Компания D-Link случайно разместила (https://news.ycombinator.com/item?id=10235382) в открытом доступе закрытые ключи, используемые для формирования цифровых подписей к своим прошивкам и драйверам. Ключи были обнаружены в одном из пакетов с открытыми компонентами прошивок. Также удалось обнаружить скрипты, содержащие команды и пароли для генерации цифровой подписи.
Ключи были найдены при попытке изучения пакета с GPL-компонентами для web-камеры D-Link DCS-5020L. По счастливому стечению обстоятельств время жизни ключей истекло в начале сентября, т.е. они больше не могут быть использованы для формирования новых цифровых подписей. При этом не исключено, что злоумышленники могли узнать об утечке раньше и использовать ключи для организации распространения фиктивных прошивок. D-Link отреагировал на проблему и разместил новый вариант пакета с GPL-компонентами, из которого удалены файлы, связанные с формированием цифровых подписей.URL: https://news.ycombinator.com/item?id=10235382
Новость: http://www.opennet.me/opennews/art.shtml?num=42986
D-Link... да, они такие... они мОгуть...
(В этом месте за кадром играет "папа может" с китайским акцентом).
> D-Link... да, они такие... они мОгуть...Перефразируя Гохо-форумы: "ДЛинк нупы и апазорились"
> Перефразируя Гохо-форумы: "ДЛинк нупы и апазорились"Вы это только сейчас заметили? А их прошивки красноречиво говорили откуда у них растут руки и 10 лет назад...
т.е. я хотел сказать - они и не такое мОгуть сбацать
ничо страшного, просто больше нельзя обновлять длинковые прошивки на длинковые.
Как будто раньше можно было.
было даже нужно, искаробочные прошивки иной раз глючили непомерно, а теперь проще длинк вовсе не покупать
Нужно было сразу ставить [Open|DD]WRT, а не менять одни глюки на другие.
Да-да, дайте мне wrt на des-1210/me, может как раз пофиксят бендвич-лимитеры.
ну поставь опенврт на свитч
> ну поставь опенврт на свитчВ большинстве дешевых роутеров - порты сделаны через чип свича. Чаще всего к тому же управляемый, с vlan и прочая. Из мордочки опенврт можно всем этим рулить. Вот прям загнать порты в групып vlan и все такое прочее...
>> ну поставь опенврт на свитч
> В большинстве дешевых роутеров - порты сделаны через чип свича. Чаще всего
> к тому же управляемый, с vlan и прочая. Из мордочки опенврт
> можно всем этим рулить. Вот прям загнать порты в групып vlan
> и все такое прочее...эх, если бы: http://wiki.openwrt.org/toh/d-link/dgs-1210
> эх, если бы: http://wiki.openwrt.org/toh/d-link/dgs-1210У микротиков вроде был какой-то девайс, в котором гигабитных портов поменьше, конечно, но есть, штук 8 наверное. И опенврт вливается. Хотя в именно свиче openwrt все-таки не раскроет свой потенциал. У сабжа 400МГц проц на всю ораву - он такой реально только конгфигурить чип свича и сможет. О каком либо процессинге траффика или до кучи небольшом серваке - с таким процом можно сразу забыть. Ну и радости там с openwrt в результате будет мало. В конце концов, вланы можно и без вебмордочки прописать, а что-то сверх того... на 400МГц проце, прицепленном на толпу гигабитов? Это не серьезно :)
Случайное не случайно ;-) Прикинулись дурачками, понимаешь :-)
Ну не.
Не надо искать тайный умысел там, где можно объяснить элементарной глупостью.
"Миром правит не тайная ложа, а явная лажа." Виктор Пелевин
> "Миром правит не тайная ложа, а явная лажа." Виктор ПелевинПолная.
>>явная лажа." Виктор Пелевин
> Полная.Вот про толстяков не надо, а то ж мы с язефиром обидимся!
Ты имел ввиду полная жопа?
s/пелевин/масяня/
так вернее IMHO
D-Link уже не первый раз попадает в заголовки новостей по безопасности. Это, а также мой опыта эксплуатации их продукции (ADSL-модемы и WiFi-роутеры) говорят о том, что бардак в этой конторе - нормальное состояние дел. Я уже давно зарубил себе на носу, что лучше с ними не связываться.
Недавно вот с Циской какая-то беда с заменой прошивок случилась.
Про 3-Ком тоже что-то было.
Кто ещё из больших остаётся? Алкатель? Они, вроде, вообще в ящик сыграли...
Раз в год и полотенце стреляет.
>Раз в год и полотенце стреляетТрибуналу расскажешь.
Проблема в том, что не раз в год, а постоянно. То у них бекдор в прошивке, то просто говнокод без проверок, то бажные скрипты, которые даже не используются роутером. И у меня ни разу не было беспроблемного девайса производства D-Link: штук 5 перепробовал - одни виснут, другие теряют сеть, у третьих интерфейс сделан для инопланетян и нужно чуть ли не вручную маршруты указывать (это в домашнем-то роутере), а в каких-то это ещё и сочетается. А недавно настраивал WiFi родственнику, так его D-Link просто забывал настройки после перезагрузки, и приходилось после каждого отключения питания заново всё настраивать.Даже недорогие современные винтовки сами не стреляют, потому что сделаны с умом. А если у разработчиков руки из жопы растут, тогда и полотенце начнёт стрелять, и пирожки - взрываться, и по городу будут бегать клоуны, избивающие прохожих насмерть надувными дилдо.
Juniper?
Домашний роутер за 25000$ ?
> Домашний роутер за 25000$ ?нищеброд?:-)
>> Домашний роутер за 25000$ ?
> нищеброд?:-)За цены на их продукцию, можно нанять дивизию джамшутов,
они в ручную быстрее поймают все вайфаи и замаршрутизируют трафик.
>>> Домашний роутер за 25000$ ?
>> нищeброд?:-)
> За цены на их продукцию, можно нанять дивизию джамшутов, они в ручную
> быстрее замаршрутизируют трафик.Сpочно в эуросоюз -- там у них переизбыток ресурса, говорят. Ещё больше сэкономишь.
Ну пока они там работают только в DMZ, магистральная маршрутизация не налажена, плохие протоколы согласования, вufferbloat не решена.
>>> Домашний роутер за 25000$ ?
>> нищеброд?:-)
> За цены на их продукцию, можно нанять дивизию джамшутов,
> они в ручную быстрее поймают все вайфаи и замаршрутизируют трафик.их нужно кормить, поить и размещать;(
> их нужно кормить, поить и размещать;(А маршрутизаторы что, не надо? Уж кормить электричеством и размещать - точно надо. А на воде так и быть сэкономишь.
>> Домашний роутер за 25000$ ?
> нищеброд?:-)О, а Вы себе какой взяли по шумовым характеристикам?
>>> Домашний роутер за 25000$ ?
>> нищеброд?:-)
> О, а Вы себе какой взяли по шумовым характеристикам?странный у Вас, Михаил, критерий выбора;-) ну и, опять же, "домой" может быть и котеджем, к примеру ;-)
а шумят они не оч и сильно, тут я уже серьезно.
Сомневаюсь, что хозяин коттеджа у тебя закажет не сохо-железяку для таких целей.
> быть и котеджем, к примеру ;-)Ну конечно, поставить жунипер (без вайфая) чтобы роутить на пару планшетов, смартфон и что там еще. Конечно, можно как Ларабел, с персональным датацентром в подвале - там жунипер не будет смотреться совсем уж дико. Но у тебя денег даже на электричество не хватит - ларабеловская инсталляция кушает 3.5 МВт в месяц, например.
> а шумят они не оч и сильно, тут я уже серьезно.
Всего-то как высокооборотная стиральная машина в режиме отжима :)
Я подозреваю, речь о параметрах радиомодуля (сигнал/шум).
> Я подозреваю, речь о параметрах радиомодуля (сигнал/шум).Я подозреваю что он про шум обычного вентилятора. Если в серверной обычно никого нет и адовый вой небольших но оборотистых вентилей, характерных для 19" железа никого не напрягает, дома этот фактор куда как актуальнее.
А в плане радиомодуля - поставить несколько "мыльниц" в разных углах большой хаты - и сильно дешевле и практичнее в плане качества приема, а к тому же они бесшумные и мелкие.
>> Я подозреваю, речь о параметрах радиомодуля (сигнал/шум).Нет.
> Я подозреваю что он про шум обычного вентилятора.
Угу. :)
> поставить несколько "мыльниц"
Возвращаясь к #17...
2 тигар re #29: спасибо, тоже серьёзно.
известный прием - как-бы случайно ...
Вот вам и польза от GPL
> Вот вам и польза от GPLНе нам, а Вам.
Так это ж хорошо, если ключи для тивоизации использовались
Кто-то загружает прошивки не с официальных сайтов?
> Кто-то загружает прошивки не с официальных сайтов?Так бэкдоры как раз в официальной прошивке первым делом и впиханы, если кто за новостями не следит.
Зато теперь у них хорошее алиби: "Это не мы бэкдор сделали, а злые хакиры!"
Лучше бы они исходники бродкомовского wi-fi драйвера "случайно" выложили ;)
дык у дырлинка исходников нет,
их индусам как и всем бредком даёт блоб и обвязку
В той части исходников что они выкладывают, есть файл wl.o.cmd. Он ссылается на файлы находящиеся в директорию broadcom/wl. Самой этой директории в поставке нет, только уже собранный wl.o.Вот примеры имен на которые он ссылается:
wlc_alloc.o
wlc_ampdu.o
wlc_ap.o
wlc_led.o
wlc_rate_sel.o
wlc_phy_ssn.oТаких файлов там несколько десятков. Обычно бродком раздает только wl.o и обвязку для сборки под конкретное ядро. Здесь же все раздельно, с разбиением на поддиректории, что наводит на мысль, что исходники где-то рядом.
> на поддиректории, что наводит на мысль, что исходники где-то рядом.Броадком как-то раз помнится выложил сорец, но бурного энтузиазма оно не вызвало. А вендоровские SDK и тех кто их сватает рекомендую послать в ад. Это куча кривых самопальных грабель. И после того как посмтришь как ath9k работает в майнлайновом линухе, поддерживая все мыслимые режимы и нормально рулясь через линевый mac80211 - становится понятно что непотребный проприетарный трэш должен просто умереть. Вы из него никогда не получится такой же уровень беспроблемности, стабильности, качества и просто комфорта. Примите это ка факт.
> Броадком как-то раз помнится выложил сорецСсылку в студию или там только древние чипы?
Меня лично на данный момент интересует bcm5357 и bcm43142. Если на старых ядрах wl драйвер хоть как-то работает, то на новых доходит до подвешенной системы. Наличие исходников под _любой_ лицензией резко бы повысило шансы на появление нормальных открытых драйверов пригодных на включение в ядро, не говоря уже об банальном баг фиксе того что бродком наваял.
> Лучше бы они исходники бродкомовского wi-fi драйвера "случайно" выложили ;)Броадком сто лет как сам их выложил, насколько я помню. Только особой популярностью в линухе оно не пользовалось. Потому что:
- В линух не берут произвольный мусор "потому что его вышвырнули".
- Уже был b43...
- В линухе есть подсистема mac80211. И все мало-мальски вменяемые драйвера wi-fi должны все делать через это. Но проприерасы про это не в курсе.
- "Случайно выложенный" драйвер может иметь лицензионные или патентные проблемы и его никто не возьмет в майнлайн....а драйвер вне майнлайна - это совсем другой уровень качества, интеграции с системой и вообще, одни большие грабли. Я правда так и не понял чем вся эта эпопея закончилась, но .n и всякая экзотика типа SSB backplane (из роутеровых SoC) в драйверах броадкома в майнлайне таки появилась. Просто броадком как вендырь - по кооперативности и близко не стоял к квалкомм-атеросу где работает толпа линуксоидов и даже вроде какой-то фрибздюк, которые штатно подгоняют интерфейсы ath9/10k к mac80211, опиливают острые углы и все такое прочее.
>> Лучше бы они исходники бродкомовского wi-fi драйвера "случайно" выложили ;)
> Броадком сто лет как сам их выложил, насколько я помню.Есть минимум две очень не похожие друг на дружку ветки, вторая бродит по вендорским андроидным деревьям, на публике не видел.
PS: там ещё bcmdhd.ko получается.
У ведроидов вообще бывают странные драйвера. Потому что там странне чипы. На не менее странных интерфейсах типа SDIO какого-нибудь или там SPI. "Писючные" и даже "роутерные" драйвера вообще не сталкиваются с вещами типа SDIO. Хотя у броадкома я вроде даже SDIO как раз видел. Но в родословную всего этого я не сильно вникал, просто видел в menuconfig что оно есть. А так - как максимум из такого меня WL1251 интересовал. Это писал Kalle Valo из нокии, поэтому оно работает хорошо (Kalle Valo вроде как нынче один из основных майнтайнеров беспроводной подсистемы, от него в майнлайн pull request по беспроводке приезжают).
> У ведроидов вообще бывают странные драйвера. Потому что там странне чипы.
> На не менее странных интерфейсах типа SDIO какого-нибудь или там SPI.При чём тут андроид? На какой-нить CONFIG_BRCMFMAC_SDIO вполне можно напороться на нынешнем интеле. Причём, похоже, обвязку на designware там уже потащили и в десктопы.
"Девушка по вызову", "Миллионер поневоле", "D-Link по ошибке".
Интересно, под какой лицензией выложили?
Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning файл остается валидно-подписанным по истечении сертификата.
> Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning(не заглядывая) А им-то оно зачем?!
>> Самое паршивое, что, если это утекло раньше, то подписанный сертификатом CodeSigning
> (не заглядывая) А им-то оно зачем?!Дрова подписывать и прикладухи. Получить сертификат WHQL и Windows * - compatible нельзя иначе. Да и на дровишки неподписанные ругается так, что не поставить без бубна специальной формы.
А - скорее всего - для экономии - сертификат был один на все.
>>По счастливому стечению обстоятельств время жизни ключей истекло в начале
>>сентября, т.е. они больше не могут быть использованы для формирования новых >>цифровых подписей.Я таки не понял, что помешает злоумышленнику выставить 30 августа и подписать то что ему нужно?
Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время перевести и у всех их клиентов 8)
> Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
> перевести и у всех их клиентов 8)насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им уже до сентября можно подписать что угодно, единственно они могли отозвать сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи при использовании ее в прошивке.
>> Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
>> перевести и у всех их клиентов 8)
> насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой
> ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им
> уже до сентября можно подписать что угодно, единственно они могли отозвать
> сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи
> при использовании ее в прошивке.Для ограничения действия подписи есть:
* Срок действия сертификата
* TimeStamp-сервер для подписывания
* Список отзыва сертификатаСоответственно, если файл подписан без TimeStamp, подпись протухает вмесе с сертификатом
Если подписан с использованием TimeStamp, подпись не протухает никогдапо отзывам - в каждом сертификате (и соответственно в подписи) есть ЛИБО флаг того, что его самого на отзыв проверять не нужно и негде (нормально только у корневых сертификатов), либо URI для а) списка отзывов б) дельта-списка отзывов
Список отзыва а) - большой и толстый; б) - мелкая дельта относительно а)
У самих списков отзыва (а и б) есть срок годности. Так, например, большой и толстый полный список обновляется раз в год, а дельта - раз в неделю.При проверке валидности происходит:
1. Проверка типа подписи (с таймштампом или без)
2. Проверка сертификата по временным рамкам (истек, не истек, подпись с таймштампом = бессрочная)
3. Проверка локального списка отзывов и локального дельта-списка отзывов
4. Обновление списка отзывов и дельта-списка отзывов
5. Данная проверка повторяется по всей цепочке сертификатов до корневого и включая егоЕсли хоть что-то не пройдет, то подпись считается невалидной.
>>> Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
>>> перевести и у всех их клиентов 8)
>> И мне интересно, как осуществляется проверка валидности подписи
>> при использовании ее в прошивке.
> Если хоть что-то не пройдет, то подпись считается невалидной.Само собой процесс описан для идеального коня в ваакуме. Часто эти зависимости игнорируюстся, например, выставляется необязательность иметь свежий список отзыва или на "дельта-список" вообще забивают и выкручивают у обычного списка отзыва дату до предела
Для подписи типа CodeSign, чтобы подпись оставалась валидной _после_ истчения срока действия сертификата, нужно использовать внешний "третий" доверенный источник, т.н. timestamp-сервер.
Если подпись произведена без TS-сервера, то подпись протухает вмесе с сертификатом, если TS был, то подпись остается валидной, даже если истек сертификат
Тут подробнее https://msdn.microsoft.com/ru-ru/library/windows/desktop/bb9...).aspx
> По счастливому стечению обстоятельств время жизни ключей истекло в начале сентябряа то стал бы кто иначе рассказывать, такую годноту палить.