forum.opennet.ru

"Исследование безопасности прошивок встраиваемых устройств"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

"Исследование безопасности прошивок встраиваемых устройств"	+/–
Сообщение от opennews (ok), 13-Авг-14, 03:33
Исследовательский центр Eurecom опубликовал (https://www.usenix.org/conference/usenixsecurity14/technical...) результаты широкомасштабного анализа безопасности прошивок, используемых в различных сетевых потребительских устройствах. В ходе исследования с сайтов производителей было загружено более 30 тысяч прошивок, охватывающих продукты таких компаний, как Siemens, Xerox, Bosch, Philips, D-Link, Samsung, LG и Belkin. В итоге выявлено 326 прошивок, в которых присутствуют бэкдоры, позволяющие обходным путём получить доступ к устройству, как правило для выполнения отладки и проверки службой поддержки. Еще в 41 случае в прошивке найдены закрытые RSA-ключи для применяемых самоподписанных цифровых сертификатов. При этом такие прошивки используются в примерно в 35 тысячах работающих в сети устройств. В одной недавно выпущенной прошивок зафиксировано использование версии ядра Linux, десятилетней давности. В ходе исследования также выявлено 38 ранее неизвестных уязвимостей, присутствующих в 693 прошивках, охватывающих 123 различных продукта и затрагивающих приблизительно 140 тысяч устройств, доступных через Интернет. URL: http://www.itworld.com/security/431186/study-finds-firmware-... Новость: https://www.opennet.ru/opennews/art.shtml?num=40376
Ответить \| Правка \| Cообщить модератору

Оглавление

Исследование безопасности прошивок встраиваемых устройств, opennews, 13-Авг-14, 03:33 [смотреть все]

как прочитать их , Xasd, 13-Авг-14, 03:33 (1) //
- Papers are restricted to registered attendees until the event begins Once the e, pavlinux, 13-Авг-14, 04:01 (3)
- Это от слова Eureka ju 601 712 ri 720 k 601 Т е Eurecom читается как , Аноним, 13-Авг-14, 15:41 (28) //
  - Ahaha, nice trolling, dude , Аноним, 13-Авг-14, 23:51 (70)
Ядро 2 6 9 - очень рульное меж прочим Там ещё нет принудительно внедряемых бэкд, pavlinux, 13-Авг-14, 03:51 (2) //
- Ну да, там в прошивках своих бэкдоров и дыр хватает помимо ядра , Аноним, 13-Авг-14, 10:29 (9)
- Так на платформах, используемых в маршрутизаторах и других встраиваемых устройст, Вова, 13-Авг-14, 13:44 (19) //
  - Видишь суслика - Нет, - И я не вижу, а он есть , pavlinux, 14-Авг-14, 03:26 (79) //
    - ну, у меня отключен я буду виновником армагеддона , arisu, 14-Авг-14, 06:00 (82)
    - Видишь BadBios А один чувак утверждает что он есть Правда по факту это смахива, Аноним, 14-Авг-14, 13:41 (90)
- А с чего ради он бэкдором стал Ты там что, лишнего сегодня выпил , Аноним, 13-Авг-14, 16:36 (32) //
  - arch x86 kernel irq c code ifdef CONFIG_HAVE_KVM Handler for POSTED_INTERR, pavlinux, 14-Авг-14, 03:27 (80) //
    - эвона как, михалыч 8230 павлин даже с наличием кода всё равно видит фигу вот , arisu, 14-Авг-14, 06:03 (83)
    - gt оверквотинг удален Если исходить только из этого исходника, то тут никак не, anonymous, 14-Авг-14, 09:52 (84)
Да пофиг - у меня Firewall и NAT Буду поднимать сервер - буду обновлять , Zenitur, 13-Авг-14, 08:24 (6) //
- У них тоже Только я подумал выкинуть старые компы и поставить вместо них како, Аноним, 13-Авг-14, 10:07 (7) //
  - пока что надёжнее openbsd на старом компе - ничего не придумали , aim, 13-Авг-14, 11:54 (12) //
    - Про опенбсд не скажу, но сам выражение старый комп говорит не в пользу надежно, Аноним, 13-Авг-14, 14:08 (22)
      - старый комп как раз говорит в пользу надежности, ненадежные умирают новыми, anonymous, 13-Авг-14, 16:16 (31)
        
        Не обязательно Конденсаторы в блоке питания и поганые вентиляторы - мрут именно, Аноним, 13-Авг-14, 16:38 (34)
        если не питание, то ржавчина доконает, Аноним, 13-Авг-14, 22:10 (69)
  - 3 6, продавец_кирпичей, 13-Авг-14, 13:30 (18)
  - У Mikrotik только младшие RB рулят по цена качество У старших - проблемы с тепл, PnDx, 13-Авг-14, 14:57 (26) //
    - А еще у них проприетарный загрузчик и половина компонентов системы Так что если, Аноним, 13-Авг-14, 16:53 (45)
      - Все как и на любом юзабильном линуксе Разве нет Только блобов меньше половины , Аноним, 14-Авг-14, 00:20 (72)
  - Удачи в доверии поставщику системы ухитрившемуся опроприетарить и закрыть даже , Аноним, 13-Авг-14, 16:37 (33) //
    - Ковальский, варианты Что-нибудь неопроприетаренное могучее запустить прокси ссш, Аноним, 14-Авг-14, 00:22 (73)
      - cubietruck, например или если сотки хватит - cubieboard2 , anonymous, 14-Авг-14, 09:54 (85)
        
        У нее 10 гигабитных портов , Аноним, 14-Авг-14, 15:24 (91)
      - Да любая железка поддерживающая openwrt в рамках бюджета Посмотреть по ToH кто , Аноним, 16-Авг-14, 12:30 (98)
- А с чего ты взял что девайс на слушает бэкдором на WAN и-фейсе, поклав на NAT и , Аноним, 13-Авг-14, 16:39 (35)
- Ещё скажи в винде , XoRe, 14-Авг-14, 00:49 (74)
так и нормально принцип работает - не трогай до сих пор актуален З Ы насколь, Нанобот, 13-Авг-14, 10:20 (8) //
- А Siemens-а на VxWorks ADSL-ят и роутят не хуже Плюс, поддерживают различные у, Demo, 13-Авг-14, 10:52 (10) //
  - Вашего Siemens-а в овраге хуавеи доедают , абыр, 13-Авг-14, 11:36 (11) //
    - Siemens себя увековечил В системе СИ, если мне не изменяет курс физики, в S изм, Demo, 13-Авг-14, 12:54 (16)
      - Это не в честь фирмы, а в честь человека И это не мешает хуавеям доедать фирму , Аноним, 13-Авг-14, 14:09 (23)
        
        Дык, я, вроде, нигде не говорил, что S 8212 это в честь фирмы , Demo, 13-Авг-14, 21:36 (67)
      - Такой вот человек и пароход W единица измерения А VxWorks нынче повымер практич, Аноним, 13-Авг-14, 17:09 (54)
  - Только почему-то эта глюкавая проприетарь осталась только в совсем обрубочных ус, Аноним, 13-Авг-14, 16:40 (37)
- Нифига вы авангардисты, у меня роутер на 2 4 до сих пор, XoRe, 14-Авг-14, 00:50 (75) //
  - на которое секурити фиксы уже пару лет как не выпускают , Аноним, 16-Авг-14, 12:31 (99)
Пора уже так писать закончено очередное исследование, подтверждающее необходим, Аноним, 13-Авг-14, 12:07 (13)
Хе-хе, вот поэтому при выборе железки надо в первую очередь смотреть, есть ли дл, YetAnotherOnanym, 13-Авг-14, 12:14 (14) //
- А что это даст Как-только девайс станет чуть менее популярным - сам прошивки кл, Гость, 13-Авг-14, 12:47 (15) //
  - А что тебе даст проприетарная прошивка от вендора, братюнь Бэкдоры из коробки, , Аноним, 13-Авг-14, 14:14 (24) //
    - Вендор вендору рознь К тому же есть аппаратные уязвимости, которые может быть т, Гость, 13-Авг-14, 15:31 (27)
      - ну так не у всех же винда пустого черепа, как у тебя , arisu, 13-Авг-14, 16:40 (36)
        
        http wikireality ru wiki D0 A1 D1 80 D0 B0 D1 87, Гость, 13-Авг-14, 17:05 (53)
      - Такие отмазки прикольные Действительно, зачем вам мыться Ведь все-равно теорет, Аноним, 13-Авг-14, 16:52 (43)
        
        Ну хоть один дельный ответ Э-э я так разве говорил Please, цитату Наскольк, Гость, 13-Авг-14, 17:50 (58)
        
        Я образно выражаясь Мол, если в железе могут быть баги или бэкдоры - давайте то, stupidwordfilter, 13-Авг-14, 21:37 (68)
        
        Хороший ответ Но Ошибка в подходе любая проприетарная фирмварина тайныеходы ку, Гость1, 14-Авг-14, 01:06 (76)
        
        Совать бэкдоры в открытую прошивку - довольно странное начинание Это примерно к, Аноним, 16-Авг-14, 15:46 (100)
        
        вода, Аноним, 19-Авг-14, 20:01 (101)
        
        А чем будете Давно ли у СПО собственное производство харда Ой, нет На деревья, Аноним, 15-Авг-14, 14:37 (94)
      - всё ещё глядя на свой DIR-300 поделаю уже много лет поделываю , arisu, 13-Авг-14, 16:54 (47)
    - Для моего Asus RT-N16 оф прошивки до сих пор клепают А ему сильно больше пары , Аноним, 14-Авг-14, 12:33 (87)
  - Во-первых, если очень прижмёт - буду, к этому нет никаких принципиальных препятс, YetAnotherOnanym, 13-Авг-14, 16:12 (29) //
    - Вот когда реально будешь следить за дырами в прошивке хотя бы на периодической о, Гость, 13-Авг-14, 16:58 (50)
      - rant жопоголика не то, чтобы новое что-то сказал, но всё равно забавно кто же т, arisu, 13-Авг-14, 17:36 (57)
        
        ну не кичись не кичись Гордыня это грех У меня тоже много дел И то что они, Гость, 13-Авг-14, 17:55 (59)
        
        для тебя 8212 просто невыполнимое так что без разницы , arisu, 13-Авг-14, 18:10 (62)
        
        - тебе это что, даёт возможность всплыть повыше , Гость, 13-Авг-14, 19:47 (64)
        
        а то , arisu, 13-Авг-14, 20:25 (66)
        
        только смотри, у этого метода есть побочный эффект достаточно неприятный запах, Гость1, 14-Авг-14, 00:19 (71)
        
        попробуй мыться чаще, чем два раза в год глядишь 8212 и запах пропадёт , arisu, 14-Авг-14, 05:57 (81)
        
        Сам же подтвердил, что использует то что никогда не тонет, теперь выкручиваетс, Гость1, 14-Авг-14, 12:35 (88)
        http img0 joyreactor cc pics comment D0 B0 D0 BA D1 82 D0 B5 D1 80- D1 81 D1 , Гость1, 14-Авг-14, 12:38 (89)
  - Вы знаете, самому портануть патчи из старого openwrt на новое ядро - это сильно , Аноним, 13-Авг-14, 16:44 (38) //
    - поглядывая на свой DIR-300 а мне хватает, чо , arisu, 13-Авг-14, 16:52 (44)
      - Да ничо А мой роутерстэйшн с его 680МГц атеросом, атеросовсской же n вафлей и , Аноним, 13-Авг-14, 16:58 (49)
        
        Ай, какой срок гигантский-то Кул стори, бро , Аноним, 15-Авг-14, 14:38 (95)
- К тому же не факт, что OpenWRT весь такой прямой и правильный А если станет сил, Гость, 13-Авг-14, 12:55 (17) //
  - Ну так идеальной безопасности не бывает, а так - мера разумная , Crazy Alex, 13-Авг-14, 13:46 (20) //
    - Не сильно И не очень-то отличается от обновлений прошивок от того же Cisco или , Гость, 13-Авг-14, 14:48 (25)
      - Отличие в том что в OpenWRT показывают сорц и процесс разработки весь на виду П, Аноним, 13-Авг-14, 16:47 (40)
        
        Ты мне ёщё скажи, что у OpenWRT есть исходники всех блобов для аппаратуры девайс, Гость, 13-Авг-14, 16:54 (46)
        
        В моих девайсов не требуются блобы Такая интересная фигня , Аноним, 13-Авг-14, 16:59 (51)
        
        Ух-ты, действительно рад за тебя серьёзно Если можно поподробнее , Гость, 13-Авг-14, 18:02 (60)
        
        Да, и ещё скажи мне, что есть люди конкретные, а не ники , которые реально пров, Гость, 13-Авг-14, 16:57 (48)
        
        Прикинь, есть Они этот код пишут патчат А ник там или имя - вообще второй вопр, Аноним, 13-Авг-14, 17:02 (52)
        
        Но это лишь чуть усложняет вопрос, но не отменяет его Действительно репутация м, Гость, 13-Авг-14, 17:26 (56)
        
        Не тупи Хартблеед был вот только недавно, кто его нашёл Как нашёл Закрытые ана, Аноним, 13-Авг-14, 18:08 (61)
        
        Ты забыл спросить кто и зачем поставил - Это по хартблеед Ну дык, про сильно , Гость, 13-Авг-14, 20:01 (65)
        
        А лучше вообще не заморачиваться, Гость1, 14-Авг-14, 01:17 (78)
  - Не поделитесь ли описанием уязвимостей, о которых знаете Вы и не знают клепатели, YetAnotherOnanym, 13-Авг-14, 16:14 (30) //
    - Из очевидного - heartbleed, правда о нем знают и OpenSSL по дефолту нигде не юза, Аноним, 13-Авг-14, 16:48 (41)
    - - чел, ты реально понял что сказал , Гость, 13-Авг-14, 16:51 (42)
      - Да, а Вы поняли, что я сказал , YetAnotherOnanym, 13-Авг-14, 17:24 (55)
  - Его в случае чего не сильно сложно билдануть самому, кастомно, как мне надо Да , Аноним, 13-Авг-14, 16:45 (39) //
    - Комиты специально разбирают на безопасность Что известно о большинстве разработ, Гость1, 14-Авг-14, 01:14 (77)
- Он автоматически обноляется , Аноним, 13-Авг-14, 14:05 (21) //
  - Хто , Аноним, 13-Авг-14, 18:14 (63)
Пользуйтесь отечественным оборудованием Забугорные все затроянены и пробекдорены, Аноним, 14-Авг-14, 12:13 (86) //
- Отечественное типо нет ROFL , Аноним, 15-Авг-14, 14:43 (97)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру