The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В прошивке сетевых принтеров Samsung и Dell найден бэкдор

28.11.2012 09:55

Некоторые модели сетевых принтеров Samsung поставляются с прошивкой, в которой присутствует жестко прописанный скрытый служебный сервис, позволяющий удалённо управлять настройками принтера и проводить его диагностику. Функция добавлена с целью упрощения сервисного обслуживания в процессе обращения в службу поддержки, но так как информация теперь доступна публично, данной возможностью могут воспользоваться злоумышленники для получения полного контроля над устройством. Проблеме также подвержены принтеры, поставляемые под брендом Dell, но произведённые по контракту с компанией Samsung.

Доступ к сервису организован в виде открытого на запись и чтение SNMP-идентификатора, не видимого в общем списке SNMP-переменных, но остающегося активным даже при отключении SNMP в настройках принтера. Используя указанный сервис удалённый злоумышленник может выполнить любое действие с правами администратора, в том числе изменить конфигурацию, получить доступ к информации о сети и параметрах аутентификации, осуществить перехват отправляемых на принтер данных и даже запустить свой код, который может быть использован для проведения атаки на локальную сеть.

Всем пользователям принтеров Samsung, прошивка которых выпущена до 31 октября 2012 года, рекомендуется заблокировать на межсетевом экране доступ к принтеру или использовать IP из диапазона интранет адресов, доступный только из локальной сети. Кроме того, компания Samsung намерена в ближайшее время выпустить специальную утилиту для исправления проблемы в ранее выпущенных моделях принтеров.

  1. Главная ссылка к новости (http://www.kb.cert.org/vuls/id...)
  2. OpenNews: Методы борьбы с уязвимостями в современных принтерах могут привести к появлению новой угрозы
  3. OpenNews: О возможности создания и внедрения аппаратного бэкдора
  4. OpenNews: В устройствах MicroCell обнаружен встроенный бэкдор
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35441-samsung
Ключевые слова: samsung, printer, backdoor, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (121) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:16, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +37 +/

    проприетарщики такие проприетарщики.
     
     
  • 2.20, robux (ok), 11:31, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Поймали за руку, что называется. И это только цветочки....
     
  • 2.32, meequz (ok), 12:16, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Вы не правы. https://www.opennet.ru/opennews/art.shtml?num=35435
     
     
  • 3.37, Аноним (-), 13:01, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Есть некая разница между бэкдором который подпихнули добрые хакеры и бэкдором который был засунут "just as planned" самим производителем.
     
     
  • 4.54, pavlinux (ok), 13:39, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > рекомендуется заблокировать на межсетевом экране доступ к принтеру
    > и использовать фиктивный IP-адрес, доступный только из локальной сети

    Я думал админы это по дефлту делают.

     
     
  • 5.70, Аноним (-), 18:23, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Пардон, одно дело если ты сделал несколько логинов на СВОИХ системах, и другое дело если ты несколько лишних логинов на чужих серваках настрогал.

    В первом случае ты предусмотрительный чувак. Во втором - наглый хакир и вообще му...к.

     
  • 2.90, Евгений (??), 23:43, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, кто хочет хакнуть банковский принтер, чтобы он печатал "левые" платежки, в которых был бы Ваш счет?)))))))))
     
  • 2.114, Аноним (-), 20:35, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На что это вы намекаете? Вы все врёте! Нет в западных устройствах закладок! Никто на нашел в Интелах Армах и прочих Атлоннах бэкдор! Потому их там и нет. Не стоит конкурировать с Интел, вот наш девиз, навсегда.
     
     
  • 3.126, nagual (ok), 16:18, 02/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > На что это вы намекаете? Вы все врёте! Нет в западных устройствах
    > закладок! Никто на нашел в Интелах Армах и прочих Атлоннах бэкдор!
    > Потому их там и нет. Не стоит конкурировать с Интел, вот
    > наш девиз, навсегда.

    Ниче ниче вот ЭЛЬБРУС выйдет в серийное производство и Intel узнает что такое по настоящему честная конкуренция :))) по росиянски :))) И бекдоры на интел, те что Крис Касперский демонстрировал ищо хз в каком году тут же всплывут и еще чего придумают оригинальное :))) фсбшэники такие затейники :)))


     

  • 1.2, Zenitur (ok), 10:20, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > Кроме того, компания Samsung намерена в ближайшее время выпустить специальную утилиту для исправления проблемы в ранее выпущенных моделях принтеров.

    Для каких версий Windows? Или для Linux будет? Всё-таки на предприятиях широко используется.

     
     
  • 2.6, anonymous (??), 10:37, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Очевидно, для версий прошивки принтера. А вы про что подумали?
     
  • 2.14, Аноним (-), 11:04, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Ни для каких. Они сами незаметно подключатся к вашим принтерам и тихо обновят прошивку.
     
     
  • 3.24, Аноним (-), 12:02, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ога, а мы должны им на слово поверить что новая прошивка - без бэкдора. А какие гарантии что они его просто не перепрятали? :)
     
     
  • 4.30, виндотролль (ok), 12:13, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Очевидно же, что никаких. Об этом Столлман много раз говорил.
     
     
  • 5.38, Аноним (-), 13:02, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Очевидно же, что никаких. Об этом Столлман много раз говорил.

    Ну дык. Он мужик умный, понимает как можно проабузить технологии. Это ж не очередной хомячок которому главное брюхо набить прям ща, а потом хоть потоп...

     
  • 5.53, Аноним (-), 13:38, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Кстати GNU началась тоже с принтера :)
     
  • 4.78, Anonim (??), 20:30, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    После твоего обращения в самсунг твой принтер распечатает письмо, уверяющее тебя в отсутствии бекдоров ))
     
  • 4.104, arisu (ok), 14:38, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А какие гарантии что они его просто не перепрятали?

    это же Серьёзный Бизнес! как ты мог подумать такое? пацаны мамой клянутся, чо.

     
  • 3.102, jeejay (?), 12:03, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    потом принтер накачает порнухи и положит сеть
     
     
  • 4.124, DeadLoco (ok), 11:48, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > потом принтер накачает порнухи и положит сеть

    Кстати, это был бы интересный ход - наехали копирайтщики, а ты все валишь на принтер, дескать, устройство мне неподконтрольно, чем занимается - мне неведомо, а я белый и пушистый, и ничо ни за какие торренты никогда не слышал...

     

  • 1.3, pinqui (ok), 10:28, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Прикольно, чО. Вот вам и плюсы проприетарного софта.
     
     
  • 2.15, Andrey Mitrofanov (?), 11:12, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Прикольно, чО. Вот вам и плюсы проприетарного софта.

    Нет плюсы - в квартальных бух.отчётах. А это.... так, шум, мусор.

     

  • 1.4, Stanislavvv (?), 10:29, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Хм... Господа, у кого из вас принтер доступен не из локалки?
     
     
  • 2.5, Аноним (-), 10:32, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Хм... Господа, у кого из вас принтер доступен не из локалки?

    у тех, кто перешел на IPv6 :-)

     
     
  • 3.9, dalco (ok), 10:42, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А много ли сейчас принтеров, понимающих IPv6? Мне реально интересно...

    P.S. Агрегаты за 10 килобаксов со встроенным полноценным компом (иногда даже с виндой) пропустим, ибо дюже редкие они в среднестатистическом офисе.

     
     
  • 4.21, jh (?), 11:37, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    HP LaserJet M2727nf MFP - есть ip6, цена около 1 килобакса
     
     
  • 5.29, Харитон (?), 12:12, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    думаю поддержка ипв6 - не проблема, особенно для самсунга - там возможно даже линукс в принтере...)))
     
  • 4.25, Усталый (??), 12:03, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Canon iSENSYS 8040Cn - IP v6 в наличии, цена устройства в районе 10к.
     
  • 4.27, Аноним (-), 12:05, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > P.S. Агрегаты за 10 килобаксов со встроенным полноценным компом

    В конечном итоге любой принтер содержит более-менее полноценный комп. В виде довольно мощного проца и приличных объемов памяти. В некоторых случаях его эзернет юзают для сами знаете чего. Ну или вайфай ему как периферию цепляют. В общем то тот же компьютер, только прошивка проприетарная и замаскирован под пенька.

     
     
  • 5.33, dalco (ok), 12:22, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тот, что в нашей конторе был, чуть ли не стандартную мини-АТХ мамку внутри имел + винт и прочие плюшки. Если не изменяет память, то там даже фаервол был, не считая самбы, почты и прочих прибамбасов.

    Правда, сейчас аналогичную по производительности систему можно imho в паре флешек собрать (да винт в третьей).

     
     
  • 6.40, Аноним (-), 13:04, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Правда, сейчас аналогичную по производительности систему можно imho в паре флешек

    Да запросто, всякие mk802 тому пример.

