The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL

18.08.2022 11:32

Владелец автомобиля Hyundai Ioniq SEL опубликовал серию статей с рассказом, как ему удалось внести изменения в прошивку, используемую в информационно-развлекательной системе (IVI) на базе операционной системы D-Audio2V, применяемой в автомобилях Hyundai и Kia. Оказалось, что все необходимые для расшифровки и верификации данные публично доступны в сети и для их определения потребовалось лишь несколько запросов в Google.

Предлагаемое производителем обновление прошивки к IVI-системе поставлялось в zip-файле, зашифрованном паролем, а содержимое самой прошивки было зашифровано при помощи алгоритма AES-CBC и заверено цифровой подписью на основе ключей RSA. Пароль от zip-архива и AES-ключ для расшифровки образа updateboot.img удалось найти в скрипте linux_envsetup.sh, который в открытом виде присутствовал в пакете system_package с открытыми компонентами ОС D-Audio2V, распространяемом на сайте производителя IVI-системы.

Тем не менее для модификации прошивки не хватало закрытого ключа, применяемого для заверения по цифровой подписи. Примечательно, что RSA-ключ помогла найти поисковая система Google. Исследователь отправил поисковый запрос, указав ранее найденный AES-ключ и натолкнулся на то, что ключ не является уникальным и упоминается в документе NIST SP800-38A. Рассудив, что похожим образом заимствован и RSA-ключ исследователь нашёл в сопровождающем прошивку коде открытый ключ и попытался найти по нему информацию в Google. Запрос показал, что указанный открытый ключ упоминается в примере из руководства по использованию OpenSSL, в котором также указан и закрытый ключ.

Получив необходимые ключи исследователь смог внести изменения в прошивку и добавить бэкдор, дающий возможность удалённо подключиться к программной оболочке системного окружения IVI-устройства, а также интегрировать дополнительные приложения в прошивку.

  1. Главная ссылка к новости (https://www.theregister.com/20...)
  2. OpenNews: Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl
  3. OpenNews: Бэкдор в межсетевых экранах и контроллерах точек доступа Zyxel
  4. OpenNews: Большинство антивирусов оказались подвержены атаке через символические ссылки
  5. OpenNews: Критические уязвимости в медицинских приборах для мониторинга состояния пациентов
  6. OpenNews: Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57648-ivi
Ключевые слова: ivi, hyundai, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (117) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Hyundai (?), 12:22, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +72 +/
    Отчитываемся: Взяли самый лучший ключ - референсный
     
     
  • 2.18, Rev (?), 12:46, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +28 +/
    В руководстве плохого не посоветуют! :)
     
  • 2.53, Аноним (-), 16:17, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Молодцы, теперь надо проверить сколько еще мега-разработчиков сделало так же :). Зачем же свой ключ генерить если можно уже готовый взять?!
     
     
  • 3.78, Аноним (78), 17:07, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Так даже экологичнее.
     
  • 2.67, Брат Анон (ok), 17:00, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не забудьте получить наклейку ФСТЕК для солидности!
     
     
  • 3.88, test (??), 17:51, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    не наклейку (наклейки на холодильнике и бананах), а СЗЗ
    специальный защитный знак тип 1
     
  • 3.89, Бывалый смузихлёб (?), 18:08, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    буржуинам для буржуйских рынков требуется наклейка ФСТЕК ?
     
     
  • 4.108, dullish (ok), 22:48, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Всем требуется или скоро потребуется наклейка ФСТЕК, но некоторые стесняются в этом признаться. В общем, это как мазь от гемороя. Только наклейка ФСТЕК.
     
     
  • 5.146, Аноним (146), 18:05, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Должно быть 1 Не всем, а только тем кто в договоре использует слова безопасно... большой текст свёрнут, показать
     
  • 2.110, Дениска (??), 02:16, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зато закрытый ключ никогда не потеряется ;)
     
  • 2.147, Аноним (146), 18:09, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший админ у них, дал вам возможность пользоваться свободой изменения прошивки, а вы ему даже спасибо не сказали.
     

  • 1.10, Аноним (10), 12:26, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Когда будет опен соурс на автомобиле?
     
     
  • 2.19, Аноним (19), 12:49, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Тебе и дали тотальный опенсурс вплоть до закрытых ключей, которые тоже опенсурс.
     
     
  • 3.23, Аноним (23), 12:57, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Столлман говорит молодца хорошо зделоли
     
     
  • 4.111, Аноним (111), 05:52, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Столман говорил пароли не нужны и ставить надо пробел вместо пароля)
     
     
  • 5.115, Аноним (-), 06:37, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Столман говорил пароли не нужны и ставить надо пробел вместо пароля)

    Вон там какой-то экземпляр вафлю так и настроил: вместо hidden ssid сделал открытую сеть - с названием из 10 пробелов, лол. Ум... маленький нюанс в том что это совсем уж на дурака. И, таки, все же конектабельно если юзер не совсем уж дyрак.

     
  • 2.66, Брат Анон (ok), 16:59, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Отвечают кепы опеннета: для выяснения этого вопроса вам достаточно опросить всех автопроизводителей.
     

  • 1.12, Аноним (78), 12:28, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Сказочные идиоты. Неужели нельзя разработать какой-то типовой регламент по работе с криптографическими ключами?
     
     
  • 2.21, Rev (?), 12:53, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Какой регламент, если проект от и до разрабатывает один студент за миску риса в день?
     
     
  • 3.27, Аноним (19), 13:24, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > за миску риса в день

    в Южной Корее? Да северяне, оказывается, отлично живут!

     
     
  • 4.47, Аноним (47), 15:26, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Конечно они в телек целыми днями втыкают им рис уже не нужен. У них уже всё хорошо.
     
     
  • 5.126, aname (?), 11:08, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И всё идёт по плану
     
  • 3.124, PnD (??), 10:53, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не скажу за Hyunday, а в Samsung|LG (их "радиотехнических" подразделениях) в 90-е…начале 200х был вполне себе распространён аутсорсинг "коллектива под проект". Нанимали (в т.ч. студентов, из России, по факту за "большое спасибо"). В конце — распускали. Качество тех. поддержки продукта после выпуска было… ожидаемым.

    Так что… Не один студент, и не обязательно за миску риса. Но — вполне возможно что студенты. У некоторых — так даже и "олимпиадники".

     
  • 2.22, Аноним (22), 12:55, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зачем? Развлекательная система это не чип двигателя и не абс, это блин магнитофон, зачем запрещать?
     
     
  • 3.29, Аноним (19), 13:25, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > это не чип двигателя и не абс, это блин магнитофон

    А потом оказывается, что у них общие шины...

     
     
  • 4.37, Анонимомус (?), 13:58, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, есть ли хардварная защита шины, можно ли ее программно заспамить, чтобы перестали работать бортовые системы?
     
     
  • 5.71, Аноним (71), 17:01, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    На CAN? Нет конечно. Можешь туда крикнуть с любого места так, что подушки сработают или стрелкой спидометра махать в такт дворникам. Когда друган на свалке старых авто подрабатывал, мы там часто развлекались. Аккумулятор накинул, интерфейс с алика подцепил и делай что хочешь. Только внутри не сиди, подушками убить может, там пиротехники будь здоров, бахает так что в ушах закладывает.
     
     
  • 6.116, Аноним (-), 06:40, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, за что ему 2 минуса? Как обычно, гонца повесили за неудобные известия? Он же правду сказал. Даже про то что подушкой убить может.
     
  • 6.121, Аноним (121), 07:03, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде бы там две CAN-шины - для ЭБУ и для развлекаловки.
     
  • 5.72, Брат Анон (ok), 17:01, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По всем руководствам -- нет. Но до этой страницы никто не доходит.
     
  • 5.95, Аноним (-), 19:44, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, есть ли хардварная защита шины, можно ли ее программно заспамить, чтобы
    > перестали работать бортовые системы?

    На твоем месте я бы не стал так экспериментировать с своим авто и своей тушкой. Потому что так можно сыграть в ящик, без дураков.

     
  • 3.32, НяшМяш (ok), 13:35, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Проблема в том, что современная медиасистема это не магнитофон. Она немножко висит на CAN шине, чтобы управлять всяким климатом, сиденьями и прочим мусором. Если туда можно будет заливать что угодно, то и с машиной можно будет делать практически что угодно.
     
     
  • 4.43, BorichL (ok), 14:46, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да с ней и так можно делать что угодно, и не только с магнитофоном. Подключиться к CAN можно хоть снаружи.  :-)
     
     
  • 5.106, ABATAPA (ok), 22:23, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно в авто минимум 2 (а чаще больше) шины CAN, и без вмешательства они не пересекаются.
     
  • 4.51, Аноним (51), 15:56, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Если туда можно будет заливать что угодно, то и с машиной можно будет делать практически что угодно.

    Величайшая катастрофа в истории индустрии.

     
  • 4.96, Аноним (-), 19:47, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вон там на хабре даже есть некто реверснувший CAN у себя в авто и освоивший за... большой текст свёрнут, показать
     
  • 3.52, ip1982 (ok), 15:59, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем? Развлекательная система это не чип двигателя и не абс, это блин магнитофон, зачем запрещать?

    Для того, чтобы, сска, привычка была. Работаешь с ядерны^W криптографией — работай должным образом!

    Это не чип двигателя и не абс, это блин магнитофон, зачем шифровать?

     
     
  • 4.73, Брат Анон (ok), 17:02, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Затем, что с этой панельки можно управлять чем угодно в машине.
     
  • 3.70, Брат Анон (ok), 17:01, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А потом оказывается, что через жоп... через развлекательную систему можно отключать сигналку и включать зажигание.
     
     
  • 4.74, Аноним (71), 17:03, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Сигналка как раз всё своё с собой носит и кроме питания и иммобилайзера ни с кем не разговаривает.
     
     
  • 5.97, Аноним (-), 19:49, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Сигналка как раз всё своё с собой носит и кроме питания и
    > иммобилайзера ни с кем не разговаривает.

    Ну тогда расскажи как можно ни с кем не разговаривая поднять стекла, заперть двери, мигнуть поворотниками и все такое? Как минимум стекла и замки это явно CAN.

     
     
  • 6.155, Keleth (?), 09:30, 25/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У моей привод сигнализации дергал зя тягу защелки в водительской двери, активирую центральный замок. :)
     
  • 2.30, YetAnotherOnanym (ok), 13:25, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > типовой регламент по работе с криптографическими ключами

    Он есть и изложен в упомянутой документации.

     
  • 2.46, Аноним (46), 15:20, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Неужели нельзя разработать какой-то типовой регламент по работе с криптографическими ключами?

    можно, так и делают. собирают разрабов/qa/всех причастных, пилят митинг в teams/zoom/etc, где какая-то тётка рассказывает про секьюрность, и как пароли менять, и про ключи, и всё такое. потом проходишь тест из 5-10 вопросов.

    а потом жизнь продолжается

     
     
  • 3.65, хрю (?), 16:47, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно так, я почему-то уверен, что у специалиста, который это породил на стенке висит 100500 различных сертификатов и он во все дыры сертифицирован.
     
     
  • 4.69, ч (?), 17:01, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > во все дыры сертифицирован

    На фоне новости звучит особенно пикантно.

     

  • 1.17, Аноним (-), 12:41, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Поддерживаю хюндай в борьбе с тивоизацией.
     
  • 1.20, Аноним (22), 12:53, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > открытыми компонентами ОС D-Audio2V

    И что не так то? Он хочет что бы НЕЛЬЗЯ было модифицировать прошивку?

     
     
  • 2.31, Аноним (19), 13:30, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе подсказать, зачем вообще всякие httpS придумали? Фурифокс и опенссл - открытые проекты, иди, попроси закрытые ключи в каком-нибудь GlobalSign.
     
     
  • 3.104, Аноньимъ (ok), 21:41, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чтобы центролизировать интернет и централизованно вести логи деятельности отдельных человеков в глобальном масштабе?
     
     
  • 4.142, Аноним (71), 19:38, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С точки зрения среднего параноидного шизофреника — именно так. Но вроде начали с обсуждения реальности, а не фантазии отдельных граждан.
     
     
  • 5.144, Аноньимъ (ok), 20:00, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть простые способы обеспечения безопасности соединения без участия третьих лиц.
    Все дистрибутивы линукса это делают со своими пакетными системами успешно очень давно.

    Это реальность. Реальность также полна не сказочными единорогами, а людьми с людскими пороками.
    Вот уж действительно нужно быть сказочным шизофреником чтобы думать будто бы правительства заботятся о безопасности и приватности ваших данных.

     
  • 3.112, Атон (?), 06:17, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе подсказать, зачем вообще всякие httpS придумали?

    рассказывай.

     
     
  • 4.127, aname (?), 11:13, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что
     
     
  • 5.145, Атон (?), 22:09, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что

    Почему - я понял.

    но вот - зачем?  
    ответа нет.
    сон мой нарушен.

    25852

     

  • 1.24, Аноним (24), 12:57, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Ну вот теперь они сторонники опенсорца! Поздравим товарищей со вступлением в ряды. Не зря корейская система образования считается чуть ли не самой сложной. Там ведь не приветствуется самодеятельность. Почитал руководство, сделал все правильно, и думать ненужно. Так ведь лучше когда все по накатанным рельсам делается. Сразу видно нетретьесортного инженеришку, который получил образование в правильном вузе из которого прямая дорога в крутые инженеры известных копрораций.
     
  • 1.25, АнонимЫЫЫЫЫ (?), 13:04, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Проблема не в разрабах IVI.
    Кто то эфффКтивно сЪэкономил, на персонале.
     
     
  • 2.75, Брат Анон (ok), 17:05, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Технически разрабы к продовой среди и продовым ключам вообще доступа иметь не должны. И даже знать не должны где прод находится.Свой зверинец.
     
     
  • 3.140, А (??), 16:50, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зависит от подхода. Из веяний недавних лет было: оставить на сопровождение и поддержку тех, кто это с-ка написал. Идея примерно в контексте девляпства. И тогда они и на прод ходят тоже, написавшие код.
     

  • 1.26, Минона (ok), 13:18, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    🤦‍♂️🤦‍♂️🤦‍♂️
    🤣🤣🤣
     
  • 1.28, YetAnotherOnanym (ok), 13:24, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это просто праздник какой-то!
     
     
  • 2.40, freehck (ok), 14:25, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И не говори, я уже минуты две хохочу, остановиться не могу! =)
     
     
  • 3.48, Аноним (47), 15:28, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смех без причины — признак дурачины!
     
     
  • 4.134, freehck (ok), 13:19, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Смех без причины — признак дурачины!

    Здравствуй, бабушка! =)

     

  • 1.33, Шарп (ok), 13:35, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Молодцы. Оставили возможность кастомизации прошивки. Энтузиасты оценят.
     
  • 1.34, grennel (?), 13:36, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Грамотный саботаж во имя свободы .Молодцы !
     
  • 1.35, Аноним (35), 13:47, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    - Слыш, Сунь-юнь, там надо нашу прошивку зашифровать, чтоыб никто не похакал. Да, просто сделай как в мануале, в гугле есть.
     
     
  • 2.39, A (?), 14:19, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > ... "Да, просто сделай" ...

    Прям слезу смахнул. Знакомо, знакомо...

     

  • 1.38, A (?), 14:18, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё, что нужно заранее знать, поступая на работу в крупный бренд, про конкретный отдел куда идёшь.
     
     
  • 2.50, Аноним (47), 15:31, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Такие задачи обычно выполняют подрядчики типа Люксофта. Но никто не говорил что они сделали такой финт ушами случайно.  
     
     
  • 3.77, Брат Анон (ok), 17:06, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Такие задачи обычно описаны в ТЗ. Без него никто за работу не возьмётся. И то, что исполнитель сделал именно так -- у него будут проблемы.
     
     
  • 4.81, Аноним (81), 17:10, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ключи для подписи (официальных документов) тоже сам за заказчика генерирует?
     
     
  • 5.128, aname (?), 11:15, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А неплохая идея для софта
     
  • 3.79, Брат Анон (ok), 17:07, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Такие задачи обычно описаны в ТЗ. Без него никто за работу не возьмётся. И то, что исполнитель сделал именно так -- у него будут проблемы.
     
     
  • 4.83, Аноним (83), 17:19, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты походу школу не закончил и реальных ТЗ никогда не видел. Там может быть не написано ровно ничего. Зато ключ дефолтный сам Хундай прислал сказал им подписать.
     
  • 3.93, Аноним (93), 19:10, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Люксофта
    >финт ушами

    Я даже знаю одного менеджера из Люксофта, который с этими ушами регулярно делает всякие финты.

     
     
  • 4.148, Аноним (148), 20:12, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А Люксофт разве ещё жив? Это теперь не подразделение немецкого банка?
     
  • 4.150, Аноним (150), 22:40, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сергей И-с?
     

  • 1.41, qwe (??), 14:29, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    вот непонятно, что все ругаются?

    это не удаленная уязвимость, но дает возможность изменять прошивку

    был бы нормальный ключ - все орали бы, что тивоизаторы тивоизировали прошивку, проклятые проприетарщики и всё такое

    я считаю хундаи - молодцы!)

     
     
  • 2.44, Аноним (19), 14:54, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    расскажи сайтостроителям, нафик они закрытые ключи в секрете держат?
     
     
  • 3.129, aname (?), 11:16, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А часто у них эти ключи спрашивают? Мож если спросить, они и расскажут?
     

  • 1.45, xoy (??), 15:02, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    уверен, чувака посадят за взлом!
     
     
  • 2.54, Аноним (81), 16:25, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А гугл за распространение конфиденциальной информации
     
     
  • 3.117, Аноним (117), 06:44, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А гугл за распространение конфиденциальной информации

    А докописателю пришлют DMCA takedown с требованием убрать из доки ключи или снести доку.

     
     
  • 4.139, Аноним (139), 15:26, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А менеджеру выпишут премию.
     
     
  • 5.149, Аноним (148), 20:17, 20/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Учись программист!
    Команда выполнила задачу - менеджеру премию.
    Команда не выполнила задачу - менеджеру премию.
    Задача на полдороги стала никому не нужна - менеджеру премию.

    Это тебе не программки писать, тут талант нужен чтоб любое положение дел себе в достижения записать.

     
     
  • 6.154, Аноним (150), 22:50, 24/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Учись программист!

    Именно.
    Программистишки сидят, кряхтят, геморрой выращивают, а слабо зашибать всего лишь за трепание языком в нужном месте

     

  • 1.49, Аноним (47), 15:30, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хундай специально всё сделал чтобы кастомщики, могли править проект. А комментаторы на опеннетике как всегда пытаются показать что они самые умные, а Хундай конечно же дураки и не лечатся.  
     
     
  • 2.59, Аноним (19), 16:39, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    хочу кастомизировать сайты... ну ты понял.
     
     
  • 3.64, Аноним (71), 16:44, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну купи себе сайт и кастомизируй пока кастомизилка не отвалится. В чём проблема?
     
     
  • 4.68, Аноним (19), 17:00, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Купи себе ведро болтов, 4 колеса и металлопрокат... Ан нет, ты почему-то готовый авто покупаешь.
     
     
  • 5.76, Аноним (71), 17:05, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да. И делаю что хочу с этим авто. В отличие от *чужого* авто. Или *чужого* сайта. В чём проблема?
     
     
  • 6.84, Аноним (83), 17:21, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    До него не доходит что со своим авто ты можешь делать всё что хочешь. И хундай даёт тебе такую возможность.  
     
     
  • 7.130, aname (?), 11:17, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мечты сбываются
     
  • 5.118, Аноним (-), 06:50, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Купи себе ведро болтов, 4 колеса и металлопрокат... Ан нет, ты почему-то
    > готовый авто покупаешь.

    Как вариант можешь вооооооон тому кастомщику заказать эту возню, сделает в лучшем виде. Будут некоторые сложности с разрешением ездить на этом, но решаемо. А, ну конечно кастомщик не будет все это бесплатно делать, вот тут уж пардон.

    А как ты хотел? Либо ты делаешь работу сам, либо делегируешь другим - за вознаграждение.

     
     
  • 6.138, Аноним (139), 15:26, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лол этим занимаются перекупы, они тебе и подшаманят и прошьют и впарят за дорого, зато не ведро.  
     

  • 1.55, pin (??), 16:26, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Обезьяна с гранатой = обезьяна с криптографией.
     
  • 1.56, Аноним (71), 16:29, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это вам ещё не перевели статью про взлом John Deere. Там даже ключи искать не понадобилось.
     
     
  • 2.58, Аноним (58), 16:35, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот изложили бы вкратце.
     
     
  • 3.60, Аноним (71), 16:41, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.theregister.com/2022/08/16/john_deere_doom/

    Читай сам, если грамотный.

     
     
  • 4.80, YetAnotherOnanym (ok), 17:07, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > With some rather-involved hardware hacking
    > The hack involved getting into the physical guts of the controller and modifying the electronics in such a way to run his code

    Кагбэ, небо и земля, если сравнивать с сабжем. Хотя, есть и общее:
    > The main bug is that nothing's encrypted or checksummed properly

    Там в статье ещё ссылочка шикарная есть:
    https://www.theregister.com/2022/05/02/ukrainian_tractors_deere/
    > The looted tractors and combine harvesters have been remotely disabled, according to an unidentified Ukrainian interviewed by CNN

     

  • 1.57, InuYasha (??), 16:32, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Раздражает то, что после этого ОБЯЗАТЕЛЬНО, вот, надо проорать об этом на все интернеты и перепостить на всех реддитах, твиттерах и опеннетах. Теперь продаваны взбугуртятся и пойдёт волна енкрипций. Нет чтобы спокойно дальше делать кастомные прошивки...
     
     
  • 2.63, Аноним (81), 16:43, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Теперь продаваны взбугуртятся

    и объявят уже проданные продукты дефектными с угрозой госбезопасности с обязательной заменой на новые.

     

  • 1.82, Ананоним (?), 17:19, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скорее всего исполнитель выполнил работу по техзаданию, ключ использовал референсный, подразумевая что заказчик знает что надо будет его заменить. Но заказчик просто не догонял что такое ключи и что их надо менять на свои.
     
     
  • 2.85, Аноним (78), 17:27, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не проще ли сгенерировать собственный и передать заказчику вместе с остальными файлами?
     
     
  • 3.86, Аноним (19), 17:35, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем шифровать, если всё открыто?
     
  • 3.87, Аноним (-), 17:38, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Заказчик всё равно должен сгенерить собственный ключ, который будет известен только ему. А раз так, то зачем париться?
     
     
  • 4.91, Аноним (83), 18:28, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не очень то им и хотелось что-то скрывать.  Они теперь по этому параметру лучше Теслы.  
     
  • 3.90, Аноним (83), 18:26, 18/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А потом шантажировать заказчика чтобы он заплатил ещё и за ключ. А ты смешной! Тебя нельзя брать кредит или участвовать в финансовых сделках, тебя гарантированно поимеют.  
     

  • 1.92, Аноним (92), 18:58, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Здесь я хочу передать привет всем любителям IdentityFile ~/.ssh/id_rsa .
     
  • 1.94, Ананоним (?), 19:41, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    На самую крутую и стойкую систему безопасности всегда найдётся халатный глупец и умножит её на ноль. Вот бы такой нашёлся на закрытые ключики от Intel ME :) Вот этобыл бы OPENSOURCE!
     
  • 1.99, OpenEcho (?), 20:21, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А насчет Tаёты ничего не слышно? Уж больно ограниченная зараза
     
  • 1.107, X86 (ok), 22:33, 18/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пароль: "тут введите какой-нибудь сложный пароль".
     
  • 1.109, Аноним (-), 01:53, 19/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не раз был свидетелем, когда в боевой код вставляли код из примеров copy-paste-ом. Что-то вроде: "А чего париться, если вот, показано, как нужное получить? Тем более, кому же как не авторам знать, как правильно?" Особенно интересно становится, когда сам начинаешь писать примеры: надо и работу с функциональностью показать, и, вспомнив о любителях copy-paste, сделать обработку ошибок, и не превратить пример в демонстрацию обработки ошибок :). Плюс, язык примера сохранить простым и доступным новичку. Целое искусство. И не каждый автор будет со всем этим заморачиваться. Т.ч. лучше относиться к примерам, как к чему-то очень схематичному.

    Брать из примеров ещё и ключи для шифрования - это совсем круто :).

     
     
  • 2.125, onanim (?), 10:59, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у нас в святые девяностые было принято намеренно оставлять примитивные ошибки в коде для защиты от скрипт-киддисов и подобных копипастеров.
     

  • 1.133, Аноним (133), 11:49, 19/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Такие новости — елей на душу, помогает от синдрома самозванца :D
     
     
  • 2.143, Аноним (71), 19:40, 19/08/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Синдром самозванца напрямую связан с жадностью и завистливостью. Подумай над этим.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру