| 1.1, A.Stahl (ok), 18:34, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Не совсем понятно, почему это назвали уязвимостью.
Сами же пишут, что:
>специфичные для мышей команды предаются без использования шифрования и не требуют аутентификации
Т.е. любой может что-то отослать. Для этого не нужно что-то взламывать, кому-то врать и т.п.
Эдак можно и в спичечном коробке найти уязвимость -- его может открыть любой, а не только хозяин. И даже взять спичку можно.
| | |
| |
| 2.2, Алексей (??), 18:40, 24/02/2016 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Эдак можно и в спичечном коробке найти уязвимость -- его может открыть любой, а не только хозяин.
Уязвимость в способе хранения того, что должно быть невозможно взять любому.
| | |
| |
| 3.37, Аноним999 (ok), 03:55, 25/02/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Суть статьи в том, чтобы все отказывались от радио-мышек и бежали покупать блютуз-мышки.
Статья — реклама блютуз-мышек.
| | |
|
| 2.4, АнонимХ (ok), 18:47, 24/02/2016 [^] [^^] [^^^] [ответить]
| +19 +/– |
 Каким бы язвительным не был твой камент, ты прав.
Но не напишет же Логитек, или прости хосспаде, Микрософт: "Нас спалили на говнокоде в очередной раз. Но дело даже не в коде, а в нашей политике и маркетинге: нам насрать на качество, безопасность и клиентов, лишь бы было больше продаж и больше внедренных зондов. Поэтому, пожалуйста, не копайтесь в нашем дерьме, а то еще чего-нибудь найдете, подтверждающее наше скотское отношение к качеству продуктов и пользователям".
| | |
| |
| 3.32, Аноним (-), 00:53, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Далее должен идти список проектов без уязвимостей, с идеальным кодом и т д.
Очевидно, что они сделали так для скорости работы мыши, ну и немного накосячили.
| | |
| |
| 4.39, Dobro666 (ok), 06:44, 25/02/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 >>Очевидно, что они сделали так для получения большей прибыли при меньших затратах, ну и наняли индусов, которые им говнокод написали.
fxd, не благодари.
| | |
| 4.48, Michael Shigorin (ok), 14:18, 25/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Далее должен идти список проектов без уязвимостей, с идеальным кодом и т.д.
Мало того, где выплачивали премии за дырки и баги. Нетривиальных проектов, понятно.
Сами составите или подсказать?
| | |
| |
| 5.62, Аноним (-), 16:32, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Далее должен идти список проектов без уязвимостей, с идеальным кодом и т.д.
> Мало того, где выплачивали премии за дырки и баги. Нетривиальных проектов,
> понятно.
> Сами составите или подсказать?
Неужели ALT выплачивает???????
| | |
| |
| 6.70, Michael Shigorin (ok), 21:55, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Мало того, где выплачивали премии за дырки и баги.
> Неужели ALT выплачивает???????
ALT много лет платит з/п своему security officer, что сказывается на довольно разных фрисофтовых проектах. :)
Недавно бутстрапил нашу glibc на эльбрусе, заодно лишний раз повсплывало, где есть завязки на добавленное.
| | |
|
|
|
|
| 2.8, MPEG LA (ok), 18:51, 24/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >Т.е. любой может что-то отослать
ну вот это и есть уязвимость в алгоритме обмена. это чем надо было думать вообще чтобы так сделать?
| | |
| |
| 3.41, hoopoe (ok), 09:12, 25/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 головой, но немного о других вещах: о стоимости железа и энергопотреблении. мыша (в отличии от клавы) может генерировать и отправлять в сеть по несколько сотен событий в секунду, и любой overhead на пути от юзера до радиосигнала повлияет либо на задержку, либо на время жизни батареи
| | |
| |
| 4.56, MPEG LA (ok), 17:39, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>головой, но немного о других вещах: о стоимости железа и энергопотреблении
это решается элементарными алгоритмами шифрования, со сменой сессионного ключа раз час (для примера), и не оправдывает передачу потенциально конфиденциальных данных в незашифрованном виде.
возможность передачи нажатий клавиш по "мышиному" каналу еще раз доказывает что думали "головой"
| | |
|
|
| 2.10, Ололим (?), 19:03, 24/02/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Я лет пять назад коллеге рассказывал у него в гостях, что зря купил домой столь странный набор из брендовой техники и беспроводной мыши с клавиатурой.
Пока я ему это рассказывал, ему нагадили полный блокнот словами TESTTESTTESTTEST =)
Его впечатлило.
Дело было в высотке рядом с гостинницей.
| | |
| 2.16, Аноним (-), 19:37, 24/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
При создании экспериментального прототипа исследователям удалось добиться подстановки ввода со скоростью до 1000 слов в минуту. Для установки руткита на систему пользователя оказалось достаточно 10 секунд.
| | |
| 2.59, gogo (?), 19:25, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Уязвимость потому, что корме мышиных команд можно таки нажатия клавиш передавать!
Если бы только мышь по экрану ползала, то было бы на три порядка труднее руткит запустить.
Лично я задумался об отказе использования беспроводной мыши.
| | |
| |
| 3.63, Аноним (-), 16:33, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Уязвимость потому, что корме мышиных команд можно таки нажатия клавиш передавать!
> Если бы только мышь по экрану ползала, то было бы на три
> порядка труднее руткит запустить.
> Лично я задумался об отказе использования беспроводной мыши.
Интеллигентные люди никогда об использовании беспроводной мыши и не задумывались.
| | |
|
|
| 1.3, Аноним999 (ok), 18:43, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Ну, всё. Отказываюсь от беспроводной мышки, радиус у которой не более трёх метров и иду покупать проводную. А-то вдруг соседи по дому будут писать в ВКонтакте от моего имени.
| | |
| |
| 2.5, АнонимХ (ok), 18:50, 24/02/2016 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Это типа сарказм?
Завтра твою машину, оснащенную последними "достижениями" Internet of Things, мамкины хакеры "вильнут" на шоссе, и твой ребенок и жена умрут в катастрофе, а ты будешь парализован и продолжать постить на опеннете как тебе на всё насрать.
| | |
| |
| |
| 4.26, РОСКОМУЗОР (?), 23:07, 24/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Где там зависть? По делу сказать нечего? Да системы на авто могут взломать что приведет к угону или автокастрофе, причем тут зависть, даунятко?
| | |
| |
| 5.31, Crazy Alex (ok), 23:28, 24/02/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Это из серии "давайте заменим компьютеры счётами - их не взломают". ну да, с усложнением приходят новые риски - но это усложнение делается ради новых плюшек, и обычно дело того стоит.
| | |
| |
| 6.33, Аноним (-), 00:57, 25/02/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> ради новых плюшек, и обычно дело того стоит.
В случае с авто - нет. Зачем вообще их медиацентрам управлять тормозами и прочим? Абс дожен быть обособленным, да и не нужен вообще.
| | |
| |
| 7.38, Crazy Alex (ok), 05:18, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Сюрприз - так и есть. Медиацентры и близко не имеют отношения к тормозам. Разумеется, это не значит, что в тормозах нет своей управляющей логики и не значит, что эта логика не управляется извне в зависимости от дорожной обстановки, скорости и мешка других параметров.
А вот насчёт "не нужен вообще" - это как раз призывы вернуться к счётам. Кроме здравого смысла есть исследования и статистика, подтверждающие полезность ABS.
| | |
| 7.42, Аноним (-), 09:32, 25/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Просто не надо мультиплексировать информацию о состоянии и управляющие сигналы в один физический канал. Безопасность от этого не добавляется.
А то вон чего захотели - чтобы проводов поменьше было и всё сразу подключалось.
Надо разнести управление и выдачу информации на разные интерфейсы.
Да, дороже. Да, больше проводов. Но машина - не самолёт, датчиков и устройств поменьше, метраж проводки - не километры.
| | |
|
|
|
| 4.49, Michael Shigorin (ok), 14:22, 25/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Зависть - порок. Не надо завидовать чужой машине.
Так уже показывали такое -- пользуясь тем, что критичные и "потребительские" куски начинки имеют доступ к общей шине, помнится, без какой-либо авторизации, блокировали двери, стёкла и что-то делали с тормозами через дырки в магнитоле (привожу очень примерно и по памяти, но возможности нагадить получались где-то такие).
| | |
| |
| 5.65, Аноним (-), 16:35, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Зависть - порок. Не надо завидовать чужой машине.
> Так уже показывали такое -- пользуясь тем, что критичные и "потребительские" куски
> начинки имеют доступ к общей шине, помнится, без какой-либо авторизации, блокировали
> двери, стёкла и что-то делали с тормозами через дырки в магнитоле
> (привожу очень примерно и по памяти, но возможности нагадить получались где-то
> такие).
Без сомненья, Жыгуль (сиречь Лада-Малина или как бишь ее) неуязвим :)
| | |
| |
| 6.69, Michael Shigorin (ok), 21:53, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Без сомненья, Жыгуль (сиречь Лада-Малина или как бишь ее) неуязвим :)
За что и любим -- сапог в бою надёжней. :)
| | |
|
|
|
|
| 2.7, Аноним (-), 18:51, 24/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
На деле с мощным передатчиком вполне можно осилить и до 30 метров. Просто авторы не стали уж совсем пугать. Уязвимость -- огонь. Не в том смысле, что ранее это было невозможно, а в том, что реализацию выставили на обозрение и школоло-хацкеры будут приносить баксы тем, кто умеет делать и продавать сии девайсы :)
Я уже не говорю про тех, кто может посещать вашего бухгалтера под видом настройщика 1С. На, смотри на флешку, админчег -- проверил? Вирусов нет. Фиг сдва. Забыл адаптер и вауля, полный контроль на компом бухгалтерии. Вауля и полный контроль над сетью предприятия. И таких мелких фирмочек можно "обналичить" миллионы. По всей России. Было бы желание... =)
| | |
| 2.9, Аноним (-), 18:56, 24/02/2016 [^] [^^] [^^^] [ответить]
| –4 +/– |
Переходите на тачпед. Уже полгода юзаю, полёт нормальный.
| | |
|
| 1.11, Аноним (-), 19:10, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А у меня какая-то мышь в столе валяется, что дальше двух метров не работает. Как её враги учуют?
| | |
| |
| 2.13, Andrey Mitrofanov (?), 19:21, 24/02/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
> А у меня какая-то мышь в столе валяется, что дальше двух метров
> не работает. Как её враги учуют?
Возьмут кувал^Wантенну побольше. Как _всегда_ же.
| | |
| |
| 3.51, Michael Shigorin (ok), 14:25, 25/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> А у меня какая-то мышь в столе валяется, что дальше двух метров
>> не работает. Как её враги учуют?
> Возьмут кувал^Wантенну побольше. Как _всегда_ же.
Чисто технически говоря, связь обычно двунаправленная (на это порой нарываются те, кто хотел бы накрутить передатчик в wifi-точке, но не понимает, что есть ещё передатчик в wifi-клиенте и без сопоставимых произведений мощности*чувствительности сторон кина не будет).
| | |
|
|
| 1.12, Аноним (-), 19:10, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Новость никак не повлияла на мое нежелание использовать беспроводные мыши. Как не желал, таки не желаю.
| | |
| |
| 2.14, Andrey Mitrofanov (?), 19:24, 24/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Новость никак не повлияла на мое нежелание использовать беспроводные мыши. Как не
> желал, таки не желаю.
На моё тоже: как не было его, нежелания, так и нет. Но замечаю странное: желание пропатчить мышь. ---Я лесбиян?
| | |
| |
| 3.21, Аниним (?), 21:09, 24/02/2016 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> замечаю странное: желание пропатчить мышь. ---Я лесбиян?
Нет, вам просто месяц в кащенко надо полежать. Вас там вылечат.
| | |
| |
| 4.66, Аноним (-), 16:36, 26/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> замечаю странное: желание пропатчить мышь. ---Я лесбиян?
> Нет, вам просто месяц в кащенко надо полежать. Вас там вылечат.
На месяц не кладут, чувак. Самое безобидное - клиническая депрессия - полгода в дурке под капельницей с нейролептиками.
| | |
|
|
|
| 1.17, Okarin (ok), 20:23, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 * Посмотрел на своего логитековского мыша.
* Печально вздохнул и сделал для USB-адаптера шапочку из фольги.
| | |
| 1.18, 123 (??), 20:46, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Секрет полишинеля, все про это лет 15 как знают. Рассказать про видеоудлиннители и то что все системы безопасности на 433 МГц рассчитаны на честных людей?
| | |
| 1.22, Mirraz (ok), 21:42, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Пользовался одно время беспроводной мышью. Когда замаялся покупать батарейки к ней, купил нормальную.
| | |
| |
| 2.24, Аноним (-), 22:17, 24/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
у меня на логитеке одной батарейки хватает примерно полгода-год постоянного использования. сами батарейки продаются в икее по 100р за 10 штук.
| | |
| |
| |
| |
| 5.67, Аноним (-), 16:37, 26/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А разве неумение системно мыслить - это религия?
Нет, это признак дyрачины.
| | |
|
|
| 3.35, Аноним (-), 01:00, 25/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> у меня на логитеке одной батарейки хватает примерно полгода-год постоянного использования.
> сами батарейки продаются в икее по 100р за 10 штук.
Скорее за 1 штуку в средней полосе... (Икей нет)
| | |
|
|
| 1.29, Crazy Alex (ok), 23:26, 24/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
а вот не фиг лепить проприетарные протоколы, когда можно стандартный bluetooth использовать.
Впрочем, в чём смысл беспроводной мыши я уже много лет понять не могу.
| | |
| |
| 2.40, Аноним (-), 08:38, 25/02/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
поиспользуй блютус в биосе, поиспользуй его ещё раз, ты не использовал блютус в биосе три дня, пойди поиспользуй
| | |
| 2.43, Аноним (-), 10:31, 25/02/2016 [^] [^^] [^^^] [ответить] | +1 +/– | С bluetooth не все так хорошо как могло бы показаться Как правило подобные ради... большой текст свёрнут, показать | | |
| |
| 3.47, Crazy Alex (ok), 12:31, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот в моей конторе - сидит что-то около сотни человек в одном зале, у половины - bluetooth мыши/клавы (эппловские, да, вместе с эппловскими компами). Вайфая сетей под 50. Но жалоб как-то ни разу не слышал. То ли условия другие, то ли на ваших пяти метрах сходить с ума начинает, то ли всё же довели до ума.
| | |
|
| 2.52, Michael Shigorin (ok), 14:30, 25/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> а вот не фиг лепить проприетарные протоколы,
> когда можно стандартный bluetooth использовать.
С ним, помнится, тоже "не всё так однозначно"(tm) было -- первую спецификацию выкатили без peer review, смерти подобная ошибка дизайна была выявлена чуть ли не тут же. При этом какое-то количество потребительских устройств было к фанфарам уже произведено.
Маркетолухи, они такие.
| | |
| |
| 3.60, Crazy Alex (??), 19:53, 25/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Зато сейчас это уже дубовый проверенный временем продукт. То же, кстати, и дел автомобильных касается - вычистят, если уже не вычистили. А риски - если кто готов рисковать ради новых плюшек и хочет опробовать новинки - это их дело, чай, взрослые люди, сами отвечающие за свои действия.
| | |
| |
| 4.68, Аноним (-), 16:38, 26/02/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Зато сейчас это уже дубовый проверенный временем продукт. То же, кстати, и
Да, сгнил и разложился настолько, что даже не воняет. Зрелый, да.
> дел автомобильных касается - вычистят, если уже не вычистили. А риски
Ага, щаз. "Блажен, кто верует".
> - если кто готов рисковать ради новых плюшек и хочет опробовать
> новинки - это их дело, чай, взрослые люди, сами отвечающие за
> свои действия.
И их забирает естественный отбор.
| | |
|
|
|
| 1.36, Аноним (-), 01:57, 25/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Новость из разряда мы наши косяк но, самые первые исправили его в Logitech. Это скорее реклама и пиар нежели сообщение об опасности. Тем более если данные изначально не шифруются разве у самих же разработчиков этих мышей не было мысли что это позволит перехватывать данные. Типа сам дурак, но феерично исправился
| | |
| |
| 2.55, АнонимХ (ok), 16:01, 25/02/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
Надо подумать еще. Разработчики тут ни при чем. На собственном опыте уверен, что информировано было лицо, принимающее решения. И оно, это лицо, сказало: "нафиг шифрование, нафиг лишнюю функциональность. Взлом? Вот ты, Марь Иванна, можешь щас взломать наш канал? Нет. И я нет. Все это чушь, мы не военные и не секретные материалы, нам всё это не нужно, и вообще, в китае уже заказаны и прошиты чипы на прошлой неделе. И вам, ребятки, писать драйвер под это дело, срок - вчера."
| | |
|
| 1.44, PnDx (ok), 11:29, 25/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Что-то мне подсказывает, что при написании драйверов HID перемудрили таки с абстракциями. Иначе с какого перепугу от устройства координатного ввода принимаются (все?) скэн-коды без разбора?
Назвался мышью? От тебя сигнализация по 3-м осям и *дцать "мышиных" кликов. Как-то так (должно быть).
Производителю железа в такой ситуации достаточно прибить гвоздём id железки, и дальше говнокодь как хочешь свои контроллеры — дальше поддельных кликов фиг проэксплуатируешь.
| | |
| |
| 2.71, Aleks Revo (ok), 10:38, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 "Комбинации клавиш" - очень востребовано в игрушках (вероятно ради них и вносилось).
| | |
|
| 1.45, Аноним (-), 12:08, 25/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тема уязвимости под linux не раскрыта. Можно ли ограничить доступные команды для конкретного usb-устройства?
| | |
| 1.46, Аноним (-), 12:16, 25/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Правильно ли я понял, что мыши, работающие через стандартный драйвер, т.е. не требующие установки отдельных дров, не подвержены данной уязвимости?
Массовые дешевые радио-мыши, вероятно, относятся к последней категории?
| | |
| 1.72, aaa (??), 21:07, 29/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Расскажу Вам сказку про L1. Жили были Вася и Федя в соседних домах. Им не хотелось платить за телефонную связь("Ростелекому"). Прикупили они себе рации (Motorola) и начали общаться. А в соседнем подъезде жил Петя, радиолюбитель. И вдруг он их услышал, понравились они, и начал он с ними разговаривать. НО Петя был "дурак"? Федя и Вася прочитали инструкцию и включили CT или DCS. Они зашифровались. И Петя не смог понять их. Но Петя, не дурак, Им в отместку кт817 поменял на кт829 нажал кнопку РРТ и включил пылесос!
И организовал им DDOS:)
Задумайтесь о wireless связи!
| | |
|