     
  • 4.67, Аноним (-), 16:10, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Samsung ML-2165W - ~ 100$
    IPv6
     
     
  • 5.94, Аноним (-), 02:12, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Samsung ML-2165W - ~ 100$

    А жителям города Троя коня вообще в качестве подарка презентовали. Совершенно нахаляву, между прочим :)


     
  • 3.10, anonymous (??), 10:44, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +11 +/
    >> Хм... Господа, у кого из вас принтер доступен не из локалки?
    > у тех, кто перешел на IPv6 :-)

    Отмена NAT не отменяет использование межсетевого экрана.

     
  • 3.26, Аноним (-), 12:03, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > у тех, кто перешел на IPv6 :-)

    У тех кто не смог настроить файрвол.

     
  • 2.8, filosofem (ok), 10:40, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    атаковать может вендовый червь из локалки. Запустился через дыру в браузере, прописался в принтерах и выгрузился из памяти без лишнего шума.  
     
     
  • 3.28, Аноним (-), 12:06, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > атаковать может вендовый червь из локалки. Запустился через дыру в браузере, прописался
    > в принтерах и выгрузился из памяти без лишнего шума.

    А что, это довольно круто: админ переустановил все винды, а атаки не прекращаются. Ололо! :)

     
     
  • 4.36, Анончик (?), 12:53, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Принтер за ддосил одмина. Ололошеньки!
     
     
  • 5.86, Аноним (-), 21:46, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И переустановил обратно малварь на всех компах. Энджой ер виндовс!
     
  • 2.13, Аноним (-), 11:04, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    вы удивитесь - но иногда сканируя просторы интернетов можно найти сетевые принтеры мфу сканеры и прочую оргтехнику :)
     
     
  • 3.41, Аноним (-), 13:04, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > вы удивитесь - но иногда сканируя просторы интернетов можно найти сетевые принтеры
    > мфу сканеры и прочую оргтехнику :)

    Или например камеры наблюдения. Что конечно баян но по прежнему функционально и весело :)

     

  • 1.7, dalco (ok), 10:39, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Красиво...
    Заражаем комп, находим в сети принтер Samsung и готов источник заразы, которого потом никаким антивирусом не выцепишь. Думаю, через бэкдор можно и прошивку "поправить", чтобы новоявленный бот выключения питания не боялся :)
     
  • 1.11, Аноним (-), 10:47, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошо что везде HP.
     
     
  • 2.17, Ironee (?), 11:17, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Ага. Ведь у вас есть доступ к исходникам фирмвари HP, вы провели аудит кода и теперь на 146% уверены в отсутствии бэкдоров, закладок и прочих легко эксплуатируемых уязвимостей. Действительно, хорошо-то как!
     
     
  • 3.18, VolanD (ok), 11:23, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага. Ведь у вас есть доступ к исходникам фирмвари HP, вы провели
    > аудит кода и теперь на 146% уверены в отсутствии бэкдоров, закладок
    > и прочих легко эксплуатируемых уязвимостей. Действительно, хорошо-то как!

    А у вас есть исходники вашей ос, давно вы аудит кода проводили?

     
     
  • 4.19, Ironee (?), 11:31, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А у вас есть исходники вашей ос, давно вы аудит кода проводили?

    Вопрос не по адресу - уязвимости ОС/софта, которыми я пользуюсь, меня мало беспокоят, ничего особо ценного не имеется. Проверяюсь регулярно на малварь, поглядываю логи роутера и сплю спокойно.

     
     
  • 5.58, pavlinux (ok), 13:46, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А у вас есть исходники вашей ос, давно вы аудит кода проводили?
    > Проверяюсь регулярно на малварь, поглядываю логи роутера и сплю спокойно.

    А ты уверен, что проверялка знает обо всех варях и то,
    что хакают вас на уровне TCP/IP, а не езернет и трафик не дампят?

     
     
  • 6.62, Ironee (?), 14:44, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты уверен, что проверялка знает обо всех варях

    Нет, конечно. Что за детские вопросы? Таких "проверялок" которые "все знают" не существует.

    >хакают вас на уровне TCP/IP, а не езернет и трафик не дампят?

    Не силен в сетях, поправьте если я не прав, но канальный уровень не маршрутизируется, а в качестве прочих мер безопасности я раскидываю трафик по vlan, привязал mac к портам на свитче, смотрю логи на шлюзе. От случайной атаки или скрипт-кидса защитит, а если целенаправленно кто-нибудь грамотный станет ломать - тогда дело швах.

     
  • 4.22, bw (ok), 11:39, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    То же самое хотел сказать.
    Чего пристали к проприетарщикам, такой фичи не может быть в открытом коде? И ведь большинство узнает о ней только из подобных этой новостей, никто не читает документации, никто не пересматривает дефолтную конфигурацию. Собственно поэтому такую возможность производитель и внедрил. Потребители сами виноваты в большинстве своих проблем.
    Ну и как-то я сомневаюсь, что подобная функция производителем замалчивалась, это наверняка бы нарушало какие-нибудь законы.

    ..bw

     
     
  • 5.48, VolanD (ok), 13:30, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да вот про это и говорю ИМХО опенкод- это просто такой приятный бонус, по факту... большой текст свёрнут, показать
     
     
  • 6.59, Andrey Mitrofanov (?), 13:52, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >опенкод- это просто такой приятный
    > бонус, по факту большенство юзеров не смотрят что там внутри и

    Нет, приятный бонус для узеров это то, что, _например_, ядро правят (не смотрят, не "читают"!) 1000+ разарабов -- в _каждом_ релизе, каждые 3 месяца примерно.

    Сколько индусов правят "ядро" шиндошс, дв даже весь шиндошс? Коммиты посчитаем (хотя мы все видели (см."открытие" прокладки для гипер-ви), как они надувают коммиты)? Сколько лет на релиз?

    > тем более, никогда его не правят. Самое главное чтобы софт работал

    Сравинивам первое(выше, то есть) со вторым, прикидываем _влияние_ на "чтобы софт работал" в каждом из случаев. И да, меняем свою OS по результатам сравнеия?

     
  • 6.69, blablabla (?), 17:22, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чего пристали к проприетарщикам, такой фичи не может быть в открытом коде?
    >ИМХО опенкод- это просто такой приятный
    > бонус, по факту большенство юзеров не смотрят что там внутри и
    > тем более, никогда его не правят.

    Как раз в тему про открытое ПО
    Как давно вышла последняя версия OpenVPN ?
    И почему так ни кто и не поднял тему о прям самой настояшей дыре, понять о которой можно даже элементарным чтением самих же логов OpenVPN
    ВЫВОД:
    Исходники читают только те кто использует эти знания в корысных целях и не скажут о дырдочках ни когда

     
     
  • 7.73, Аноним (-), 18:30, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > о прям самой настояшей дыре, понять о которой можно даже элементарным чтением самих же логов OpenVPN

    Пруф этих мыслей или хинты? И как, вы много уже опенвпнов разломали?

    > не скажут о дырдочках ни когда

    Да уж. Смысла то говорить такому папуасу как вы, который пишет хуже третьеклашки? Если вы так паршиво изъясняетесь то уж тем более врядли патч накатаете. Но не все же такие деревянные, а?

     
  • 6.72, Аноним (-), 18:26, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > по факту большенство юзеров

    Да, "большЕнство" которое даже писать умеет на уровне папуаса - код врядли сможет посмотреть.

     
  • 5.65, angra (ok), 15:53, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не нужно чтобы код смотрел каждый пользователь. Достаточно того, что код смотрят участники проекта. Сговор конечно нельзя полностью исключить, но вероятность его для крупных проектов настолько низка, что можно считать нулевой.
     
     
  • 6.79, bw (ok), 20:58, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я не говорил о том что код не смотрят, я говорил что не читают документацию и не проверяют конфигурацию, и что описанная в статье функциональность вполне может существовать и в открытом коде, эта фича хоть многим и не приятна всё же не является вредоносным кодом, если не брать в рассчёт качество её исполнения, разумеется :-). Мало что-ли примеров настройки открытого софта таким образом, что заходи кто хочешь, бери что хочешь?

    ..bw

     
     
  • 7.83, Аноним (-), 21:16, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не говорил о том что код не смотрят, я говорил что
    > не читают документацию и не проверяют конфигурацию, и что описанная в
    > статье функциональность вполне может существовать и в открытом коде,

    Открытый код читает больше глаз чем закрытый. Нет, реверсеры конечно тоже есть. И работают. For fun and profit. Но это медленнее и их меньше. Поэтому уровень аудита черти-каких блобиков - явно хуже.

     
  • 5.76, northbear (??), 19:45, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    В открытом коде такие вещи живую от считанных минут до нескольких дней.
    Ближайший пример: https://www.opennet.ru/opennews/art.shtml?num=35435

    Характерная цитата оттуда: "... Вредоносный код находился в архиве последней версии Piwik 1.9.2 в течение нескольких часов..."

     
     
  • 6.80, bw (ok), 21:00, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Какие вещи, ошибки в backdoor'е или ошибки в ДНК конечных пользователей?

    ..bw

     
  • 4.105, arisu (ok), 14:43, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А у вас есть исходники вашей ос

    у меня — есть.

    > давно вы аудит кода проводили?

    полностью — никогда. это впрочем, и не обязательно, потому что те же самые исходники есть ещё у сотен тысяч людей. из которых очень многие тоже некоторые части читают. поверить в то, что их всех контролирует ZOG у меня никак не выходит.

     
     
  • 5.120, VolanD (ok), 05:22, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А у вас есть исходники вашей ос
    > у меня — есть.
    >> давно вы аудит кода проводили?
    > полностью — никогда. это впрочем, и не обязательно, потому что те же
    > самые исходники есть ещё у сотен тысяч людей. из которых очень
    > многие тоже некоторые части читают. поверить в то, что их всех
    > контролирует ZOG у меня никак не выходит.

    Я думаю, что исходники закрытых проектов читает не намного меньше людей, чем открытых ;)

     
     
  • 6.121, arisu (ok), 08:27, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Я думаю, что исходники закрытых проектов читает не намного меньше людей, чем
    > открытых ;)

    только это разные люди, и читают для разных целей.

     
     
  • 7.122, VolanD (ok), 08:57, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я думаю, что исходники закрытых проектов читает не намного меньше людей, чем
    >> открытых ;)
    > только это разные люди, и читают для разных целей.

    Для каких?

     
     
  • 8.123, arisu (ok), 09:36, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    вздыхает если ты притворяешься с целью пофлэймить 8212 то мне лень а если ... текст свёрнут, показать
     
     
  • 9.125, VolanD (ok), 14:05, 30/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я не притворяюсь, откройте, пожалуйста, этот вселенский секрет ИМХО закрытый к... текст свёрнут, показать
     
     
  • 10.127, qux (ok), 20:38, 02/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Правы, и вы сами уже ответили Разница в людях Интересы которых могут быть п... текст свёрнут, показать
     
     
  • 11.129, VolanD (ok), 06:00, 07/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зато им платят деньги и у них больше стимула сделать рабочий код ... текст свёрнут, показать
     
     
  • 12.130, qux (ok), 22:23, 07/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это так кажется, пока внутри не поработаешь ... текст свёрнут, показать
     
  • 2.23, Аноним (-), 11:58, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошо что везде HP.

    HP ни лучше, их через уязвимости в прошивках давно ломают
    https://www.opennet.ru/opennews/art.shtml?num=32522

     
  • 2.100, ffirefox (?), 05:53, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ха! Так у HP только недавно firmware начали подписывать ключом (И то не у всех). А до этого можно было менять его на сетевых принтерах из под обычного пользователя.
     
     
  • 3.106, arisu (ok), 14:45, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а, опять защита от пользователей.
     

  • 1.12, ь (?), 10:52, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>>так как информация теперь доступна публично, данной возможностью могут воспользоваться злоумышленники

    Security through obscurity никогда ни от чего не защищала.

     
     
  • 2.16, Andrey Mitrofanov (?), 11:15, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Немедленно опубликуй все свои пароли, номера кредиток с пинами. Протестуй!
     
     
  • 3.45, тоже Аноним (ok), 13:25, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, мы-то с вами знаем, что информация, какой стороной совать карточку в банкомат, должна выдаваться владельцу карты исключительно в заклеенном конверте под подписку о неразглашении. Иначе злоумышленники легко повторят эти действия, какая уж тут безопасность?
     
  • 3.77, один_один (?), 20:02, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    странно. в кои то веки Митрофановский коммент не в бровь, а в глаз, и сразу пачка минусов. А всего-то оппоненту Митрофанова, господину "ь" не писать сверхобобщений типа "никогда".
     
     
  • 4.99, Аноним (-), 02:33, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > странно. в кои то веки Митрофановский коммент не в бровь, а в
    > глаз, и сразу пачка минусов. А всего-то оппоненту Митрофанова, господину "ь"
    > не писать сверхобобщений типа "никогда".

    Накрутчики, сэр. Сначала ляпнут, не подумав, а потом минусуют все возражения. Знаю, сам так делаю порой.

     
  • 3.81, Аноним (-), 21:05, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Немедленно опубликуй все свои пароли, номера кредиток с пинами. Протестуй!

    Вы смешивайте разные сущности. Публикация подробной схемы замка далеко не одно и то же, что и оставленный под ковриком ключ. Поэтому не пароли - а код для их проверки, не номера кредиток, а схема чипов и устройства для их считывания.

     
     
  • 4.98, Аноним (-), 02:31, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы смешивайте разные сущности. Публикация подробной схемы замка далеко не одно и
    > то же, что и оставленный под ковриком ключ. Поэтому не пароли
    > - а код для их проверки, не номера кредиток, а схема
    > чипов и устройства для их считывания.

    95% населения неразглашение своего пароля всем встречным и поперечным называют "security through obscurity". Включая то утверждение, с которого началась данная нить.

     
     
  • 5.103, тоже Аноним (ok), 13:06, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Так бывает: вот порет человек отсебятину откровенную, из пальца высосанную - а ведь на 5% прав!
     
  • 3.107, arisu (ok), 14:47, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Немедленно опубликуй все свои пароли, номера кредиток с пинами. Протестуй!

    а какая связь?

     
     
  • 4.112, тоже Аноним (ok), 15:37, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Как обычно - половая. С мозгом.
     
  • 2.84, Аноним (-), 21:19, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Security through obscurity никогда ни от чего не защищала.

    В криптографии принято чтобы секретным был только ключ. А все остальное - от схемы компьютера до алгоритма секретным быть не обязано. Ну вот эти типы данных - как ключи в криптографии.

    В общем мсье привратно истолковал. Хотя тролланул эффектно, ишь как минусов навинтили :)

     
     
  • 3.85, тоже Аноним (ok), 21:37, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Либо ваш ключ действительно секретный - тогда его достаточно, либо секретности нет.
    Для серьезной криптографии это аксиома. А мсье просто продемонстрировал полную свою неграмотность. Тролли, они такие - готовы прикидываться полными идиотами...
     
     
  • 4.95, Аноним (-), 02:14, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Либо ваш ключ действительно секретный - тогда его достаточно, либо секретности нет.

    Спасибо, Капитан! :)

     

  • 1.31, IMHO (?), 12:13, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это они за Лутовские проршивки мстят
     
     
  • 2.42, Аноним (-), 13:06, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это они за Лутовские проршивки мстят

    Лут (который лазерно-утюжная технология) не требует никаких модификаций прошивок принтера.

    [сообщение отредактировано модератором]

     
     
  • 3.128, www (??), 17:17, 06/12/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Александр Лутов - первый, кто успешно, взломал самсунговскую прошивку принтера, и сломал счетчик для блокировки картриджа.
     

  • 1.34, Аноним (-), 12:26, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Причем тут Windows, Linux, доступ извне в локальную сеть etc? Все гораздо хуже.

    При установке сетевого принтера в конторе вы прописываете ему локальный IP. Если также укажете и шлюз, то сами открываете устройству доступ в Интернет, после чего устройство может посылать информацию производителю. А информацией могут быть, например, сведения о прошивке/перепрошивке устройства. Не сектрет, что для того, чтобы заставить Samsung работать с перезаправленными и/или совместимыми картриджами, можно незаконно перешить устройство. По присланной информации про производитель сможет установить серийник, затем вендора, затем покупателя. Со всеми вытекающими последствиями.

     
     
  • 2.35, Аноним (-), 12:38, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, и вышлет газенваген.
     
  • 2.39, Аноним (-), 13:02, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >можно незаконно перешить устройство

    А какой именно закон нарушается?

     
     
  • 3.43, Аноним (-), 13:07, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой именно закон нарушается?

    Хз, но вообще с гарантии можно и снять - "а вы не фирменные картриджи юзали, нам принтер настучал что вы его дрянью кормите".

     
     
  • 4.46, Аноним (-), 13:27, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> А какой именно закон нарушается?
    > Хз, но вообще с гарантии можно и снять - "а вы не
    > фирменные картриджи юзали, нам принтер настучал что вы его дрянью кормите".

    Как гарантийное соглашение связано с законами?

     
     
  • 5.50, Аноним (-), 13:33, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А какой именно закон нарушается?
    >> Хз, но вообще с гарантии можно и снять - "а вы не
    >> фирменные картриджи юзали, нам принтер настучал что вы его дрянью кормите".
    > Как гарантийное соглашение связано с законами?

    Прямым образом. При кормлении принтера левыми картриджами у вас его могут не взять не только в гарантийный ремонт, но и отказать в послегарантийном обслуживании. Последнее замечание касается не конкретной модели Samsung - не помню где, но видел такую норму у других производителей. Типа такое наказание для отступников :) А в гарантийных обязательствах, к примеру, Brother фраза о неоригинальных картриджах прямо фигурирует.


     
     
  • 6.56, Аноним (-), 13:41, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>> А какой именно закон нарушается?
    >>> Хз, но вообще с гарантии можно и снять - "а вы не
    >>> фирменные картриджи юзали, нам принтер настучал что вы его дрянью кормите".
    >> Как гарантийное соглашение связано с законами?
    > Прямым образом. При кормлении принтера левыми картриджами у вас его могут не
    > взять не только в гарантийный ремонт, но и отказать в послегарантийном
    > обслуживании. Последнее замечание касается не конкретной модели Samsung - не помню
    > где, но видел такую норму у других производителей. Типа такое наказание
    > для отступников :) А в гарантийных обязательствах, к примеру, Brother фраза
    > о неоригинальных картриджах прямо фигурирует.

    А законы-то причем?

     
     
  • 7.82, Аноним (-), 21:11, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    бесполезно, такие не понимают разницы
     
  • 6.74, Аноним (-), 18:33, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Прямым образом. При кормлении принтера левыми картриджами

    Справедливости ради про закон тут ни звука.

     
  • 6.96, Аноним (-), 02:25, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > взять не только в гарантийный ремонт, но и отказать в послегарантийном обслуживании.

    Послегарантийные услуги официальных сервисов обычно стоят столь конских баблосов что не имеют никакого смысла. Дешевле оказывается или выкинуть или починить в стороннем сервисе. При том конские баблосы слупленные за услугу вовсе не гарантируют компетенцию персонала или адекватный подход к проблеме.

     
  • 5.115, Аноним (-), 20:44, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А какой именно закон нарушается?
    >> Хз, но вообще с гарантии можно и снять - "а вы не
    >> фирменные картриджи юзали, нам принтер настучал что вы его дрянью кормите".
    > Как гарантийное соглашение связано с законами?

    Из за левых картриджей будет возгорание, погибнут люди. Конечно никакой связи нет, спи дальше.

     
  • 3.49, Аноним (-), 13:30, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Гарантийные обязательства
     
     
  • 4.57, Аноним (-), 13:42, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Гарантийные обязательства

    Гарантийное соглашение - это не закон.

     
  • 3.91, AlexYeCu (ok), 23:50, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если права на прошивку принадлежат производителю устройства или третьей стороне, при этом прошивка не была официально опубликована под лицензией, допускающей более или менее  свободное распространение и модифицирование, то вполне себе может оказаться 146-я УК РФ.
     
     
  • 4.93, etw (ok), 01:35, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Никакая лицензия прошивку не может ограничивать ее удаление и установку другой. Сама по себе замена прошивки в принципе нарушать ничего не может.
     
     
  • 5.97, Аноним (-), 02:28, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если эта другая получена путем модификации исходной - может, и еще как.
     
     
  • 6.101, etw (ok), 11:03, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Даже если была модифицирована прошивка и это противоречит лицензионному соглашению, то ст. 146 УК наказывает только если целью был сбыт и ущерб получился в особо крупных размерах.
    А речь вообще шла про замену прошивки безотносительно модификации исходной.
     
  • 6.108, arisu (ok), 14:49, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Если эта другая получена путем модификации исходной — может, и еще как.

    а ещё закон разрешает реверсинг и модификацию «в целях обеспечения совместимости».

     

  • 1.44, Аноним (-), 13:20, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вопрос: и где судебное дело? Где обвинения в незаконном нарушении безопасности? Почему пользователь устройства, заплативший за него деньги, не обеспечивается полным контролем за устройством?

    Всё, теперь суньсуньги и деллы - бойкотируемые мной уроды.

     
     
  • 2.64, bubl (?), 15:53, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык не байкотируй, а направляй иск... Где судебное дело? ;)
     
  • 2.87, Аноним (-), 21:49, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё, теперь суньсуньги и деллы - бойкотируемые мной уроды.

