то жидкористаллические матрицы экранов (ТВ/монитора,смартфона-мобилки) - сами по себе способны работать в режиме видеокамеры, ведь по сути любая видеокамера это таже матрица только в миниатюре, для большего качества. Но, совремнные мониторы, планшеты и мобилки с их FullHD и выше
- несомневайтесь обеспечат приемлемое для различения лиц качество и тут.
Можно поподробнее про жидкористаллические матрицы экранов, которые сами по себе способны работать в режиме видеокамеры?
> Можно поподробнее про жидкористаллические матрицы экранов, которые сами по себе способны
> работать в режиме видеокамеры?Наверное, он имел в виду жидокристаллические матрицы
Как смешно...Я имел ввиду - то что сказал.
Матрица экрана, являющаяйся по сути обычной СБИС, сверх-большая интегральная схема, с миллионами транзисторов,
- таже микро-схема обычных камер. Просто менее компактная.
(как и у многих других диэлектриков - вопреки обучению в щколе и т.д.: могут измерять световой поток, например даже древние металлические транзисторы при спиливании крышки могут использоваться как датчик фототранзистор, даже обычные светодиоды).На западе давно эту тему изучали даже официально - для экономии на видеокамерах типа Web-монитор, [в мобилках]. Получаемое изображение тогда *официально* было признанно сильно мутным. Но это тогда ещё - до нынешних разрешений [Full]HD и выше...
(впрочем и того качества, даже официально заявляемого - хватало для отслеживани движения силуэтов, впрочем подобное умеет делать и микрофон+ультразвук из динамика, как и WiFi точки, неформально тоже, хоть в последнее время всё формальней).
А, позже видеокамеры - уменьшились и подешевели... В добавок оказалсь что среднестатистические покемоны - сами стали позволять пихать их себе везде, даже в Ж., но для старичков или продвинутых покупающих мобилки без видеокамер или заклеивающих - экран-spy камера самое то, так ведь?...
> И микрофон?Микрофон не считается таким уж прайвэси опасным фактором на практике. Больше выдумка параноиков.
А на смартфоне у меня тоже передняя камера залеплена. Задняя оставлена.
> передняя ... залеплена. Задняя оставлена.Поняши такие затейники!
> рабы анонимных удалённых на [миллионы] километров хозяев...
> (причём заведомо из ваших недоброжелателей, кучи разных групп).Хозяева на Марсе, Венере или аж на спутниках Юпитера?
Хотя, Личный Враг Рептилоида Болот Венеры - звучит гордо!
>педиками, лесбиянкам и прочим сатанистамА-ХА-ХА-ХА...
Смех без причины...
Если устройство подключено по Ethernet или Wi-Fi к интернету, то глупо думать, что оно ничего не умеет. Это ж полноценный компьютер. И рано или поздно появятся желающие использовать его в своих корыстных интересах или просто поразвлечься (скрыпт-киддисы).
> Если устройство подключено по Ethernet или Wi-Fi к интернету, то глупо думать, что оно ничего не умеет.Может и тебе подключиться?
>> Если устройство подключено по Ethernet или Wi-Fi к интернету, то глупо думать, что оно ничего не умеет.
> Может и тебе подключиться?А сейчас он через либастрал сообщения ваяет?
Поэтому телевизор - зло. А "умный телевизор" - умное зло (а от этого оно ещё опаснее обычного старого телевизора). Сам не смотрю лет 5 или больше, чего и другим желаю. Книги читать намного интереснее.
Дай угадаю, выбросил в окно?
"Три порции шашлыка - выбросила в пропасть".P.S. Просто времени на телевизор не осталось :)
Если это единственная причина, Вам сочувствовать надо...
> Работаешь как раб или бухаешь по чёрному?Всё сразу.
> Если это единственная причина, Вам сочувствовать надо...Выражение "нет времени" не всегда означает, что человек - краб и прикован к галере. Часто это означает "нет времени на глупости" или "лучше я потрачу время на ..."
> "Три порции шашлыка - выбросила в пропасть".
> P.S. Просто времени на телевизор не осталось :)На музеи небось тоже времени нет? :-)
Есть. Но при чем тут телевизор? Он ведь скорее к _домашнему_ досугу относится. Да и это уже совсем оффтопистый оффтоп :)В первоначальный пост о "вреде" телевизора я вкладывал примерно вот такой смысл - http://quadractivision.narod.ru/images/106/3-34143.jpg
Если совсем не смотреть, то фантазия будет околонулевая. Тебе же в снах ничего неизвестное не видится.
> Если совсем не смотреть, то фантазия будет околонулевая. Тебе же в снах
> ничего неизвестное не видится.Почему надо именно смотреть именно телевизор? Можно в театр ходить, слушать музыку, читать. Телевизор - это не только развитие фантазии, часто это - умственная деградация. Лучше умного философа, футуролога, учёного почитать, послушать какой-нибудь прогрессив-рок или посмотреть спектакль по пьесе Чехова, например. По телеку, даже по кабельным каналам, в основном показывают рекламу, новости, ток-шоу и "звёзд" - отличный набор для отупения.
> Почему надо именно смотреть именно телевизор? Можно в театр ходить, слушать музыку,
> читать.Театр это лишь более убогий вариант кино, примерно как телега на фоне автомобиля. Музыка и чтение не дают новых визуальных образов.
Но из выше сказанного не следует, что надо смотреть телевизор, просто показана слабость конкретно этой аргументации против него.
>> Почему надо именно смотреть именно телевизор? Можно в театр ходить, слушать музыку,
>> читать.
> Театр это лишь более убогий вариант кино, примерно как телега на фоне
> автомобиля. Музыка и чтение не дают новых визуальных образов.Театр - это искусство. Знаешь как отличить искусство от его суррогата? Искусство - это когда человек умеет сделать что-то правильно от начала и до конца, без монтажа и десятков попыток. Если человек умеет играть на музыкальном инструменте, то он может исполнить на нём музыкальное произведение целиком и без ошибок. Если не умеет - его удел сидеть в студии и заниматься склейкой удачных фрагментов или рисовать прямоугольники в музыкальной программе. Вот и кино - это тоже суррогат.
> Но из выше сказанного не следует, что надо смотреть телевизор, просто показана
> слабость конкретно этой аргументации против него.Визуальные образы - это не средство развития мышления или культуры. Визуальные образы в комиксах есть, а воспитываются на них слабоумные. А по некоторым книгам, где кроме чёрных букв на белом фоне ничего нет, зачастую воспитываются высокоморальные и умные люди.
> Театр - это искусство.Как и кино.
> Знаешь как отличить искусство от его суррогата? Искусство - это когда человек умеет сделать что-то правильно от начала и до конца, без монтажа и десятков попыток.
Ты только что всю литературу отправил в суррогаты, а копии картин и ремесленников, которые их штампуют, записал в искусство. Как говорил персонаж одного суроогата по мотивам другого суррогата: "Сказочный долбо..".
>А "умный телевизор" - умное злоВы слишком высокого мнения о Смарт ТВ.
Хреново, когда телевизор или холодильник умнее своего хозяина.
>Хреново, когда телевизор или холодильник умнее своего хозяина.Это смотря какой хозяин. А то может хоть кто-то умный в квартире будет.
> Хреново, когда телевизор или холодильник умнее своего хозяина.Это не "хреново", это правило без исключений.
Судя по тому, что вы написали это на форуме, имеются в виду электронные книги.
книги зло, а умные книги - умное зло, электронные книги - электронное зло! Если оно еще и умное то неизбежно заражение. Моя борьба... Государство и революция... Все это можно запихать и в книгу, и в телеизор, и в самртфон....
А там прямой маршрут к разуму атакуемого, можно эксплуатировать любые дыры и головного мозга, и разума, и души!
> книги зло, а умные книги - умное зло, электронные книги - электронное
> зло! Если оно еще и умное то неизбежно заражение. Моя борьба...
> Государство и революция... Все это можно запихать и в книгу, и
> в телеизор, и в самртфон....
> А там прямой маршрут к разуму атакуемого, можно эксплуатировать любые дыры и
> головного мозга, и разума, и души!Книга сама по себе повышает уровень критического восприятия того, что в ней написано. А вот телевизор наоборот - снижает уровень критического восприятия.
Один из способов отключить критическое восприятие - это увеличить скорость подачи информации. Человек не успевает обрабатывать информацию в том темпе, в котором её подают, и первым отключается критическое мышление.
Другой способ - это показ эмоционально насыщенных сюжетов, например, где люди умирают или дерутся.
В фильме можно фоном пустить музыку, вызывающую у слушателя нужные эмоции - грусть, злость, радость.
Часто для того, чтобы повлиять на восприятие какой-то идеи, чтобы человек посчитал её неудачной, достаточно показать изображение лица человека, пропагандирующего эту идею, в неудачный момент. У всех бывают фотографии, когда человек зевает или собирается чихнуть, или когда произносит какую-то фразу и вовремя пойманное движение его губ производит неприятное впечатление.
В то же время, для агитации за другие идеи можно использовать постановочные фотографии, где на проводника этих идей будет наложен грим, его хорошо оденут, придадут ему успешную позу и подберут подходящий фон.
Поэтому идеи "Майн кампф" более успешно будут распространяться именно через телевизор - через него доступно больше приёмов для манипуляции восприятием. Книга - это просто чёрные буквы на белом фоне, можно воздействовать только через логический канал восприятия, а эмоциональный канал будет в значительной мере ослаблен.
В классической книге нет музыки, грима и прочего. В электронных не сложно добавить. В классических же книгах иллюстрации никто не отменял. Никто не отменял использование подмены понятий, введение в заблуждение, навязывание, прямой и скрытый обман, цитаты вырванные из контекста. Все это позволяет продвигать в сознание по началу чуждые вещи. Демагогия и управление людьми/овцами процветает с давних времен.
> Судя по тому, что вы написали это на форуме, имеются в виду
> электронные книги.Именно они: всегда есть с собой, огромный выбор, не требует больших денежных средств. Ну и многие произведения оставляют более богатые впечатления, чем их экранизации. Но и наоборот, наверное, бывает. Кстати, друзей и знакомых, не читающих книги, у меня нет - так что я бы назвал чтение очень распространенным увлечением.
P.S. Я имею ввиду именно чтение художественной литературы - понятно, что всякие спеки/доки/учебные материалы к ним не относятся.
> Кстати, друзей и знакомых, не читающих книги, у меня нет - так что я бы назвал
> чтение очень распространенным увлечением.Такой вывод показывает, что с логикой ты не дружишь. Нельзя делать выводы о всех по очень ограниченной выборке, особенно по своему окружению.
Где вы в моем сообщении увидели "все"? Очень распространенное - это ещё не все :)Хотя спорить не вижу смысла - статистику подобного рода никто всё равно не собирает, так что всё это рассуждения, взятые с потолка.
> Для выполнения кода на телевизореЭтот дивный мир
>> Для выполнения кода на телевизоре
> Этот дивный мир"Со временем оно перевернет жизнь человечества. Не будет ни книг, ни газет, ни театра, ни кино. Телевидение! Одно сплошное телевидение..." © высказывание из кинофильма "Москва слезам не верит", 1979г.
Нужно было сразу называть телекранами, а не SmartTV.
На видео платформа Samsung до 2015 года (aka Orsay)
> Нужно было сразу называть телекранами, а не SmartTV.Мегазачёт! (https://ru.wikipedia.org/wiki/%D0%A2%D0%...
> "Не смотри телевизор! Не слушай радио! Не читай газет! Старший Брат очень близко. Закрой шторы, погаси свет." — Ляпис Трубецкой, альбом «Матрёшка», 2014.P.S.: http://lurkmore.to/1984
Мне хорошо, у меня нет смарт TV, просто обычный LCD-телевизор с отдельной приставкой для смарт TV на базе Android. WebKit на ней обновляется регулярно, также как и Kodi. Так что мне бояться нечего) С точки зрения соотношения цена-качество такой вариант пока является оптимальным.
> Мне хорошо, у меня нет смарт TV, просто обычный LCD-телевизор с отдельной
> приставкой для смарт TV на базе Android. WebKit на ней обновляется
> регулярно, также как и Kodi. Так что мне бояться нечего) С
> точки зрения соотношения цена-качество такой вариант пока является оптимальным.Сейчас невозможно купить телевизор без смарт тв с нормальной матрицей, хотел тут купить что-то размером в 60 дюймов с хорошей матрицей hdmi, DVB-T2 и пассивным 3D (мне нужно, мне нравится а ещё детям нравится, есть опыт с 47" FHD), так нет таких без смарт тв, с 2016-го года LG оставил поддержку 3D только в 8-й и 9-й сериях.
Стоп. На Гиктаймсе вой на ту же тему.
Но там интереснее: утверждается, что можно довольно просто получить рут-права.
Где найти подробные инструкции?
теперь флешку во взломанный ТВ не поставишь, кругом зараза
> теперь флешку во взломанный ТВ не поставишь, кругом заразаГде связь?
В кабелях, в эфире... Везде, короче.
>В качестве одной из мер для усложнения атак предлагается ввести проверку контента по цифровой подписи.
>для того чтобы шпионить за пользователями (например, можно передавать данные со встроенного микрофона и web-камеры)А если вещательная компания "взломана" спецслужбами?
Ну т.е. вы в эту объективную реальность не верите? Какие "если", важнее - зачем _им_ ломать, когда так и так все под контролем?
Что значит "Если"?
>В качестве одной из мер для усложнения атак предлагается ввести проверку контента HbbTV по цифровой подписи.Опять свой DRM пропихнуть хотят
>>В качестве одной из мер для усложнения атак предлагается ввести проверку контента HbbTV по цифровой подписи.
> Опять свой DRM пропихнуть хотятЦифровые подписи вообще-то к ДРМ отношение имеют примерно как паяльник к криптоанализу.
Вы конечно не поверите, но если у вас не какой-то экзотический (или упoрото-олдскульный) дистр, то цифровые подписи (обновлений, реп) уже добрались до вас, бегите!
Sony и ломать не надо. Они последней прошивкой сами окирпичили множество 40" моделей.
Эта зверушка HbbTV в дикой природе вообще встречается?
- Продажи телевизоров выросли!
- Да, я тоже свой продал...
скоро умные телевизоры начнут сбиваться в стаи(ботнеты) и атаковать свои телецентры
самое весёлое начнётся, когда ко всей этой электронной чепухе
начнут приделывать манипуляторы, или давать возможность двигаться..
Мда, облом. А я думал телек вместо моника покупать. Вирус кстати могут зафигачить еще в магазине
Зафигачь свой и запрети зафигачивать другие.
И ты собрался в моник антенну втыкать и к инету его подключать?
Вместо моника? Обычно у телевизоров преотвратнейшие матрицы, которые кое как годятся для просмотра тв, фильмов и "фоточек с мобилочек". И всё.
Интересно в режиме монитора это все работает. Смарт тв мне нафиг не нужно
Хорошо, что пока нет смарт проекторов.
После покупки проектора и обустройства для него нормального экрана - смотреть на какие-то там смарт-тв-панели просто смешно.
> Хорошо, что пока нет смарт проекторов.
> После покупки проектора и обустройства для него нормального экрана - смотреть на
> какие-то там смарт-тв-панели просто смешно.Скажите, а проектор умеет в качестве постоянного монитора работать? Лампа не гавкнется?
LCD-проекторы - умеют. Но в темноте работать для зрения не оч хорошо
Чего она должна ...:-). В течении заявленного ресурса можно смотреть не выключая.
Разобрали как-то линуксоиды телевизор, а там..!
используйте свой роутер с iptables vuurmuur позволяет отследить и заблокировать любые соединения и не какого ддоса и прочих страшилок
> используйте свой роутер с iptables vuurmuur позволяет отследить и заблокировать любые соединения
> и не какого ддоса и прочих страшилокпроще не подключать тв к локальной сети. я свой не подлючаю и не парюсь совершенно. если надо фильм посмотреть я подключу портативный хдд или рс по хдми.
да и пользоваться этим смарт тв просто не возможно. там реклама прет из-зо всех щелей, особенно на ютубе. и ее не отключить как на рс, с помошью адблока и подобных -- там такого софта банально нет.
>> используйте свой роутер с iptables vuurmuur позволяет отследить и заблокировать любые соединения
>> и не какого ддоса и прочих страшилок
> проще не подключать тв к локальной сети. я свой не подлючаю и
> не парюсь совершенно. если надо фильм посмотреть я подключу портативный хдд
> или рс по хдми.
> да и пользоваться этим смарт тв просто не возможно. там реклама прет
> из-зо всех щелей, особенно на ютубе. и ее не отключить как
> на рс, с помошью адблока и подобных -- там такого софта
> банально нет.Согласен полностью.У меня поднят на пк minidlna который видит смарт и читает оттуда 3д.iso
блюрэй фильмы кстати родным плеером самса ну блюрэй подшаманить приходится конечно (распаковывать и переименовывать ssif в m2ts) и телеканалы провайдера по интернету на нем же так как телевизионный кабель и радио я вырвал с корнем так что спасает iptables правда долго пришлось статистику набирать через vuurmuur чтоб забанить самс и всяко разно да и вывод самс кудато что то отправляет постоянно заблокировал эти айпишники и усе ну и vuurmuur конечно силен по настройкам защит iptables ну проф вручную конечно может более тонко настроить фаерволл.
А поделитесь правилами блокировки, пожалуйста.
> А поделитесь правилами блокировки, пожалуйста.это общие не судите строго сам пока еще эксперементирую
# Generated by iptables-save v1.4.21 on Fri Mar 31 23:41:45 2017
*filter
:INPUT DROP [1331:126573]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:ACC-eth0 - [0:0]
:ACC-eth1 - [0:0]
:ANTISPOOF - [0:0]
:BLOCK - [0:0]
:BLOCKLIST - [0:0]
:ESTRELNFQUEUE - [0:0]
:NEWACCEPT - [0:0]
:NEWNFQUEUE - [0:0]
:NEWQUEUE - [0:0]
:PRE-VRMR-FORWARD - [0:0]
:PRE-VRMR-INPUT - [0:0]
:PRE-VRMR-OUTPUT - [0:0]
:SYNLIMIT - [0:0]
:TCPRESET - [0:0]
:UDPLIMIT - [0:0]
[7519:13801108] -A INPUT -j PRE-VRMR-INPUT
[0:0] -A INPUT -i lo -j ACCEPT
[126636:16843063] -A INPUT -i eth1 -j ACC-eth1
[4469512:10066682665] -A INPUT -i eth0 -j ACC-eth0
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe ALL " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-FIN " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-RST " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN-RST " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe PSH " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
[0:0] -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe URG " --log-level 6
[0:0] -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
[0:0] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP no SYN " --log-level 6
[0:0] -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[0:0] -A INPUT -f -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP FRAG " --log-level 6
[0:0] -A INPUT -f -j DROP
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -m connmark ! --mark 0x0 -j ESTRELNFQUEUE
[5962:13552311] -A INPUT -m mark --mark 0x0/0xff000000 -m state --state ESTABLISHED -j ACCEPT
[0:0] -A INPUT -m mark --mark 0x0/0xff000000 -m state --state RELATED -j NEWACCEPT
[4:200] -A INPUT -m state --state INVALID -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP in INVALID " --log-level 6
[4:200] -A INPUT -m state --state INVALID -j DROP
[1553:248597] -A INPUT -j BLOCKLIST
[1553:248597] -A INPUT -j ANTISPOOF
[0:0] -A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/24 -d 255.255.255.255/32 -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/24 -d 192.168.0.1/32 -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A INPUT -s 0.0.0.0/32 -d 192.168.0.1/32 -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[8:480] -A INPUT -s 192.168.0.0/24 -d 192.168.0.1/32 -i eth1 -p tcp -m tcp --sport 1900:58000 --dport 1900:58000 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 40 -m state --state NEW -j LOG --log-prefix "vrmr: ACCEPT " --log-level 6
[8:480] -A INPUT -s 192.168.0.0/24 -d 192.168.0.1/32 -i eth1 -p tcp -m tcp --sport 1900:58000 --dport 1900:58000 --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j NEWACCEPT
[2:136] -A INPUT -s 192.168.0.0/24 -d 192.168.0.1/32 -i eth1 -p udp -m udp --sport 53:58000 --dport 53:58000 -m limit --limit 20/sec --limit-burst 40 -m state --state NEW -j LOG --log-prefix "vrmr: ACCEPT " --log-level 6
[2:136] -A INPUT -s 192.168.0.0/24 -d 192.168.0.1/32 -i eth1 -p udp -m udp --sport 53:58000 --dport 53:58000 -m state --state NEW -j NEWACCEPT
[1331:126573] -A INPUT -m limit --limit 20/sec --limit-burst 40 -j LOG --log-prefix "vrmr: DROP in policy " --log-level 6
[10:1182] -A FORWARD -j PRE-VRMR-FORWARD
[5:371] -A FORWARD -i eth1 -j ACC-eth1
[3292449:4548437729] -A FORWARD -o eth1 -j ACC-eth1
[3224764:4449455525] -A FORWARD -i eth0 -j ACC-eth0
[1484399:76710210] -A FORWARD -o eth0 -j ACC-eth0
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe ALL " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-FIN " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-RST " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN-RST " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe PSH " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe URG " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
[0:0] -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP no SYN " --log-level 6
[0:0] -A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[0:0] -A FORWARD -f -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP FRAG " --log-level 6
[0:0] -A FORWARD -f -j DROP
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -m connmark ! --mark 0x0 -j ESTRELNFQUEUE
[9:1122] -A FORWARD -m mark --mark 0x0/0xff000000 -m state --state ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -m mark --mark 0x0/0xff000000 -m state --state RELATED -j NEWACCEPT
[0:0] -A FORWARD -m state --state INVALID -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP fw INVALID " --log-level 6
[0:0] -A FORWARD -m state --state INVALID -j DROP
[1:60] -A FORWARD -j BLOCKLIST
[1:60] -A FORWARD -j ANTISPOOF
[1:60] -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --sport 53:58000 --dport 53:58000 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 20/sec --limit-burst 40 -m state --state NEW -j LOG --log-prefix "vrmr: ACCEPT " --log-level 6
[1:60] -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --sport 53:58000 --dport 53:58000 --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j NEWACCEPT
[0:0] -A FORWARD -m limit --limit 20/sec --limit-burst 40 -j LOG --log-prefix "vrmr: DROP fw policy " --log-level 6
[5160:441472] -A OUTPUT -j PRE-VRMR-OUTPUT
[0:0] -A OUTPUT -o lo -j ACCEPT
[144201:577330657] -A OUTPUT -o eth1 -j ACC-eth1
[3781078:775687668] -A OUTPUT -o eth0 -j ACC-eth0
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe ALL " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-FIN " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe SYN-RST " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN-RST " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe FIN " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe PSH " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags ACK,URG URG -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP probe URG " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
[0:0] -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP no SYN " --log-level 6
[0:0] -A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
[0:0] -A OUTPUT -f -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP FRAG " --log-level 6
[0:0] -A OUTPUT -f -j DROP
[0:0] -A OUTPUT -m state --state RELATED,ESTABLISHED -m connmark ! --mark 0x0 -j ESTRELNFQUEUE
[4847:335966] -A OUTPUT -m mark --mark 0x0/0xff000000 -m state --state ESTABLISHED -j ACCEPT
[1:106] -A OUTPUT -m mark --mark 0x0/0xff000000 -m state --state RELATED -j NEWACCEPT
[0:0] -A OUTPUT -m state --state INVALID -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP out INVALID " --log-level 6
[0:0] -A OUTPUT -m state --state INVALID -j DROP
[312:105400] -A OUTPUT -j BLOCKLIST
[312:105400] -A OUTPUT -j ANTISPOOF
[0:0] -A OUTPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -o eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -s 0.0.0.0/32 -o eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -o eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
[0:0] -A OUTPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -o eth1 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.0.1/32 -d 192.168.0.0/24 -o eth1 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[0:0] -A OUTPUT -s 192.168.0.1/32 -d 255.255.255.255/32 -o eth1 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
[312:105400] -A OUTPUT -m limit --limit 20/sec --limit-burst 40 -m state --state NEW -j LOG --log-prefix "vrmr: ACCEPT " --log-level 6
[312:105400] -A OUTPUT -m state --state NEW -j NEWACCEPT
[0:0] -A OUTPUT -m limit --limit 20/sec --limit-burst 40 -j LOG --log-prefix "vrmr: DROP out policy " --log-level 6
[4820:307028] -A ACC-eth0 -o eth0 -j RETURN
[7296:13753386] -A ACC-eth0 -i eth0 -j RETURN
[350:135626] -A ACC-eth1 -o eth1 -j RETURN
[233:48904] -A ACC-eth1 -i eth1 -j RETURN
[0:0] -A ANTISPOOF -s 192.0.2.0/24 -i eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof test-net " --log-level 6
[0:0] -A ANTISPOOF -s 192.0.2.0/24 -i eth0 -j DROP
[0:0] -A ANTISPOOF -d 192.0.2.0/24 -o eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof test-net " --log-level 6
[0:0] -A ANTISPOOF -d 192.0.2.0/24 -o eth0 -j DROP
[212:121408] -A ANTISPOOF -s 0.0.0.0/8 -i eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof iana-0/8 " --log-level 6
[212:121408] -A ANTISPOOF -s 0.0.0.0/8 -i eth0 -j DROP
[0:0] -A ANTISPOOF -d 0.0.0.0/8 -o eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof iana-0/8 " --log-level 6
[0:0] -A ANTISPOOF -d 0.0.0.0/8 -o eth0 -j DROP
[0:0] -A ANTISPOOF -s 0.0.0.0/32 -i eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof brdcst-src " --log-level 6
[0:0] -A ANTISPOOF -s 0.0.0.0/32 -i eth0 -j DROP
[0:0] -A ANTISPOOF -d 0.0.0.0/32 -o eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof brdcst-src " --log-level 6
[0:0] -A ANTISPOOF -d 0.0.0.0/32 -o eth0 -j DROP
[0:0] -A ANTISPOOF -s 255.255.255.255/32 -i eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof brdcst-dst " --log-level 6
[0:0] -A ANTISPOOF -s 255.255.255.255/32 -i eth0 -j DROP
[0:0] -A ANTISPOOF -d 255.255.255.255/32 -o eth0 -m limit --limit 1/sec -j LOG --log-prefix "vrmr: DROP spoof brdcst-dst " --log-level 6
[0:0] -A ANTISPOOF -d 255.255.255.255/32 -o eth0 -j DROP
[0:0] -A BLOCK -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP BLOCKED " --log-level 6
[0:0] -A BLOCK -j DROP
[13:780] -A NEWACCEPT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYNLIMIT
[309:105256] -A NEWACCEPT -p udp -m state --state NEW -j UDPLIMIT
[324:106182] -A NEWACCEPT -j ACCEPT
[0:0] -A NEWNFQUEUE -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j SYNLIMIT
[0:0] -A NEWNFQUEUE -p udp -m state --state NEW,RELATED -j UDPLIMIT
[13:780] -A SYNLIMIT -m limit --limit 15/sec --limit-burst 30 -j RETURN
[0:0] -A SYNLIMIT -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP SYNLIMIT reach. " --log-level 6
[0:0] -A SYNLIMIT -j DROP
[0:0] -A TCPRESET -p tcp -m tcp -j REJECT --reject-with tcp-reset
[0:0] -A TCPRESET -j REJECT --reject-with icmp-port-unreachable
[309:105256] -A UDPLIMIT -m limit --limit 10/sec --limit-burst 60 -j RETURN
[0:0] -A UDPLIMIT -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix "vrmr: DROP UDPLIMIT reach. " --log-level 6
[0:0] -A UDPLIMIT -j DROP
COMMIT
# Completed on Fri Mar 31 23:41:45 2017
# Generated by iptables-save v1.4.21 on Fri Mar 31 23:41:45 2017
*mangle
:PREROUTING ACCEPT [7750:13822873]
:INPUT ACCEPT [7519:13801108]
:FORWARD ACCEPT [10:1182]
:OUTPUT ACCEPT [5161:441524]
:POSTROUTING ACCEPT [5171:442706]
:PRE-VRMR-FORWARD - [0:0]
:PRE-VRMR-INPUT - [0:0]
:PRE-VRMR-OUTPUT - [0:0]
:PRE-VRMR-POSTROUTING - [0:0]
:PRE-VRMR-PREROUTING - [0:0]
:SHAPEFW - [0:0]
:SHAPEIN - [0:0]
:SHAPEOUT - [0:0]
[7750:13822873] -A PREROUTING -j PRE-VRMR-PREROUTING
[7519:13801108] -A INPUT -j PRE-VRMR-INPUT
[7519:13801108] -A INPUT -j SHAPEIN
[10:1182] -A FORWARD -j PRE-VRMR-FORWARD
[10:1182] -A FORWARD -j SHAPEFW
[5161:441524] -A OUTPUT -j PRE-VRMR-OUTPUT
[5161:441524] -A OUTPUT -j SHAPEOUT
[5171:442706] -A POSTROUTING -j PRE-VRMR-POSTROUTING
COMMIT
# Completed on Fri Mar 31 23:41:45 2017
# Generated by iptables-save v1.4.21 on Fri Mar 31 23:41:45 2017
*nat
:PREROUTING ACCEPT [114:17622]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:PRE-VRMR-OUTPUT - [0:0]
:PRE-VRMR-POSTROUTING - [0:0]
:PRE-VRMR-PREROUTING - [0:0]
[1775:269240] -A PREROUTING -j PRE-VRMR-PREROUTING
[11:950] -A OUTPUT -j PRE-VRMR-OUTPUT
[12:1010] -A POSTROUTING -j PRE-VRMR-POSTROUTING
[2:378] -A POSTROUTING -s 192.168.0.0/24 -m limit --limit 20/sec --limit-burst 40 -j LOG --log-prefix "vrmr: MASQ " --log-level 6
[2:378] -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Mar 31 23:41:45 2017
Спасибо.
Вы статью читали?
такая же байда как с ip камерами
Когда начнут они биткоины в стаях майнить, во время просмотра статичных передач?
Телевизоры из 1984, следящие за зрителем, теперь — обыденная реальность… (ц) Lurkmore
"Культурно-умеренное" убийство ради органов повсеместно - обыденная реальность... 2017 г."Культурно-умеренное" людоедство повсеместно - обыденная реальность... 2117 г.
А, как "невинно" всё начиналось:"Культурно-умеренное" употребление алкоголя повсеместно - разрешением кабаков в России.
"Культурно-умеренное" тобакокурение повсеместно - разрешением тобачной продукции.
"Культурно-умеренная" эмансипация с раскрепощением нравов" повсеместно.
...
"Культурно-умеренное" убийство своих и чужих детей в утробе ради разврата повсеместно.
...Так что не говорите потом - что вас никто ранее не предупреждал, это ложь...
А что это даст?
Рассылать спам с телевизора? Больше несчего рассылать?
Следить за владельцами? И что с этим делать?
Что не понятного:
Кому то - на бутерброд намазывать, икорку. Точней даже без хлеба.
Покупателям - превентивно всё и всех контроллировать удалённо, точней тут массово каждосекундно порабощать человечество. И конечно шпионажить всячески.