    Мсье слоупок? Я, как и многие мои знакомые, самсунговские принтеры/мфу бойкотирую по одной простой причине - они херово печатают и регулярно жуют бумагу. Какие бэкдоры, о чем вы? Просто у собакоедов руки из задницы.

    А к деллу доверия нет с тех пор, как он стал рассказывать, что винда гораздо безопаснее линукса.

     
     
  • 3.109, arisu (ok), 14:50, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А к деллу доверия нет с тех пор, как он стал рассказывать,
    > что винда гораздо безопаснее линукса.

    так они и не врут. просто забыли добавить три слова: «для нашего бизнеса».

     

  • 1.61, Crazy Alex (ok), 14:34, 28/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Тьфу, и ведь сделали бы эту штуку настраиваемой нормально - был бы только плюс... Нет, в секретность поиграть захотелось. Надеюсь, они всё же иск огребут.
     
     
  • 2.75, Аноним (-), 18:34, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Тьфу, и ведь сделали бы эту штуку настраиваемой нормально - был бы
    > только плюс... Нет, в секретность поиграть захотелось. Надеюсь, они всё же иск огребут.

    Ну так корпоративные олухи. Думают что самые умные. А по факту - понятно чего.

     
  • 2.88, Аноним (-), 21:52, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Тьфу, и ведь сделали бы эту штуку настраиваемой нормально - был бы
    > только плюс...

    И 95% админов оставили бы дефолтные настройки (раздолье какирам!), а 5% их таки сменили бы, затруднив жизнь техподдержке.

     
     
  • 3.89, Etch (?), 23:42, 28/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Настройки могут быть разными, в том числе и по дефолту. Например такой сценарий: звоним в техподдержку, называем модель и серийный номер принтера, затем вас просят нажать красную кнопочку сбоку и на запрос об установке коннекта с техподдержкой ответить "да". После чего принтер соединяется с сервером техподдержки и они его чинят.
    Максимально просто и безопасно.
     
     
  • 4.92, filosofem (ok), 00:16, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Настройки могут быть разными, в том числе и по дефолту. Например такой
    > сценарий: звоним в техподдержку, называем модель и серийный номер принтера, затем
    > вас просят нажать красную кнопочку сбоку и на запрос об установке
    > коннекта с техподдержкой ответить "да". После чего принтер соединяется с сервером
    > техподдержки и они его чинят.
    > Максимально просто и безопасно.

    Такая возможность есть во многих принтерах.
    Для этого подойдёт исходящее соединение и выставлять голый зад в сеть не нужно.

     
  • 4.111, arisu (ok), 14:53, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Максимально просто и безопасно.

    а в остальное время он просто иногда сливает информацию. о частоте использования там, о кусочках документов…

     
     
  • 5.113, Etch (?), 18:52, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Максимально просто и безопасно.
    > а в остальное время он просто иногда сливает информацию. о частоте использования
    > там, о кусочках документов…

    Речь шла о том, как производитель должен был сделать. Сливать информацию "в остальное время" он может и сейчас, только об этом стало бы широко известно намного раньше, чем о таком бэкдоре как в данной новости.

     
  • 5.118, Crazy Alex (ok), 22:33, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если удаленный доступ документирован - скорее всего админ доступ к интеренету с адреса принтера таки закроет...
     
  • 3.110, arisu (ok), 14:52, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > И 95% админов оставили бы дефолтные настройки (раздолье какирам!), а 5% их
    > таки сменили бы, затруднив жизнь техподдержке.

    так вот 95% ничего бы и не заметили, а те 5%, которые таки читают документацию, спокойно дали бы техподдержке нужную информацию и так же спокойно сменили бы всё после обслуживания.

     
  • 3.117, Crazy Alex (ok), 22:30, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    дефолты дефолтам рознь. Самое простое - дефолты не меняются, а управление включается/выключается. Можно- железной кнопкой, чтобы меньше шансов угробить эту логику было. Жить она, понятно, должна на отдельном контроллере.
     

  • 1.116, Af. (?), 20:45, 29/11/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Года три назад, здесь же была новость про кофемашину с таким же приколом.
     
     
  • 2.119, Crazy Alex (ok), 22:34, 29/11/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это та, которая микрофонами неисправности ловила? До сих пор восхищаюсь остроумием решения. Датчиков можно гору сэкономить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру