Pull to refresh

Comments 505

В интренете уже начали появляться попытки написания дешифровщиков: github.com/leo-stone/hack-petya

Так дешифровщику этому уже год.
Как выяснилось этот дешифровальщик только для старых версий, Petya существенно модифицировался.
Est' infa 4to posledniy symantec uspewno udalyaet petyu… Sey4as probuem ponyat tak li eto…
В настоящее время платить выкуп попросту бесполезно, так как адрес wowsmith123456@posteo.net, по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.

Да и вообще покупка дешифровальщика — сомнительное предприятие.
и «ПриватБанк»

Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )

А так, врятли эта атака есть действие одного дня, по любому подготовка уже длится не один месяц (внешние уязвимости, соц.инжинеринг, инсайд), просто «Петя» ждал команды, сегодня её получил.
Отличное, показательное, выступление вирусни — он отлично показал уровень соблюдения АйТи безопасности в гос. учреждениях и не хило так ударил по самолюбию всяких АйТи «Директоров» из разряда «Сыночек, главбуха».

Ничего не имею против автора, но если он на это нарвался то где-то что-то было сделано не так — наверное первое, это, компания, пользующаяся аутсорсом, с таким количеством компов.

P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.

ну ересь же. Есть примеры ПК на разных ОС (7-10) с последними апдейтами которые молча взяли ребутнулись и попросили 300уе.

А причём тут версия оси до обхода блокировок?

Да и вообще, что такое «с последними апдейтами»? В принципе нет такого понятия как «последний апдейт», ну разве что у вас Win98.
Да и апдейты для того-же ванкрая прикрывают внешние пути проникновении но никак не «изнутри».

В общем смотрите на проблему шире, эта проблема комплексная а не о том стоят апдейты и варез или нет.
Да и вообще, что такое «с последними апдейтами»?

Это когда заходишь в обновления и там ничего не пишут.

И в чём гарантия?
То что там ничего не написанно то это не значит что все обновы стоят.
Этот вопрос можно решить только посмотрев лог обнов и сравнить номера с билютенями.

О, спасибо за коммит в копилку агрументов о том, почему Windows — это зло.

А для этого нужны аргументы?

Вообще ничего не имею против винды, нормальная ось но нужно за ней ухаживать и проблем не будет вообще.
Linux то-же можно настроить так что будет дырявый как друшлак, особенно если обновлять софт раз в надцать лет.

Ну, основной аргумент, который я слышу относиться к "юзерфрендли" винде и тому, что она вроде как куда проще linux.


А получается, что я даже не могу убедится, что у меня последние обновления стоят)

Любой механизм может сломаться. Если Windows Update сломался по каким-то причинам — актуальные обновки может и не показать. Но это применимо и к любому другому механизму обновления. Стопроцентных гарантий вам никто не даст.

Как я понял, тут порочность еще в основном механизме обновлений.
Скажем, в Ubuntu есть версия пакета. В один момент можно точно сказать, какая версия пакета стоит и последняя ли она.


В случае с Windows различные апдейты могут пропадать, собиратся в коммулятивные обновления и прочее. В итоге, выяснить если ли у вас конкретный апдейт или нет становится проблематично. Тут дело даже не в глюках, а в самом методе работы.

Увы, в Ubuntu проблема та же. Нужное вам обновление могло просто не попасть из PPA автора программы в репозитарий Ubuntu.

В Winddows с этим проще — микрософт одновременно выпускает обновления для всех версий. В Linux частая ситуация, что в какие-то дистрибутивы обновление попало, а для каких-то нужно качать из PPA.

А как только вы используете PPA — у вас получается несколько «последних» версий. И приходится выяснять, какая из них более последняя. Иногда лучшей версий является вовсе не PPA автора.
Разве в Ubuntu не добавляют разные префиксы если пакет уже изначально модифицирован по отношению к оригиналу?
А чем это поможет? Все равно линейная история — лишь у одного варианта. А если нужный патч туда не попал — приходится искать, где он есть.

Для какого софта? Вроде почти весь повсеместно используемые софт или имеет свои ppa, которые всегда актуальные, или последняя актуальная версия довольно быстро появляется в ubuntu ppa.


Если же вы говорите про приложение, которое использует довольно маленькое число людей, то на windows у вас даже не будет автоматических обновлений.


Если вспомните про какие-то питоновские пакеты, например, jupyter — то их можно ставить и обновлять через pip, например, так же как для nodejs — npm, для ruby — gem и так далее. Такие проблемы и на винде тоже будут.

Да очень много для какого. Софт из ppa бывает несовместим с дистрибутивом, а софт из дистрибутива — не иметь нужный фич.

Как пример — OpenOCD. Версия из Debian stable — не работает с нашими STM32, от автора — тоже. А то, что работает — какое-то сильное левое и последних обновлений не содержит.

А если вы переходите на buildroot — все ещё веселее.
1) Есть ядро от производителя чипа. С патчами для данного чипа и багами.
2) Есть ванильное ядро, но патчи от производителя туда без бубна не ставятся.
3) Есть нечто смешанное — и не ванильное и не от производителя, но работает.

И тут прилетает необходимость срочно закрыть дыру. И начинаются пляски с бубном и подпиливание патча напильником.

Ну в общем это все примерно одинаково в любой ОС.
А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности? Если вас не устраивает скорость, с которой они выкладывают обновления (к слову, делают они это быстрее, чем Microsoft) никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев) и распространить в своей организации удобным вам способом (aptly, ansible, etc.)
А причем тут PPA, если софт, наличие обновлений которого важно для безопасности, лежит на security.ubuntu.com и обновляется лично Canonical при первой же возможности?

Мягко говоря — сказки. То есть это верно только для хомячков. как только вам нужен софт посвежеее — приходится ставиться из PPA. Или вообще из левого источника.

Уже приводил пример — OpenOCD для наших плат берется не с Debian/Stable, и не с сайта авторов, а из левого источника, где оно к нашим STM32 адаптировано.

И обновляется оно там — редко. А основная ветка про наши платы не знает. И так — постоянно. Как только на linux начинаешь серьезно работать — вот такая вот петрушка.

А для безопасности важно то, что заражается. Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.

Никто не запрещает вам собрать новый пакет самостоятельно (из слитых лично вами сорцев)

Между прочим, linux — это не только ubunta для хомячков. Можете посмотреть у себя дома — у вас 5-10 машин с линуксом (мобильник, телевизор, роутер, медиаконвертор и так далее) и на всех кроме десктопа — линукс, но далеко не ubunta. Если уж говорить о маcсовом дистрибутиве — это прежде всего buildroot (если можно этот зоопарк назвать дистрибутивом).

А там вообще горе горькое. Ибо ванильное ядро не встает на плату. Нужны патчи от производителя кристалла и от производителя платы. И если в ядре свежая дыра — значит самому, ручками накатывать нужный патч. ну и напильником его подтачивать.

Ну в общем попробуйте ради прикола понять, какое у вас ядро в мобильнике работает. Какие патчи там наложены, какие нет. И из сорцов попытайтесь его обновить. Вот когда вы это сделаете — тогда и поймете, что в линуксе — не легче, чем в винде.
Вы уверены, что свежая версия OpenOCD критически важна для безопасности системы?
Как только будет атака именно на неё — станет важна. Или вы считаете что такая атака невозможна? А пока жаренный петух не клюнет — не важна.

Увы, аналогичного софта — много. Начиная с того же скайпа, который мне пришлось пару лет отнюдь не из репозитариев ставить (на ubuntu между прочим). Или вам и атака на скайп кажется фантастикой?
UFO just landed and posted this here
Да ставилась на них WinCE, но… Ну в общем на кастомное устройство проще и дешевле поставить линукс. Так что он заслуженно почти монополист.

А ограничиваться мы будем тем, что заражается. Роутеры и фоторамки — вполне себе заражаются.
UFO just landed and posted this here
Нельзя обсуждать то, чего нет. Давайте подождем 50 лет до появления в Windos единого механизма обновления для всех программ, а уж потом — будем обсуждать, хорош ли он.
UFO just landed and posted this here
> Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.

Я не понимаю, это ирония такая, или вы это правда серьёзно?
С сетью он общается (например для отладки приложения в GDB), запускается под рутом (чтобы доступ к физическим устройствам иметь), в чем проблема для него эксплойт сделать?

Руки у вирусописателей не дошли, вот и вся проблема.
запускается под рутом
Почему бы сразу сразу SSH с паролем qwerty наружу не выставить? А вообще, речь вроде шла о безопасности самой системы. Атаковать ваше внешнее устройство, как вы описали ниже — да, скорее всего выйдет. Но не думаю, что за озвученную вами цифру $10k кто-то реально будет этим заморачиваться.
И внешнее, и саму систему, где идет сборка из исходников и прошивка. При цене сорцов в миллион долларов — почему бы не потратиться на промышленный шпионаж? Скажем тем же китайцам.

В порядке паранойи мы и стоимость распиливания кристалла и считывания из ПЗУ электронным микроскопом рассматривали. Тому же SAMSUNG вполне по плечу такое. Дорого, да и Корея не Китай, но при некой цене — будет выгодно.
UFO just landed and posted this here
лучше вы расскажите, почему она не помогает в данном конкретном случае.
UFO just landed and posted this here
Придет кому-то в голову светлая мысль заразить OpenOCD — будет глобальный жирный песец.
При правильных конфигах не будет.
Сесть и написать? Сейчас почти в любом Linux-дистрибутиве из коробки есть SELinux или AppArmor. Пускай всякие «Пети» хоть обшифруются, навредить у них никак не выйдет.
Ну попробуйте, напишите… :-)))

Собственно суть атаки такая.
1) Через инет подключаемся к OpenOCD (имитируем GDB).
2) Считываем прошивку из устройства.
3) Извлекаем из неё ключи.
4a) Имеем возможность атаковать любое устройство из серии
4б) Имеем возможность спиратить прошивку.

Устройство — это то, что через OpenOCD отлаживается или прошивается.

Ну и чем ваши правила тут помогут?

Вполне реальная атака, при бюджете в 10 тысяч долларов — ничего нереального не вижу. Китайцам вполне доступно.
Выставлять OpenOCD голой жопой в интернет по-видимому настолько же разумно, насколько разумно делать то же самое с SMB в Windows. Зачем так поступать?
Для выполнения основной цели — удаленной прошивки устройства. :-)

ну как пример командировки в Москву: в 5-30 выехали из Питера, в 19-30 вернулись. В Москве всего 7 часов, из них 2 на дорогу.

И если что случится, то нужно, чтобы коллега (он у себя дома в Питере) исправил срочно. В этой ситуации — в инет выставляется все.

Ну а если время есть — то, да, через vpn-туннели. Но это только если есть время.

P.S. Увы, генеральский эффект никто не отменял. на испытаниях иногда ломается и то, что не должно было никогда сломаться.

А заранее vpn-туннель настроить религия не позволяет?

Сложно предугадать заранее, что потребуется. Доступ по ssh настроен заранее, а все остальное… Обычно оно не нужно, но есть варианты.
> Но это только если есть время.

Это ваши проблемы, а не проблемы с обновлениями в Linux. И, действительно, почему не подготавливаете оборудование заранее?
Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности. ssh-доступ есть, но иногда его не хватает.

Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?

Увы. В linux или мэйнстрим — и на конкретном железе не работает. Или патчи для конкретного железа — и никаких обновлений.

Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили? Heartbleed на вашем мобильнике закрыт? А на мобильнике вашей жены. родителей и друзей?

А что на домашнем руотере? Когда последний раз обновления ставили? И есть ли на него обновления вообще? Heartbleed на роутере закрыт?
> Самый общеизвестный пример — мобильнике на андроиде. Давно себе обновления ставили?
Вчера новую прошивку накатил.

> Heartbleed на вашем мобильнике закрыт?
Закрыт.

> А на мобильнике вашей жены. родителей и друзей?
Тоже закрыт.

> А что на домашнем руотере?
Тоже.

> Когда последний раз обновления ставили?
Когда обновлял клиент OpenVPN.

> И есть ли на него обновления вообще?
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).

> Heartbleed на роутере закрыт?
Закрыт.

> Но давайте вернемся к обновлениям. Вы что, считаете, что в linux с ними все отлично? И что ветки, сделанные вендорами для конкретного оборудования, оперативно обновляются?
Ну а вы не используйте платы, которые не поддерживаются в апстриме. Есть и x86-платы на AMD APU, на BayTrail/CherryTrail, есть и ARM-платы, например на Allwinner, на Broadcom (RPi) плюс nVidia делают какие-то телодвижения в верном направлении (но по ценам даже x86 дешевле, чем ARM от nVidia). На все это можно накатить хоть LTS-ветку, хоть свежайший stable, хоть релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение.

Если вы, или ваше руководство, выбираете экономить, и фирма приобретает платы для которых нет обновлений, если лично вы экономите и приобретаете смартфоны и роутеры поддержки которых прямо сейчас нет в апстриме — это ваши проблемы, а не проблемы Linux.

> Генеральский эффект. Все работает, все нормально, а потом случаются неожиданности.
Опять же, это ваши проблемы с планированием, а не проблемы с обновлениями в Linux.
Есть, на все роутеры, и у меня, и у родственников (одна плата от Broadcom, два от Qualcomm Atheros, в остальном платы от Ralink/MediaTek).

И насколько часто у вас обновления на роутеры приходят? Вы туда что, OpenWRT залили?
Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.

Ну а вы не используйте платы, которые не поддерживаются в апстриме.

Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?

например на Allwinner,

И сколько лет поставки они гарантируют? Мы используем Renesas с гарантиями поставки 10-20 лет.

Посмотрел линейки AllWinner . Ни одного подходящего проца нету. Нам нужно 5-10 UART, double FPU и cortex-M (лучше M7). то есть даже если отвлечься от того, что они не дают гарантий поставок, то технически — все равно эти машинки нам не подходят.

Если вы, или ваше руководство, выбираете экономить,

Наоборот. Renesas — самый крупный в мире производитель мирококонтролеров. Это и есть upstream, а не allwinder с долями процентов.

Проблема в том, что на апстреме SoС — у линукса очень плохо с поддержкой. Хорошо лишь на пользовательских побрякушках. И то — лишь 2-3 года, пока они работают (а на большее эти ваши allwinder не рассчитаны). А нам нужно, чтобы поддержка была на 10-20 лет. И запчасти 10-20 лет производились.

Ну в общем это как в автомобильной микроэлектронике.

Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.

С потребительской электроникой все замечательно, когда она вам для игрушек нужна. И меняете вы её раз в 1-2 года. А если вам нужно жорогое устройство для работы, а не для игры, и вы не планируете его менять 10-20 лет — с поддержкой все ужасно.

Так что экономить — это брать как раз ваш дешевый Allwinder, который 20 лет просто не протянет.

Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха (это мировой лидер в своем сегменте — преобразователей интерфейсов). Обновления есть только на самые популярные машинки и выходят они пару раз в год.

Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
> И насколько часто у вас обновления на роутеры приходят?
В trunk-ветке — каждый день.

> Вы туда что, OpenWRT залили?
Да.

> Про андроид и не говорю, только на самые дорогие модели обновления бывают. Ну или Cyagentmod ставить.
Не CyanogenMod, а LineageOS.

> Вы собираетесь запретить нам разработку? Или просто не понимаете разницы между кристаллом SoC и платой?
> Так что на linux все хорошо лишь для хомячков. А как профессиональные машинки — так с поддержкой все тяжко.
Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…

> Мы используем Renesas с гарантиями поставки 10-20 лет.
> Renesas — самый крупный в мире производитель мирококонтролеров.
> Собственно аналогичные проблемы с обновлениями не только у нас. но и скажем у Моха
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.

> Это и есть upstream, а не allwinder с долями процентов.
Это шутка или вы действительно использовали этот термин неправильно?

> Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.
Давайте разбираться, понимаете ли вы, про что речь, а то я не первый раз беседую с сеньорами embedded-девелоперами, и уже заметил что с пониманием поддержкой в апстриме у вашей братии большие сложности.
Про запчасти мы сейчас не говорим, так как контекст беседы это security-фиксы. Итак, что означает словосочетание «поддержка в апстриме»?

А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме? Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают. В принципе не исключено, что уровень поддержки плат Renesas тот же, что например у AMD и Intel, я этому не удивлюсь. Но вопрос в том, а проверяли ли вы это?

> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.

> Это и есть upstream, а не allwinder с долями процентов.
> Ваши Allwinder
Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel? (помимо того, что вы упомянули, что вам нужен Cortex-M, но не упомянули, почему именно Cortex-M). И, пожалуйста, не нужно делать поспешных выводов, лишь бы поскорее выдать ответное сообщение. Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.
Ну что же, назовите модели роутеров, на которые производитель оперативно дает обновления ядра. И назовите модели мобильников на android с регулярными обновлениями ядра. Ваша попытка подмены понятий — не прошла. Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления. Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.

Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59

В trunk-ветке — каждый день.

Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года

Не CyanogenMod, а LineageOS.

Ну что же, скажите, на какой версии ядра базируется последняя прошивка? И когда эта версия вышла? Мне просто лень самому копать. По тому, что успел увидеть — на 4.8, которая в upstream просто не поддерживается, Но могуи ошибиться, так что жду честного ответа от вас.

Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года. Когда это исправление попадет в OpenWRT и когда — в LineageOS? Через месяц? Через полгода? Через год? А я взял первое попавшее CVE, исправленное в ванильном ядре.

Будет у вас на руках плата с поддержкой в upstream и какие-то проблемы с накатыванием ядра с security-фиксом на эту плату — тогда нам будет о чем предметно поговорить…

Пока что я вижу, что у вас — не лучше, чем у всех. То есть весьма плохо. Или вы себе купили роутер и мобильник без поддержки в upstream?

Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».

Итак, что означает словосочетание «поддержка в апстриме»?

Вся беда в том, что в ядре периодически бывают мелкие революции и интерфейсы, которыми драйверы общаются с ядром, немного меняются. Если для платы есть девелопер на ставке у компании — драйвера обновляются нормально, с тестированием. Если нету — правка идет довольно формально.

Давайте проверим. Раз уж вы такой любитель AllWinner, то давайте на нем. Ну вот хоть как-то подходящая плата F1C600. Дайте ссылочку на рекомендуемое ядро и работает ли на нем последнее ванильное ядро 4.12? На 99% уверен, что 4.12 на нём лишь формально работает. Наверняка куча багов с портами и так далее. А нормальная поддержка — где-то в 3.10 или 3.18.
Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.

Про запчасти мы сейчас не говорим,

Говорим-говорим. Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается. Энтузиастов мало, основная поддержка драйверов идет за счет девелоперов состоящих в штате производителя. сняли плату с производства — перестали оплачивать девелоперу её поддержку.

Ведь Renesas коммитят поддержку своего железа в апстрим, правда я не знаю, насколько оперативно они это делают.

А оперативно ни у кого не получается. Всегда есть десяток проблем, которые устранены в версии вендора, но ещё не исправлены в upstream. Или новые баги, внесенные в upstream, но отсутствующие в версии вендора. Atmel тоже в upstram комитит, но намного лучше пользоваться их собственной версией.
> Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления?
Старше десяти лет есть Acer 5920G, обновления есть.

Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер. У него интерфейсов довольно мало, причем большинство — стандартные.

Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?

Многоуважаемый, а чего вы так настойчиво обходите вниманием решения на базе разработок AMD и Intel?

  • Очень плохая производительность на ватт энергопотребления.
  • Куцые возможности по вводу-выводу, особенно по USART.
  • Нет российских аналогов, то есть двойного применения не сделаешь.

В идеале нам бы 1 ватт потребляемой мощности, 10 мегов ОЗУ на кристалле, 8 UART, FPU двойной точности, 400 МГц. Идеала нет, но 4 из 5 — бывают. Ну вот, например — STM32H753BI или R7S721000VLFP

не упомянули, почему именно Cortex-M

Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Внимательно изучите какие вендоры производят индустриальные платы есть на основе их решений, что у них есть в ассортименте, и т.д.

Вы опять пытаетесь запретить нам разрабатывать платы? Что за дурное желание запретить чужой бизнес? Ну не годятся нам готовые платы. Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.

В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует. Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.

Не согласны — ну что же, приведите пример вендора с ванильным ядром 4.12. А у вас на компе какое ядро? Смотрю на debian 9 -ядро 3.4.113. Актуальное, но — не последнее и не ванильное.
… а пока ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.

Ну что же, придется дать ликбез, чем именно плохи обновления в linux.

В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке. Да-да, бинарник драйвера 20летней давности — вполне работает. Это не 100%, есть исключения вроде видеоподсистемы, но для простой перифериии — именно так.

Соответственно в windows вендорам нужно только написать и откомпилировать драйвера. С чем они и справляются.

В linux иная модель. Драйвер, даже загружаемый, должен быть откомпилирован с текущим ядром. Поэтому вендору нужно поддерживать исходный код драйвера в актуальном состоянии. А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.

Так что вина тут не вендоров, а архитектуры системы.

Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
> А у вас на компе какое ядро?
См. выше: https://habrahabr.ru/post/331762/#comment_10294382
> релиз-кандидат 4.12, который например стоит на планшете, с которого я вам сейчас пишу это сообщение

> Ну вот для проверки — CVE-2017-7482 в 3.10 было исправлено 29 июня 2017 года.
Так-так-так, что же там, интересно-интересно… а, вот что: «When a kerberos 5 ticket is being decoded so that it can be loaded into an rxrpc-type key...» Я конечно дико извиняюсь, но с каких пор ядра для смартфонов и роутеров собирают с CONFIG_AF_RXRPC?

> Да есть маргинальные гиковые проекты, которые пытаются предоставить оперативные обновления.
> Вот только сомнения у меня. В OpenWRT (Chaos Calmer 15.05.1) используется ядро 3.18.23, в другой ветке сообщают о переходе на 3.18.17. А последняя версия ванильного ядра — 3.18.59
> Совравши, господин хороший. Это не обновления ядра, это патчи самой OpenWrt. А по обновлениям ядра — отставание на полтора года. 3.18.23 вышла 28 октября 2015 года
> В целом у линукса с обновлениями так себе. То есть или ванильное ядро и много чего работает криво или ядро от вендора, но с патчами безопасности — большое опоздание. Причем так себе — у всех вендоров. Ваш собственный пример с openWRT это отлично демонстрирует.

Раз вы не в теме, то придётся поверить:
https://www.opennet.ru/opennews/art.shtml?num=44368
https://www.opennet.ru/opennews/art.shtml?num=46513

> Мне пока лень лазить к ним в GIT, так что просто поверю, что в паре проектов нашлись энтузиасты для обновления ядра.
Аж любопытно, полезете проверять, или таки правда лень.

> Мне просто лень самому копать. По тому, что успел увидеть — на 4.8
Видимо не там смотрели: https://android.googlesource.com/kernel/common/+/android-4.9

> Ну что ж, для начале назовите, какие роутеры и мобильники вообще поддерживаются в upstream «из коробки».
По памяти — Nexus 4 и Nexus 7, и точно было что-то ещё, но сходу не вспомню. По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).

> Раз уж вы такой любитель AllWinner
Мимо, я любитель x86-железок, не в последнюю очередь в связи с тем, что на них с обсуждаемым нами вопросом всё обычно гораздо проще (но не всегда, например не с Intel Clover Trail) а в первую потому что на всём не-x86 мрак с 3D-драйверами (разве что кроме Tegra, и то только до EOL).

> Думаю, что я за месяц десяток багов и проблем в 4.12 отрою.
И на платах Renesas с их родными ядрами тонна багов — можно прямо брать полный changelog между 3.18 и 4.12 и в каждую строчку пальцем тыкать :)
Да и вам чего время тратить — чтобы узнать какие проблемы есть в 4.12 сразу смотрите, что исправлено в linux-next.

> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучил? (Помимо Intel Clover Trail и nVidia Tegra до X1, которые изначально не поддерживались.)

> А оперативно ни у кого не получается.
Да, но пока изменения идут в апстрим можно собирать из обновляющихся бранчей, вот например бранч для Intel Edison уже обновили до 4.12: https://github.com/andy-shev/linux/tree/eds (не смотря на сворачивание проекта Intel Edison).
Вендор не предоставил вам такой бранч? Ну или пинайте, чтобы предоставили, или накатывайте избранные патчи.

> Разве Acer 5920G это устройство? Вы опять подменяете понятия. Устройство — это роутер, мобильник, фоторамка, стиральная машина… А это не устройство — это компьютер.
О, а давайте к словам поцепляемся. А планшет это устройство? А планшет с клавиатурой? А тот же самый планшет с неотцепляемой клавиатурой, типа Irbis NB11/14/41/44, Prestigio Smartbook 116/141, 4Good Light AM500?
Или наоборот, а планшет с ноутбучной начинкой, типа Dell 9250 или Chuwi Hi13 — это устройство, или не устройство?
А LTE-модем это устройство? А если внутри него Android в полный рост, как в Yota Swift / Yota Many / Yota Ruby?
А как быть со смарт-часами? Кажется, что устройство, но с 512 МБ ОЗУ и 4 ГБ флеша — хоть Debian ставь.
И так далее. ИМХО, границы размыты до такой степени, что на них можно с чистой совестью забить, что я давно и сделал.

> У него интерфейсов довольно мало, причем большинство — стандартные.
А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?

> Acer 5920G
> Впрочем интересно, какое у вас там ядро сейчас работает? 3.18 небось?
https://launchpad.net/ubuntu/xenial/+source/linux/+changelog
Но нет ни одной причины, по которой 4.12 не заработало бы.

> Симптоматично, что та же ubuntu живет далеко не на ванильном ядре.
Ну-ка, что там в diff-ах: http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.12/
А в diff-ах там только конфиг да сборка пакетов.

> Очень плохая производительность на ватт энергопотребления.
> Куцые возможности по вводу-выводу, особенно по USART.
> Нет российских аналогов, то есть двойного применения не сделаешь.
Отлично, вот это по делу. Какие показатели производительности на ватт вам требуются, по какой причине именно такие?
По UART — смотрели датащиты SoC или спеки плат? В частности, у BayTrail/CherryTrail в спеках два HSUART и один UART, в то время как на платах фактически встречается 4 UART (и возможно больше, не углублялся). Почему бы не использовать переходники c mPCIe? Есть платы с парой mPCIe, есть переходники с mPCIe на четыре UART.

> Так с энергопотреблением получше, периферии на кристалле обычно побольше.
Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее. Да и с потреблением у BayTrail/CherryTrail на практике значительно лучше, чем принято думать о x86-решениях. Посмотрим, чем порадует AMD в APU G-серии на базе Ryzen.

> > Внимательно изучите
> Вы опять пытаетесь запретить нам
Привет

> Нету на них того, что нам нужно. А вендоров процессоров — да, просмотрели. и выбрали, что нам больше всего подходит.
Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.

> Ну что же, придется дать ликбез, чем именно плохи обновления в linux.
> Появится в linux возможность загрузки бинарных драйверов для основной периферии — с обновлениями все сильно улучшится.
А дома-то ещё на Семёрке сидите, или уже обновились?

> А это намного сложнее, нужно реагировать на достаточное количество изменений в коде ядра.
Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности. Я вот не пойму, у Renesas деньжат не хватает, или в чем там беда? И, опять же, «А вы в принципе проверяли, есть ли поддержка SoC и периферии используемых вами плат в апстриме?» — так что там с этими платами?
> По роутерам достаточно брать то, что на 100% заводится в OpenWRT, с объёмом ОЗУ желательно не менее 8 МБ (но и 4 МБ, если уже есть на руках — тоже ок).

Поправка: имел ввиду объем флеша.
Прошу прощения, был в командировке, времени на треп не было.

релиз-кандидат 4.12, который например стоит на планшете

Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.

Раз вы не в теме, то придётся поверить

Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.

на всём не-x86 мрак с 3D-драйверами

А кому они нужны для работы на ARM??? Игрушки разве что писать.

> Если железо перестает производится и становится раритетным — его поддержка в ядре потихоньку прекращается.
Вы правы, но что конкретно дропнуто из того, что я озвучи

Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.

О, а давайте к словам поцепляемся. А планшет это устройство?

Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.

А I2S или UART на свежем ядре типа отвалились бы — ага, конечно… с чего вдруг?

С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART. Вся беда в том, что подсистема UART — часть подсистемы терминалов. Да ещё каждый драйвер — на десяток (иногда сотню) микросхем с похожим протоколом. Так что проблемы с конкретной реализацией UART — бывают часто. Ну скажем не 1 сбойный байт в сутки на RS485, а на порядок больше. Это при передаче примерно гигабайта в сутки. Ну так принято — RS485 настраивает до 1 ошибки в сутки при передаче на 115200.

Кстати, I2S — что за зверь? Может I2C?

Какие показатели производительности на ватт вам требуются, по какой причине именно такие?

Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200? Так что нам нужен безрадиаторный процессор с энергопотреблением в полватта. Общее энергопотребление всей платы, включая 3 GPS-приемника — до 2х ватт. Но мы бы не отказались ещё уменьшить энергопотребление. При этих полватта на процессор — это 856 DMIPS (чуть быстрее Intel Pentium Pro).

Ну где-то получше с энергопотреблением, а где-то получше с дровишками, это смотря что вам важнее.

Поэтому мы постепенно отказываемся от linux.

Выбрали, и теперь кричите, что не подходит, а виноват в вашем выборе по-видимому лично Линус.

Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса. Собственно проблема в том, что драйверы в linux являются частью ядра.

С одной стороны это дает возможность постоянно менять интерфейсы драйвера с ядром, оперативно добавлять возможности сразу во всю подсистему и так далее. С другой стороны — фиксированный интерфейс и бинарные версии драйверов — стабильнее. Тот драйвер, что я компилил для windows NT — работает до сих пор, в любой новой винде.

Ну как-то все вокруг справляются, и только у господ из embedded какие-то великие, принципиально-непреодолимые трудности.

Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.

Так что увы, чем дальше — тем больше линукс становится системой для китайского барахла. :-(((
«В windows драйверы компилируются отдельно от ядра. И драйвер, созданный 20 лет, во времена Windows XP — вполне работает на современной десятке.»

Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает мой старенький принтер/сканер/любимый девайс?

Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.

Вина тут именно архитектуры и MS, которые отказываются от поддержки старых версий ОС (по вполне разумным причинам), и вендоры вслед за MS перестают выпускать драйвера под более старые версии OS, а для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.

И виной тому — использование системо-зависимых API и недокументированных функций, а также систем защиты кода, активно использующих грязные хаки.


Нормально написанный под WinXP 32-битный драйвер USB-устройств должен работать и в 64-битной десятке.

Драйвера не выпускают, но иногда хватает изменений в файле .inf, чтобы устройство определилось и заработало. Подключал так старый принтер HP 1000 к win7_x64 и звуковую карту audigy к win10_x64.
Вы не понимаете весь ужас в linux. Вот есть у меня 4хпортовая PCI-плата. Она не заводится в ubuntui з-за несколько неверных адресов портов. Я могу исправить это в драйвере. НО! При каждом обновлении ядра мне придется заново вносить правку и компилировать ядро из исходников. Это при каждом обновлении ядра, которых чуть ли не сотня для LTS-системы.
Десяток раз в год!

На windows тот драйвер. где я правил сорцы — работает со времен windows NT 4. И бинарник тот же.

Интересно, откуда тогда в инете кучи воплей, как на висте/семерке/восьмерке/десятке не работает

Не вижу кучи воплей сейчас. Они были во времена, когда существовали 3 варианта драйверов — win 3.1, winт 95, win NT. В linux вопить бесполезно — на кучу оборудования драйверов просто нет.

мой старенький принтер/сканер/любимый девайс?

на принтер и сканер очень любят вместо драйвера сделайть комбайн на сотню мегабайт — драйвер + сервис + приложение + сайт для заказха расходников… Ну в общем нажал на кнопку на сканере — получил документ в ворд, уже переведенный в текст. И вот такие комбайны — да, плохо переносят смену версии.

НО! У вас на виндоус переставал работать драйвер из-за обновления ядра? Ну хоть раз было такое?

Откуда тогда кучи проблем о том, как старые 32битные программы не запускаются в 64битной системе, и их «просто перекомпилировать» не выходит.

Рекомендую ознакомится с блогом PSV-Studio, например с этой статьей.
Эта проблема одинакова для всех систем. Единственное — в linux принято писать программы сразу переносимыми на разные архитектуры, включая 64 битные и архитектуры с другим порядком байтов в слове. Если писать сразу переносимо — расходы на перенос меньше, да и размазаны на всю стадию написания кода.

для старых устройств не выпускают драйвера под новые версии OS, заставляя покупать новые устройства.

Если речь про устройство с драйвером для windows 3.1 или windows 95 — вы правы. Если есть драйвер для windows XP и ваша система 32битная — то шансы, что удастся заставить его заработать в Vista, win 7/8/10 — достаточно большие. А на 64битную систему — да, 32битный драйвер не встанет. И из комбайна — придется выдирать именно драйвер.

Ядро-то зачем пересобирать? Достаточно же собирать только драйвер

А что ещё делать, если драйвер включен в ядро? Чтобы сделать его загружаемым — тоже нужно перекомпилить ядро при каждом обновлении. Это же не windows, чтобы все драйвера (кроме небольшой горстки) были загружаемыми.

Если это такой важный драйвер, что включен в ядро — почему не написать про эти порты разработчикам драйвера?

Это не важный для драйвер для компа, но это драйвер COM-порта, Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,

Более того, это не просто драйвер COM-порта, это драйвер 8250/16450/16550/16650/16750/16850. Иными словами, это драйвер с древней историей, используемый на сотне разновидностях микросхем. И любая правка — должна проверяться на всем этом зоопарке.

А писать разработчикам — бесполезно. И не только потому, что ради профессиональной (то есть редкой) платы они не рискнут испортить поведение на китайской (то есть популярной) комплектухе.

Гораздо важнее, что у меня Ubuntu 14.04 LTS. Ядро там вроде 3.13. И ставить туда новое, не тестированное разработчиками ubuntu, ядро — я не буду.

И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре

Сколько это займет? Думаю от 3 до 5 лет, не меньше.

А причиной — неудачный дизайн linux. Если бы драйверы не были бы частью ядра (как в windows), достаточно было один раз исправить ошибку и скомпилировать драйвер.

А необходимость бэкпортировать любое исправление ошибок в драйверах в старые версии приводит к тому, что в linux хорошо поддерживаются лишь дешевая китайская комплектуха. Чем профессиональней плата — тем меньше шансов, что она будет работать под linux.

Вот вы сами пишите:


Считается, что любой COM-порт можно использовать как главную консоль при загрузке ядра (так и делают на компах без видеокарты). Поэтому все COM-порты скомпилированы прямо в ядро,

Причем тут неудачный дизайн linux?


Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?

Может, подскажите как можно использовать в качестве главной консоли при загрузке устройство, драйвер которого лежит где-то далеко?

1) Давно видели комп с встроенным ком-портом? "In the book PC 97 Hardware Design Guide, Microsoft deprecated support for the RS-232 compatible serial port of the original IBM PC design"
2) На тех персоналках, где есть комп-порт, вы хоть раз его использовали как главную консоль?
3) А для промышленных машинок — все равно свое ядро компилится. Ибо хватает редкой периферии.

Это был ответ на вопрос, почему зашитый в ядро драйвер сом-порта — атавизм.

Причем тут неудачный дизайн linux?

При хорошем дизайне все драйвера выгружаемые/отключаемые. Включая скомпиленные в ядро. Посмотрите, как стартует виндоус. Вначале видеоподсистема встроенyая и простейшая, потом встроенный видеодрайвер отключается и загружается уже драйвер конкретной видеоплаты.

Ещё раз. Основная проблема дизайна linux — отсутствие бинарной совместимости драйверов. Все остальное — уже печальные следствия.

С другой стороны, в windows не менее 18 типов драйверов, что тоже сложно назвать хорошим дизайном.
Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.

А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie (вы видимо не слышали о том, что Stretch уже в stable, что в некотором роде равноценно 16.04). Может даже надумаете чего.

Совсем маргинальный проект с 8 разработчиками? Чуть невезухи и через пару лет LEDE не будет (один попал под машину, двое женились, ещё пятеро — нашли хорошую работу). В такие игры — пусть хомячки играют.

Бида-бида, у кучи драйверов в ядре вообще по одному мейнетру, а многие уже годами не обновлялись (ну, необходимости не было) — как вы будете теперь жить с этим знанием?

А кому они нужны для работы на ARM??? Игрушки разве что писать.

Нихрена себе, IVI в автомобиле это стало быть игрушки, причём я даже знаю какой жанр — гоночки. О других примерах сами догадаетесь?

Детский сад. Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.

Это с каких пор мейнтеры подсистем ядра начали принимать патчи без их тестирования, позвольте поинтересоваться?

Компьютер — это универсальное устройство. Устройство — специализированный комп. Неужели в школе это уже не проходят? 40 лет назад, когда я учился в школе мы это проходили.

Хорошо, что всё просто и понятно, но что там насчет планшета с клавиатурой? Без клавиатуры специализированный компьютер, а с чехлом-клавиатурой — внезапно универсальное устройство?

С кучи переделок в подсистеме UART. Их надо поддерживать во всех драйверах. И не просто переделать по шаблону, а с пониманием логики работы конкретного UART.

То есть UART у вас на платах Renesas отвалился на апстримном ядре?

Кстати, I2S — что за зверь? Может I2C?

Может набрать I2S в Гугле и кликнуть по первой строчке? Например.

Вес платы для квадрокоптера — порядка 95 грамм. Как думаете, хорошо туда будет ставить ещё и радиатор грамм на 200?

Думаю, что либо ваши проекты это только квадракоптеры, либо вы в зависимости от моего вопроса, будете приводить любой пример, лишь бы не соглашаться :)
Ну серьёзно, у вас что, на всех проектах требования по производительности на ватт как при проектировании квадрокоптеров? Что за цирк, а?

Так а все просто. Если у вас популярное дешевое китайское дерьмо — будет вам поддержка в мейнстриме. А если у вас профессиональное, то есть редкое и дорогое железо, то поддержка его в линуксе очень плоха.

Поддержка железа Renesas в Linux — очень плоха, так?

Ну в общем да. Неудачная архитектура драйверов — это заслуга в том числе и лично Линуса.

Так и осталась неизвестной версия ОС у вас дома — седьмая или десятая.

Не вижу кучи воплей сейчас.

Железо, тем не менее, никуда не делось, и драйвера к нему так и не обновили. Частично вопрос постепенно решается тем что люди избавляются от старого железа (продают на eBay/Avito/etc. тем, кто согласен пользоваться им на Win7, то есть тем, кто не будет вопить; я сам так делал) и обзаводятся новым, и частично тем, что в Win10 подставляют костыли под старые драйвера, например спустя два года после выхода Win10 были добавлены костыли для видеодрайверов Intel Clover Trail 2013 года.

И так, смотрите этапы процесса
1) Сделать патч и оттестировать его на своей плате.
2) Оттестировать патч на сотне плат, построенных на разных микросхемах.
3) Отправить патч разработчику, добиться включения в upstream
или 4a) Добиться бэкпортирования правки в старую версию ядра
или 4б) Дождаться выхода LTS-версии ubuntu на новом ядре

По второму пункту — достаточно написать патч так, чтобы код отрабатывал только на конкретном устройстве.
Пункт 3 явно занял бы меньше времени, чем вы уже потратили на пересборку вышедших ядер.
Вместо 4а и 4б можно договориться с разработчиками из Canonical о бэкпортировании патча, делал это неоднократно.
А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie

Отлично! Вы наконец начинаете понимать… Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются. И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?

Ну вот и в еmbeded — ровно так же. На старых ядрах от вендоров — поддержка есть, новых ядер от вендоров нет, на новых ядрах из менйстрима — поддержки нет (или она плохая).

Очень рад, что вы наконец-то поняли, о чем речь.

у кучи драйверов в ядре вообще по одному мейнетру, а многие уже годами не обновлялись (ну, необходимости не было)

Вам уже говорилось об этом:

Прекращение поддержки — это не удаление кода. Это прекращение тестирования изменений.

Это с каких пор мейнтеры подсистем ядра начали принимать патчи без их тестирования, позвольте поинтересоваться?

Вот так и представляю себе мейнтейнера ком-порта 8250/16450/16550/16650/16750/16850 в окружении тысячи плат, собранных на сотне разных микросхем. :-)

Не смешите, мейнтейнер тестирует лишь на нескольких устройствах из тысячи поддерживаемых. Остальное — дело тестеров (если они есть). Ну или девелоперов конкретного устройства.

Так что постепенно, по мере изменений в драйвере, поддержка старых устройств начинает глючить. В итоге формально — поддерживает, а фактически — ужас.

Хорошо, что всё просто и понятно, но что там насчет планшета с клавиатурой?

Хоть с ней, хоть без неё — это универсальный компьютер. Потому что какую программу запускать — определяете вы, а не разработчик. А устройство — это когда у вас защита одна программа. Например — автомобильный навигатор, bookreader и так далее. Прошьете туда linux — станет компом, А пока не прошили — это устройство.

То есть UART у вас на платах Renesas отвалился на апстримном ядре?

Да в общем-то на любом апстримном ядре поддержка UART оставляет делать лучшего. Ну кроме совсем уж обычного 16550A. UART-подсистема тесно связано с TTY и DMA, изменения там часты. Не протестировали — значит хороший шанс (порядка процентов), что поломали. Изменений много, так что за 5-10 версий ядра ломается наверняка.

Ну серьёзно, у вас что, на всех проектах требования по производительности на ватт как при проектировании квадрокоптеров? Что за цирк, а?

Думаете в морской технике лучше? Там стальной корпус со стенками 5 миллиметров. Пару тонн воды или льда на корпус — может принять запросто при шторме. И в общем-то ничего не с прибором будет. «Диапазон рабочих температур:-15º…+60 ºС»

Понятно, что вентиляторы не годятся. Ну вот и представьте себе — +60 снаружи корпуса, а в корпусе — печка на 20 ватт. Какая рабочая температура у процессора будет? И сколько он протянет при этой температуре?

Примерно то же самое и на РЖД, и в автомобильной технике (не забываем про пустыни, так что тоже IP68). У нас всюду — допустимо -15 — +60 во включенном состоянии и -60 — +80 — в выключенном.

Горячие процессоры нам не годятся. Теплые — тоже. Используем холодные.

Зато требования по производительности — небольшие. В переводе на x86 — pentium II на 300 Мгц хватит.

Железо, тем не менее, никуда не делось, и драйвера к нему так и не обновили.

А приведите пример железа, к которому не подходят старые драйверы? Видеоадаптеры небось? И ещё всякие комбайны на 100 мегов из драйвера сервиса и черта в ступе?

Почему-то у нас на восьмерку и десятку старые драйвера встают. И что мы делаем не так?

По второму пункту — достаточно написать патч так, чтобы код отрабатывал только на конкретном устройстве.

На конкретной плате или на конкретной микросхеме? Если на плате — так слишком узко, если на микросхеме — так как оттестировать кучу плат на её основе?

Пункт 3 явно занял бы меньше времени, чем вы уже потратили на пересборку вышедших ядер.

Включение патча в апстрим даже у компаний занимает годы. Мы сделали проще — запускаем Debian в виртуалке под Windows.

Вместо 4а и 4б можно договориться с разработчиками из Canonical о бэкпортировании патча, делал это неоднократно.

Ну значит у вас некий особый статус.

Ещё раз повторю. Причина проблем с драйверами в linux — это включение драйверов в ядро. На Windows в тяжелом случае можно перебрать десяток бинарных драйверов и найти работающий. В linux в том же случае нужно перебирать ядра. А потом — точно так же перебирать ядра для другого устройства. и делать свой костыль из драйверов, выдранных из разных ядер.

P.S. если уж вам так интересно — у меня XP на работе, Win 7 дома и Win 10 на ноуте.
Забыл ответить…

IVI в автомобиле это стало быть игрушки,

Все, что не игрушки — перечислено в приложении к ПДД. Называется "Перечень неисправностей и условий, при которых запрещается эксплуатация транспортных средств". Пока вашей IVI там нету — она относится к игрушкам.

Когда беспилотные автомобили войдут в ПДД — наша система в этом списке видимо будет.

А пока тоже игрушка

у меня XP на работе, Win 7 дома и Win 10 на ноуте.

Это многое объясняет, да.

Пока вашей IVI там нету — она относится к игрушкам.

Такая точка зрения — ваша личная проблема, не имеющая отношения к индустрии в целом и экосистеме ARM в частности.

Ну или вы на планшете только развлекаетесь, или ваша работа состоит в том, чтобы собрать на себе все глюки непроверенных ядер. У нас или Debian-stable или ubunta 14.04 LTS. А вообще есть старое правило — если не хочешь мучаться с глюками — не ставь систему до 3его сервиспака. Это примерно 3-5 лет с момента выпуска.
А вы попробуйте подумать, много ли планшетов поддерживают Ubuntu 14.04 и Debian Jessie (вы видимо не слышали о том, что Stretch уже в stable, что в некотором роде равноценно 16.04). Может даже надумаете чего.
Отлично! Вы наконец начинаете понимать…
А вы перестаёте понимать, так как речь, очевидно, идёт про планшет на базе x86 SoC (другие в Ubuntu и Debian просто не поддерживаются на данный момент, насколько мне известно) а вы далее приводите пример с ARM SoC:

Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются.

Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.

ваши претензии — это претензии к Renesas и Moxa, а не Linux. Значит пишите, что недовольны Renesas и Moxa.
На старых ядрах от вендоров — поддержка есть, новых ядер от вендоров нет, на новых ядрах из менйстрима — поддержки нет (или она плохая). Очень рад, что вы наконец-то поняли, о чем речь.

Привет

И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?

Вендоры.

Вам уже говорилось об этом

Вы видимо забыли, что речь шла о количестве разработчиков LEDE.

Вот так и представляю себе мейнтейнера ком-порта 8250/16450/16550/16650/16750/16850 в окружении тысячи плат, собранных на сотне разных микросхем. :-)

Не утрируйте, вы отлично знаете, что речь не об этом.

Так что постепенно, по мере изменений в драйвере, поддержка старых устройств начинает глючить. В итоге формально — поддерживает, а фактически — ужас.

Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.

Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.

Прошьете туда linux — станет компом, А пока не прошили — это устройство.

Исходно речь шла об обновлениях Linux на устройствах, сейчас пишите что прошивка Linux уже делает устройство компом. Вы уж определитесь.

То есть UART у вас на платах Renesas отвалился на апстримном ядре?
Изменений много, так что за 5-10 версий ядра ломается наверняка.

Ближе к делу, на платах Renesas, поддержку которых они добавили в апстрим (если у вас такие есть) отвалился UART, так? На каких?
На каких платах Renesas, которые поддерживаются в апстриме, конкретно У ВАС отвалился UART в Linux 4.12?

Какая рабочая температура у процессора будет? И сколько он протянет при этой температуре?

У AMD APU G-Series максимальные показатели порядка -40 +120 (могут варьироваться в зависимости от платы) у Intel смотрите thermal design guide для той серии процессоров, которая установлена на плату, там найдёте нужные вам формулы.
В общем, пока я не вижу убедительных аргументов за то, чтобы кушать кактус сборок под конкретные платы с ARM SoC, вместо того, чтобы пользоваться x86 SoC. Конечно, если речь идёт о платах c ARM SoC, поддержки которых нет в апстриме, а у Renesas очень может быть, что она таки есть.

А приведите пример железа, к которому не подходят старые драйверы? Видеоадаптеры небось? И ещё всякие комбайны на 100 мегов из драйвера сервиса и черта в ступе?

К принтерам HP например кажется год драйвера никак не могли обновить, насколько я помню, ко многим так и не обновили. Плюс там всякое веселье, типа на Семёрке печать по сети на этот принтер работает, ставим на Десятке — не работает или глючит, и т.д. У менее массовых производителях принтеров (чем, скажем, HP, Samsung, и несколько других крупнейших) с драйверами, которые на родных-то, официально поддерживаемых системах глючат, на Десятке стало ещё веселее.
Само собой такие железки есть во всех категориях, не только среди принтеров, но в целом веселее всего с ноутбуками (а так же планшетами, нетбуками, неттопами и т.д.) — вот где самый смак. Особенно с гибридной графикой, и драйверами, обновление которых прекращено. На Десятке драйвер может быть доступен и устанавливаться с Windows Update, но без поддержки OpenGL, и без панели настроек (и к примеру RGB Range с Limited 16-235 на Full 0-255 у HDMI-выхода становится не переключить).

Почему-то у нас на восьмерку и десятку старые драйвера встают. И что мы делаем не так?

Ну так и у меня на планшете 4.12 работает, а не 3.0-3.4, видимо тоже что-то не так делаю.

На конкретной плате или на конкретной микросхеме? Если на плате — так слишком узко, если на микросхеме — так как оттестировать кучу плат на её основе?

Этот вопрос вы уже с мейнтером подсистемы решайте. В целом quirk-и под кривое железо — обычное дело, с этим ничего не поделать, они иногда нужны, их следует добавлять по мере обнаружения такого железа.

Включение патча в апстрим даже у компаний занимает годы. Мы сделали проще — запускаем Debian в виртуалке под Windows.

Вот это Enterprise, вот это я понимаю — стабильность и надёжность. Хотя Debian и oldstable, Windows хоть не XP (я надеюсь) и на том спасибо.

Ну значит у вас некий особый статус.

У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.
А вы перестаёте понимать, так как речь, очевидно, идёт про планшет на базе x86 SoC (другие в Ubuntu и Debian просто не поддерживаются на данный момент, насколько мне известно) а вы далее приводите пример с ARM SoC:

Наоборот, Ubuntu_Touch насколько я знаю, поддерживала только ARM. Debian 9 вполне работает на OrangePie на ARM, разве там есть проблемы с поддержкой сенсорного экрана? Но экран нам просто не нужен. Вот вам список девелоперских машин, поищите там «правильную» модель планшета

Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.

Вот-вот-вот. Ровно тоже самое и в embebed. Ну разве что платы мы делаем сами и сборки ядер — тоже. А вот работающие сорцы — да, только от вендоров. Все остальное — или глючит или отстает на пару лет.

И кто в \том виноват? Google? Вендоры? Или все дело в том, что драйверы встроены в ядро и не могут распространяться отдельно?

Вендоры.

Все вендоры шагают не в ногу? Может в консерватории что подправить?

Собственно на этом спор стоит закончить. Вы считаете, что виноваты все вендоры. а я считаю, что включение драйверов в ядро — это неудачный дизайн linux. При хорошем дизайне драйвера должны поддерживаться вендорами и распространяться отдельно. Лучше в сорцах, но можно допустить и бинарное распространение. Уверяю. вас, линукс к этому придет. FUSE — шаг в верном направлении.

Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.

В моей практике это случается постоянно. Более того, как ни удивительно, встречается и с менйстримовыми подсистемами. Вы просто не понимаете уровень требований к аппаратуре, принятой в embeded. Ну например, на одной машинке на ядре 2.6.9 после сотен тысяч обменов по USB обмен прекращался. Пришлось разбираться, искать патч и собирать своё ядро. Но это USB, то есть подсистема даже без патчей вендора. И готовая машинка от вендора, а не наша собственная плата.

Беда в том, что для нас эта сотня тысяч — это 3 часа работы. А система должна работать в запертом контейнере, причем выдача ключей от этого контейнера — идет с записью в специальный журнал (радиопередающее оборудование морской связи МЧС).

И так — постоянно. И любой embeded разработчик много такого расскажет. Так что ситуация «собираем ядро и все работает» — редкость. Вначале устраняем собственные ошибки при конфигурировании, потом — ищем патчи на то, что работает со сбоями. И постоянный выбор — в этом ядре работают хорошо такие-то устройства, а вот в этом — другие. :-))

И как видите, выбор готовой машинки — не спасает. :-) Да и не годится нам обычно готовая. Своя хороша тем, что за очень короткое время делаем интерфейсы под заказчика.

Исходно речь шла об обновлениях Linux на устройствах, сейчас пишите что прошивка Linux уже делает устройство компом. Вы уж определитесь.

Вот у вас читалка. И вас все равно, что внутри — linux, freeBSD, QNX или windows. Потому что доступа к ОС у вас нет. Есть только доступ к одной программе (оболочке). Это — устройство. Как только у вас на штатном экране будет доступ к ОС — это уже компьютер.

Если пользователь может на вашем IVI запустить свои программы — это компьютер. Если не может — устройство. Так что всякие мобильники на андроиде — вполне себе компьютеры. а вот простые телефоны без JAVA — устройства.

Мне странно, что разработчик IVI (и, видимо, LEDE) не понимает этой разницы.

К принтерам HP например кажется год драйвера никак не могли обновить,
Особенно с гибридной графикой, и драйверами, обновление которых прекращено

Да, под видом драйвера для принтера часто втюхивается дикий монстр из драйвера, сервисов, прикладных программ… Но если вы вынете из этого зоопарка сам драйвер — он заработает. Более того, на принтерах HP — PCL, а это значит, что заработает любой драйвер на PCL5 или PCL6. Да, чуть меньше управления лотками. Но печатать — можно.

Видеокарты — это отдельная песня. Видеоподсистема в Windows является частью ядра. И там дйествительно нету совместимости между версиями.

Windows хоть не XP (я надеюсь)

УВЫ, Нам надо чтобы то, что мы делаем на windows — запускалось на любом компе. Самый простой способ этого достигнуть — разрабатывать на XP. А в остальных системах — оно и так работает, без всяких правок.

У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.

Ну-ну, я правильно понимаю, что вы разработчик LEDE? А мы — не системщики, мы прикладники.
У меня нет особого статуса в связи с компанией Canonical, даже поддержка не куплена.

У меня тоже нету особого статуса и даже мной ни один GPS-приемник не куплен, но во всех приемниках, с которыми я работал, были внесены попрошенные мной изменения в прошивке. :-)

Вот только я не утверждаю, что любому программисту это удастся. :-) То, что мы делаем — авторам приемников интересно. А вот мейнтейнерам linux -нет. У вас, я так понимаю, ситуация обратная.

Кстати, ради смеха, можете поискать хоть один GPS-приемник на x86. делают на ARM, на ПЛИС, на своих собственных процессорах — на чем угодно, только не на х86. В нашей сфере никому не нужна эта печка.
Jef239, вы видимо очень спешили, когда отвечали, и не обратили внимание на два вот этих абзаца. Для вашего удобства я даже скопирую их ещё раз:

Ближе к делу, на платах Renesas, поддержку которых они добавили в апстрим (если у вас такие есть) отвалился UART, так? На каких? На каких платах Renesas, которые поддерживаются в апстриме, конкретно У ВАС отвалился UART в Linux 4.12?
У AMD APU G-Series максимальные показатели порядка -40 +120 (могут варьироваться в зависимости от платы) у Intel смотрите thermal design guide для той серии процессоров, которая установлена на плату, там найдёте нужные вам формулы. В общем, пока я не вижу убедительных аргументов за то, чтобы кушать кактус сборок под конкретные платы с ARM SoC, вместо того, чтобы пользоваться x86 SoC. Конечно, если речь идёт о платах c ARM SoC, поддержки которых нет в апстриме, а у Renesas очень может быть, что она таки есть.
В связи с отсутствием ответа на заданные выше вопросы пока что отстаётся сделать вывод, что пользоваться ими не позволяют какие-то религиозные убеждения, типа «в нашей сфере никому не нужна эта печка». У вас то Debian в виртуальной машине на XP, то квадрокоптер/морская техника/GPS-трекеры — причем из этой колоды всегда выбирается что-то, что позволит вам обосновать отрицательный ответ.
Если же обосновать отрицательный ответ нечем (как с вопросами про Renesas выше) то ответа нет вообще.

Все остальное — или глючит или отстает на пару лет.
Все вендоры шагают не в ногу? Может в консерватории что подправить? Собственно на этом спор стоит закончить.
Привет: https://habrahabr.ru/post/331762/#comment_10294382 (большой абзац в конце).

Наоборот, Ubuntu_Touch насколько я знаю, поддерживала только ARM. Debian 9 вполне работает на OrangePie на ARM, разве там есть проблемы с поддержкой сенсорного экрана? Но экран нам просто не нужен.
Я ответил, что пишу с планшета на котором крутится релиз-кандидат 4.12. Куда вас дальше понесло, а? Вы начали разглогольствовать, что у вас там Ubuntu 14.04 и Debian stable (фактически оказался oldstable; причем следует полагать, что 14.04 и oldstable менее глючные, чем 16.04, и stable, хотя на деле конечно же наоборот, но откуда вам, пользователю Windows, об этом знать) хотя к современным планшетам (которые с S0i3 вместо S3) это не имеет отношения никакого — в упомянутых релизах просто нет драйверов для них. Вы вообще сравнили use case «индустраильные платы» и «планшет» по версиям используемых ядер чтобы высказать какую мысль?

Вот вам список девелоперских машин, поищите там «правильную» модель планшета
С какой целью?

Куча планшетов работает на Android_Jelly_Bean с ядром 3.0-3.4. А в ядре 3.13 в Ubuntu 14.04 — эти же планшеты не поддерживаются.
Сравнение теплого с мягким (специальных сборок под платы, включающих патчи, не отправленные в апстрим, с универсальной сборкой) плюс упускаете из виду блобы.
Вот-вот-вот. Ровно тоже самое и в embebed. Ну разве что платы мы делаем сами и сборки ядер — тоже. А вот работающие сорцы — да, только от вендоров.
Вендоры как были в начале, так и остались виноваты в конце. И что «Вот-вот-вот»?

Такое действительно иногда случается, но вы представляете это проблему в иных масштабах, как нечто неизбежное и нерешаемое, хотя на практике это случается не так часто, и как это решается — вам известно, я надеюсь.
В моей практике это случается постоянно. Более того, как ни удивительно, встречается и с менйстримовыми подсистемами.
Никто не спорит с тем, что случается. Я утверждаю, что не в таких масштабах, и что все эти проблемы — решаемы. Потому что я сам сталкиваюсь с этим и на практике знаю процесс решения.

Ну например, на одной машинке на ядре 2.6.9 после сотен тысяч обменов по USB обмен прекращался. Пришлось разбираться, искать патч и собирать своё ядро.
Это потому что 2.6.9 новое слишком, нужно было 2.4.37 юзать, тогда бы проблем не было.

Вы просто не понимаете уровень требований к аппаратуре, принятой в embeded.
Так что ситуация «собираем ядро и все работает» — редкость. Вначале устраняем собственные ошибки при конфигурировании, потом — ищем патчи на то, что работает со сбоями.
Я в курсе ситуации, не переживайте: https://patchwork.kernel.org/patch/9820801/
Ради чего только сидеть на железе без поддержки в апстриме и кушать кактус?

Посмотрите, сколько вас есть устройств старше 10 лет, для которых приходят обновления? Ваши Allwinder — тоже больше 2-3 лет поддержки не дадут.

Вот у вас читалка. И вас все равно, что внутри — linux, freeBSD, QNX или windows… Если пользователь может на вашем IVI запустить свои программы — это компьютер. Если не может — устройство. Так что всякие мобильники на андроиде — вполне себе компьютеры. а вот простые телефоны без JAVA — устройства.
А шо, на читалки (не на Android) или телефоны без Java приходят обновления? Какой смысл вы в ваш исходный вопрос тогда вкладывали, доказывая наличие проблем с обновлениями у AllWinner? (Хотя до сих пор остаётся неясным, что там с должно случиться, чтобы поддержка плат AllWinner начала отваливаться в новых релизах.)

Да, под видом драйвера для принтера часто втюхивается дикий монстр из драйвера, сервисов, прикладных программ…
Ответили про принтеры HP (не все из которых поддерживают PCL, ну да ладно) закрыв глаза на принтеры других производителей, другие категории железок, переферию ноутов помимо видео, и т.д.

Ну-ну, я правильно понимаю, что вы разработчик LEDE?
Нет.

То, что мы делаем — авторам приемников интересно. А вот мейнтейнерам linux -нет. У вас, я так понимаю, ситуация обратная.
Тоже нет. В общем, не выдумывайте, всё делалось в рядовом порядке.
Молодой человек, мне кажется, что я довольно ясно выразился:

Собственно на этом спор стоит закончить. Вы считаете, что виноваты все вендоры. а я считаю, что включение драйверов в ядро — это неудачный дизайн linux.


Раз вы не понимаете — придется отвечать вам в вашем же духе.

У вас то Debian в виртуальной машине на XP, то квадрокоптер/морская техника/GPS-трекеры — причем из этой колоды всегда выбирается что-то, что позволит вам обосновать отрицательный ответ.

Молодой человек, когда вы закончите школу и будете учиться в институте вам объяснят разницу между GPS-приемниками и GPS-трекерами. А пока просто запомните, что приемник — это не трекер.

Мы занимаемся высокоточной спутниковой навигацией. То есть измерением расстояния между фазовыми центрами GNSS-антенн с СКО 5 миллиметров.

На этой базе делается много разных решений:
  • условно неподвижные, например контроль сползания МГУ в Москва-реку — он на несколько миллиметров в год ползет. Или контроль колебаний мостов (один мост, например, просел на 9 см из-за того, что на него положили больше асфальта, чем по проекту). Или контроль колебаний стенок шлюза (по мере наполнения водой стенки на пару см ходят).
  • подвижные. Автономные газонокосилки, точное земледелие (если картошку сажать в грядки, а не равномерно — урожай чуть ли не в полтора раза больше, а для этого нужна точность 5 см), определение положения маневрового локомотива в сортировочной горке (то есть реальное определение пути, по которому он едет — нужно для контроля автовождения).
  • угломерные, то есть курс, крен, дифферент. Это спутниковые компасы — и для морских судов (на всех атомных ледоколах стоят наши спутниковые компасы) и для квадрокоптеров и для гонок по пустыне.



Если бы вы были инженером, то догадались бы, что никто не будет делать уникальные платы для каждого применения. Используется всего несколько версий плат, основное отличие — в питании, корпусах, разъемах. Одного факта проблем с теплоотводом в морском решении — хватает, чтобы все наши платы были энергоэффективными. а ограничения по весу в квадрокоптерном решении — хватает, чтобы они были ещё и легкими.

А вот когда «если вы, или ваше руководство, выбираете экономить», то вместо разработки платы — берется готовый x86, к нему - конвертор RS422-ETH на 8 или 16 портов, и монтируется это все в запираемый ящик или стойку. Для макетных вариантов и х86 хватит, а по цене — копейки, примерно дня 3 работы инженеров по разработке своей платы.

Но я понимаю, что школьнику вполне может показаться, что свою плату разработать дешевле, чем купить готовый X86. Ничего страшного, когда выучитесь в институте — все поймете сами.

Ответ в вашем духе. Осторожно, сарказм!
Сарказм ON
А зачем вам для IVI linux? " вы, или ваше руководство, выбираете экономить» на лицензии? Неужели 5-10 тысяч на лицензию для вас такие огромные деньги? Если нужен *nix — свет на linux не сошелся, вполне хватает нормальных платных решений.

А зачем вам для IVI планшеты? Опять или ваше руководство, выбираете экономить»? А потребителям — ругаться из-за того, кто на какое место сядет ибо все планшеты — с разными игрушками? Возьмите нормальный брендовый сервер с хорошим SLA на обслуживание. И по HDMI подключите к нему экраны.

А если уж брать планшет — берите ipad. Он, кстати, достаточно *nix внутри.
Сарказм OFF

На самом деле я примерно понимаю соображения, почему вы взяли дешевые планшеты на x86. Вам действительно хочется навариться на перепродаже неиспользуемого китайского хлама на падающем рынке.

Собственно вот вам обзор рынка
image

Если вам удастся переломить эту тенденцию — получите «много денег». Не удастся — ну так перепродажа планшетов — это не разработка плат, много не потеряете.


фактически оказался oldstable;

Молодой человек, если вам часто что-то кажется — сходите к врачу. Психические болезни (как и любые другие) лучше лечить в самом начале. Если написано stable — значит stable. Или вы настолько юны, что мне вам вывод uname -a предъявить?

Вендоры как были в начале, так и остались виноваты в конце.

Вот-вот. Все вендоры идут не в ногу, все вендоры плохие? Ну да, в ранней юности часто так кажется. Вырастите, повзрослеете, поймете, что если «все не в ногу», то проблема не в вендорах, а в архитектуре linux. А сейчас объяснять вам — бесполезно. Подростки все равно не слушают взрослых, надо ждать пока вы подрастете. Тогда и поймете. А пока просто рано.

В общем, не выдумывайте, всё делалось в рядовом порядке.

А теперь посмотрите, что в реальности. Вот вам история, как долго и безуспешно вносились патчи в ядро. Это AXFS, драйвер, позволяющий выполнять программы прямо из flash-памяти. Если у вас с английским туго — вот русское описание.

Покопайтесь в истории патчей, посмотрите как шла война за включение патчей в ядро. А потом просто поверьте, что часто бывает именно так.

Можете ещё и Android Mainlining поинтересоваться. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все.

В юности часто кажется, что вы сможете«обогнать гугл». А в старости приходит понимание, что лучше не тратить на этот силы.

Ещё раз повторяю, что не вижу смысла тратить время на спор с вами. Вырастите — все сами поймете.
Молодой человек, мне кажется

Молодой человек, когда вы закончите школу и будете учиться в институте

я понимаю, что школьнику вполне может показаться

Молодой человек, если вам часто что-то кажется — сходите к врачу. Психические болезни (как и любые другие) лучше лечить в самом начале.

В юности часто кажется

не вижу смысла тратить время на спор с вами


Это какая-то слишком эмоциональная реакция на просьбу проверить наличие поддержки ваших плат Renesas в апстриме.

Меж тем меня недавно спросили о BCM7230 (вопрос касался применения в ТВ-приставке, и если более конкретно — сетевого драйвера). По ходу разбирательств выяснилось, что в аккаунте Broadcom на GitHub https://github.com/Broadcom выложены различные ядра под их STB-решений, в том числе 4.13, первый релиз-кандидат которого выйдет через несколько дней. И они целенаправленно вносят изменения в апстрим, вопреки вашим заявлениям.

Все вендоры идут не в ногу, все вендоры плохие?

Повторюсь, большой абзац в конце: https://habrahabr.ru/post/331762/#comment_10294382
Broadcom, как оказалось, апстримят драйвера не только для RPi, и наверняка там не упомянуто ещё несколько вендоров, в частности очень вероятно, что Renesas тоже самое место в этом списке.
Молодой человек, если вы хотите общаться со взрослыми, то для начала — честно ответьте на заданные вам вопросы. Без ваших обычных выкрутасов и вранья.

Сколько вы знаете роутеров, которые бы регулярно обновлялись производителем?

Сколько вы знаете мобильников на Андроиде, которые бы регулярно обновлялись производителем?

Производителем — это не гиковской прошивкой от «8 разработчиков», а именно производителем. Регулярно — раз в месяц или чаще.

Вам верится, что все вендоры шагают не в ногу? Когда подрастете — поймете, что дело не в вендорах, а в проблемах в архитектуре linux. Пока вам просто не хватает опыта, чтобы это понять.

Далее. Сколько лет гугл проталкивал свои патчи в ядро и удалось ли протолкнуть все? Разу ж вы считаете, что протолкнуть свой пат в апстрим пара пустяков, расскажите, за сколько лет это удалось гугл?

И вот на эти патчи ядра посмотрите. Как думаете, через сколько лет они войдут в ядро?

Рад, что вы утверждаете, что ваш патчик вошел в ядро сразу. Вот только в реальной жизни — как в axfs и у гугл. На них — есть пруфы, есть история, можно переписку нарыть. А ваш патчик — для меня зверь мифический. Может он и был. А может, как с обновляемыми прошивками у роутеров — какое-нибудь вранье с вашей стороны.

Ну кто же, кроме вас, виноват, что вам не платят (или платят копейки)? При нормальной зарплате сделать свою плату в 10-100 раз дороже, чем взять готовую железу. Только малолетки думают, что разработка платы ничего не стоит.
Так все равно, винда или linux. Если у вас обновления идут с корпоративного сервера, куда их выборочно копирует главный админ, то на обоих системах вы не знаете, все ли у вас обновления или нет.

На линуксе чуть хуже, потому что обновления ещё разные на разных дистрибутивах. То есть на винде, перестроивши обновления на сервера микрософта вместо собственного корпоративного зеркала — вы получите все обновления. А линуксе — только те, что успели войти в ваш дистрибутив.

Причина проблем в том, что на обоих системах обновления бывают не совсем корректными. Помните историю, как обновление яндекс-диска удаляло файлы? Ну и аналогичный rm -rf /usr в линуксовском обновлении?

Так что в крупных организациях вроде банков обновления ставятся не сразу, а лишь после проверки. И не из инета, а из корпоративного хранилища. Отсюда и проблемы с актуальностью.
Вот только не факт, что на тот же CentOs нужное обновление прилетит оперативно. И не придется срочно ставить версию из PPA
Вообще-то говорилось не про сам факт актуальности, а про возможность его проверки.
В линуксе, не важно что и откуда я ставил, из каких PPA или сам собирал. Т.к. у каждой библиотки есть версия и всегда можно очень легко узнать какая версия актуальная и какая стоит в системе. Сравнить и в результате понять что происходит.
Как мне в винде понять, актуальная у меня версия в системе стоит или на машине win update сломался? только анализ логов установки глазками?
Об этом и речь собственно…
Как будто в linux версия линейна и всегда увеличивается… У автора есть несколько веток — актуальная ночная сборка, альфа, бета, пара стабильных, версия с long поддержкой. К этому добавляется правки от авторов дистрибутива. Какие патчи у них наложены, какие-то нет. В итоге в тяжелом случае — изучать историю коммитов и смотреть, наложен ли нужный патч.

Особенная веселуха — с версиями ядра, особенно со старыми с long поддержкой. А уж если ядро на специфичную плату, которым вендор занимается раз в полгода…

В винде нету такого зоосада версий. А логи можно посмотреть и скриптом и тем же grepом.

В винде проблема в ином — централизованное обновление — оно только на саму винду. А у каждого приложения — свой механизм обновлений. Или вообще — без механизма — следите за сайтом и скачивайте ручками.
Вы походу свой личный манимирок с микроплатами переносите на весь мир…
Какие нафиг специфичные платы?
Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.
У винды же сейчас вообще никакой инфы нет, что поставилось и для чего. Майки официально отказались публиковать подробную информацию об обновленниях. Про версии я уже молчу…
Блажен, кто верует, легко ему на свете…

Роутер дома есть? Умный телевизор? Мобильник? Медиаконвертор? Умные часы? Фоторамка? Мобильник на андроиде? У каждого дома — десяток устройств на линуксе. Причем большинство — на очень старых ядрах, вроде 2.6.39.58.

Ну и в целом, у линуха эти версии хотя бы есть и при желании можно разобраться.

Можно. Теоретически. Можно теоретически и свежий патч самому на ядро 2.6.39.58 накатить. Вот только шансы, что заработает — минимальны.

У винды же сейчас вообще никакой инфы нет, что поставилось и для чего.

Извините, но это сказки! Ну вот вам то самое обновление KB4012212
Идете в раздел «File information», там в подраздел «Windows 7 and Windows Server 2008 R2 file information» и там видите список файлов с версиями.

На винде просто зоопарк версий на два порядка меньше.
Как человек работающий с embedded linux: «Как я Вас понимаю». И просто по человечески желаю не сталкиваться с baytrail на linux. Вот там полный мрак, один официальный патч может включать поддержку дисплея и ломать драйвер тачскрина одновременно.

Это вы там еще прошивку не видели… Я до сих пор по ночам вздрагиваю, хотя уже больше года прошло с тех пор, как с линейкой Atom я больше не работаю.

Патчи для BayTrail почти полностью в апстриме, то что еще не вошло я собираю отсюда: https://github.com/jwrdegoede/linux-sunxi

В случае проблем с разработчиком можно выйти на связь: https://github.com/jwrdegoede/linux-sunxi/commit/250d55e3d35d0baba97e6087d7e7629868745f8a

У некоторых планшетов степень работоспособности близка к 100%: http://4pda.ru/forum/index.php?showtopic=650808&view=findpost&p=60617335
Уязвимость SMBv1? Или уже что-то другое?
Критические данные «ПриватБанка» не пострадали пока, однако это не говорит о том, что отдельно взятые компьютеры банка были успешно зашифрованы.

Приват на убунте сидит и в ус не дует.

Вроде как терминалы пострадали

Кстати да, терминалы и банкоматы у них тоже на убунте?

раньше точно были на винде, сейчас не знаю. Сегодня знакомая не смогла передать деньги по причине отказа терминала, так что возможно они на винде. Сам не видел, что именно с ним было.
Не, это дело на винде ибо сертификация и т.п.
Не испытывал проблем сегодня не с терминалом, нес банкоматом не с онлайн банкингом.
Может просто повезло :)
Было бы логичным если терминалы и банкоматы в отдельном VPN сегменте и доступны только с серверов.
UFO just landed and posted this here
даже интересно, с чем именно это связано
Банкоматы на ХР, терминалы уже на линуксе.
буквально недавно они обновили ПО терминалов, там сейчас точно не винда… дебиан что ле
UFO just landed and posted this here

Что бы была безопасность нужны затраты. Затраты на бекапы, ПО… Защититься от прохождения вирусни через медок вообще проблемно, а помнится гоструктуры у нас работают в режиме экономии и не получают денег на безопасность, а многие так и вообще домашние компы иной раз приносят на работу т.к. там нет своих (хлам 10-20 летней давности не в счет).

Не скажу за все, но работают и отдельно получают деньги на безопасность, особенно после выхода закона о защите персональных данных, но на деле (не буду тыкать пальцем в организацию) в IT отделе работает 3 сынка и один админ, на которого в случае факапа все сливается (там даже СБУ разборки устроила, и админу даже повезло — они его обелили).
Не очень правильно выразился. Контора все сваливала на админа что это он виноват. Но СБУ сказала что он не виновен. Уволился по собственному желанию. Естественно.
Молодцы, не стали брать крайнего. Приятно удивлен.
У нас не работали банкоматы Приватбанка, и терминалы в кассах супермаркетов.
Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк :) )

Но банкоматы Привата вчера вечером не работали)))

Такое ощущение что статья написана домохозяйкой для домохозяек. Про это было написано больше года назад


Мало того, как было замечено выше "попытки написать дешифровщик" закончились год назад.


Даже если предположить, что это результат скрещивания какого-нибудь WannaCry со "старым петей", так называемые "критические объекты" уже давно должны были сделать выводы.


Это всего лишь перепись псевдоадминов, которые смотрят Youtube вместо того чтобы делать то, за что им платят зря плату.

Это проблема низких зарплат гос сектора. Однако в этом конкретном случае страдают и те, кто хорошо защищен.

Конкретно в данном случае защита и нужна, нужны просто установленные критические обновления.

Вон тут выше писали, что уязвимости подвержены системы с полным пакетом апдейтов.
Каким-бы крутым не был админ, от 0day уязвимостей полностью защититься невозможно. Можно минимизировать ущерб, снизить риски, однако на восстановление работоспособности все равно нужно время. Ну и как правильно заметил автор, с большими требованиями пропорционально должна расти зарплата.
Что за копипаста? Зашел на хабр с надеждой найти что-то внятное, но и тут статья ничем не лучше.
Информация обновляется и разлетается по сайтам. Все анализируют исходники и вектор заражения. Статью обновляем.
Кто-то достоверно знает, как оно по сети расползается?
Внутрь с письмом, допустим, попало — а дальше как? Самба?
Говорят, вот так: https://www.exploit-db.com/docs/41896.pdf

… и ссылка на зараженный файл — на, на себе проверь. </шутка, извините не удержался:>
Мне без разницы — я на линуксе. Без шуток. :)
UFO just landed and posted this here
Я правильно предполагаю, что через NAT / роутер оно не пройдёт?
нет, если не пробрасывали порты уязвимых сервисов и в самом роутере нет дыр. (но дырявые роутеры не новость) :)
И если не ходите по ссылкам, и не открываете прикрепленные файлы.
Тем не менее у нас заразился комп, служащий сервером сетевого Medoc'ка. Единственный пострадавший комп из всей сетки.
Инересно, решил поискать что такое вообще Medoc. Но нашел что-то поинтереснее:
У Microsoft заявили, що через MEDoc сталася масована кібератака. Українська кіберполіція також підозрює MEDoc у поширенні віруса-здирника.
Они открещиваются и говорят что их обновление было без вируса. Помню когда был вирус заражающий Delphi и все скомпилированные программы шли уже зараженными. Там масштабность тоже не знала границ, благо вирус был не злобный. Но это был звоночек.
Я могу высказать свое подозрение, например что клиент MEDoc просто открывает vpn к своему серверу для передачи данных обновлений и других данных по шифрованному каналу, что звучит неплохо.
Но при этом он попадает к этому серверу в локалку, из которой к нему по уязвимой самбе может прилететь неПетя.

Вообще, со стороны MEDoc было бы хорошо написать свой официальный ответ с разбором полетов. Только чтобы техник ответил, а не менеджер по рекламе.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445,
Это полумера, векторов атаки явно больше чем просто порты, как с WannaCry просто закрыть порты и накатить патч пока не получается.
И не получится. Ванкрай был банальным вирусняком который нагнул всех любителей дарить самбу в мир.
Тут просматривается явная подготовка и скорее всего заражение происходило далеко не один месяц но без активации.
Если-бы это было всё также как и с ванкраем то все эти системы отгребли бы ещё при самом ванкрае — когда он пришёлся по 445 порту всея интернета.

В общем как вы понимаете, я не могу поверить что данные события из разряда «ну так вот получилось», чувствуется подготовка. А если и действительно спонтанная атака с такими масштабами разрушений, то я очень боюсь за будущее ОйТи нашего государства.
> всех любителей дарить самбу в мир.
Справедливости ради, оказалось, что это дефолтное поведение виндового фаервола на режиме «публичные сети». Чего от этого режима никак не ожидаешь. И чтобы его изменить, нужно залезать в настройки правил фаервола, которые позапутаннее iptables.
Так-то оно так но в случае с ВанКраем эти порты нужно было выставить в мир или специально или тупо пожадничать на роутер и втыкнуть кабель прямо в комп.
Образец вредоноса бы выложил кто-то. Можно в виде снимка с машины, или как он там доставляется (письмо, ссылка, котик.jpg.scr)
Верну в рабочее состояние серваки и пошарю по старому образу, вдруг что есть (или на почте)
Сами столкнулись сейчас с такой бедой 4 сервака лягло. Предварительно думаем что через почту заразились локальные пк менеджеров(через почтовую переписку с поставщиками, так как они тоже оказались заражены), далее файловый сервер ну и дальше и удаленка с бд. Если кто найдет решение делитесь.
У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.
Почему-то автор на ПМ не отвечает, так что пишу публично — ссылки на обновления бесполезны, они закрывают уязвимость от WannaCry, но не от Пети. Последний заражает даже обновлённые машины.
Считаю необходимым дополнить сообщение, когда методы распространения заразы стали известны. На тот момент мне не было известно (и даже допустимо), что заражение пришло через Медок, так что это могла быть не новая уязвимость, а грамотное использование старой. Проанализировав все факты становится понятно, что всё началось именно с Медка, затем червь с помощью Mimikatz смог извлечь некоторые другие пароли попасть даже туда, куда можно попасть только со знанием паролей. Также он просканировал сеть и заразил несколько машин, которые избежали обновлений (жёсткого контроля пользователей по определённым причинам нет), и допускаю что часть могла запустить вложение из почты. Выводы сделаны, гайки буду закручивать сильнее.
Заражение могло пройти ранее, до того как вы поставили обновления в связи с новостью про Wannacry. Просто вирус спал всё это время.
Да, есть информация что вирусе была прописана дата «старта» 11 утра 27.06.17 поэтому нужно уточнять когда именно компьютер заразился.
UFO just landed and posted this here
26 нельзя, спалились бы. А так вполне себе логично: проспа… проснулись на следующий день после корпоратива, как раз к обеду, достали остатки пива, нарезку, попкорн, вывели на самый большой монитор карту Европы, сели поудобнее и жмякнули капу :)
UFO just landed and posted this here
Это исключено, кроме установки обновлений лично проверял их, чтобы всё было чисто.
Был, и хоть в это не хочется верить, знакомые админы говорят, что троян пришёл именно через обновление Медка.
Именно, у нас только зацепило именно meDOC сервер.
У меня кроме этого заразились некоторые обновлённые рядовые компьютеры в сети.
Плюсадын. Сервер медока — единственный заражённый у нас.
UFO just landed and posted this here
Пострадала не только Украина же! А как же российские Роснефть, Башнефть и прочие?
Беларусь тоже немного задела напасть

ОАО «Бобруйский машиностроительный завод».

Из оффициальных новостных новостных источников
Так после перезагрузки происходит перезапись MBR или передается управление на уже переписанную MBR?
Если первое, то зачем такие сложности, почему сразу не перезаписывает? А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Здесь перепутали ACPI S3 Sleep (suspend to RAM), когда лампочка мигает, и комп включается за пару секунд, с S4 (Suspend to disk или Hibernate) — когда лампочка не мигает.

В S4 после запуска выполняется обычная загрузка POST -> MBR -> Windows и уже Windows сам восстанавливает с диска свое состояние. С случае переписи MBR не восстановит, естественно.

Если включен Hybrid Sleep — то комп уходит в S3, с подстраховкой в виде S4 на случай если уборщица выдернет вилку из розетки.
> А если второе, то поясните, пожалуйста, при просыпании из гибернации MBR вообще не при делах?
Включение компьютера из состояния гибернации ничем не отличается от холодного включения, MBR используется. Загрузчик Windows сам определяет, нужно ли делать холодный старт или восстанавливать образ ОП.
У нас майкрософтовский антивирус увидел заражение бут сектора и «вылечил» его. Биткойны в результате не вымагались. Но пользовательские файлы всё же зашифровались. Примерно с пол часа прошло, пока я со всем этим ковырялся-разбирался, и вдруг возникло штатное предупреждение о перезагрузке через минуту с отсчётом времени. Посмотрев в журнал винды, перезагрузка была запрошена explorer.exe и поддержана wininit.exe, причина не указана.
Ну так заражение MBR и перезагрузка разнесены по времени, вроде как…
Мартовские апдейты, которые закрывали ту уязвимость. В комментариях видел, что последние апдейты тоже уязвимы, но пока однозначного ответа на вопрос нет. У этого вируса рассылки по внешним сетям нет, начальное заражение по почте, а локальные сети работают чуть иначе.
Уязвимы последние версии ОС со всеми последними апдетами вплоть по сегодня (Defender).
Да, EternalBlue закрывает. Но текущая дыра не в этом. Пролезает и сквозь последние патчи.
По тестам не всегда. Иногда да, а иногда патч помогает, пытаемся понять почему так.
Литреев пишет, что возможно в Petya используется новая уязвимость 0-day, и некоторые другие специалисты с ним согласны.
Мне кажется очевидно, что нужно всерьез рассматривать свежие уязвимости, потому что распространение повальное.

"Так, похоже, что компьютеры европейских компаний поразил вирус типа Win32/Diskcoder.Petya.C, а вернее, его модификация. Он повреждает запись MBR, но, похоже, не трогает сами данные. Распространяется через уязвимость в SMB, но это не единственный способ распространения.


Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом."
t.me/alexlitreev_channel

Если, как написано, «это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows,...», то что за патчи предлагается ставить?

"Мне написал технический директор ESET Israel и подтвердил, что это новая модификация Petya."
t.me/alexlitreev_channel

По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
Откуда известно, что именно SMB?
Пока только догадки, исходя из скорости распространения внутри локальной сети.
Есть предположение, что он попал с обновлением Медка, а потом распространился по SMB через новую уязвимость.
Т.е. шифруется только тот жесткий (его локальные), который является загрузочным?
Другие жесткие в системнике не шифруются?
в моем случае зашифровал файлы на несистемном диске. *.dbf, *cfg *.vbs возможно еще какие-то.
Вопрос на счет UPD 6

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat

Именно по такому адресу должен быть файлы?

Нашел у себя
C:\Windows\INF\PERFLIB\0000\perfc.dat
C:\Windows\INF\PERFLIB\0409\perfc.dat
C:\Windows\INF\PERFLIB\0419\perfc.dat

Это то же или это не опасно?
Заливайте на VirusTotal и образцы, если можно на info@protectmaster.org
Проверил. Не обнаружило ничего
Отправил на почту
Эти файлы относятся к счетчикам производительности (409/419 — коды языков).
Вот цитата о файлах perfXxxxx.dat в System32:
«Perfc009.dat and Perfh009.dat: These file system files reflect the current state of the performance registry.
Perfd009.dat and Perfi009.dat: These file system files reflect the initial state of the performance registry.»
А perfX.dat без цифр в INF IMHO исходные версии этих файлов.
Аналогичный результат поиска.
кто подкинет вирус… хочу потестить на виртуале как распостраняеться
UFO just landed and posted this here
Видел сообщения, о том что виртуалки страдали. С учетом атаки по таймеру песочница была не опасна для первоначального обнаружения, а после срабатывания было поздно.
Образец файла можно попробовать найти по ссылке из https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759 — на yandeks.disk
там чуть больше инфо по IoC
проверил оба файла на XP… ничего… первый вообще сломан, свхост ниче не сделал
Вопрос:
«Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat».
Как данный файл связан с шифровальщиком?
Он должен быть именно по этому пути (не в поддиректориях)?

Я что-то не понял или WannaCry людей ничему не научил или вирус использует новую уязвимость?

«Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows»

Вот поясните, предлагают ставить обновления (см. список выше) — еще в марте они были. Так что, их MS не предлагали к автоматическому обновлению?

Пересмотрел все свои обновления — там KB4012212 ни в каких списках нет…

P.S. Кстати, ставить? не ставить? а то с этим пожаром просто стремно что ни попадя на машину тянуть :)
Ну я посмотрел, и? Вы в статье утверждаете что упоминаемые компании имеют последние обновления. Последние обновления включают в себя те обновления, ссылки на которые приведены в upd6 и 7, и тем не менее оказались заражены.

Что-то не сходится…
KB4012212 — это Security Only патч
проверьте у себя KB4012215. это Monthly Rollup включающий также исправления ошибок
Дополню — это мартовские (или апрельские) патчи. Если в этот месяц обновления произведены не были — сейчас ставится более свежий (майский или июньский) патчи, с другими номерами, но которые включают в себя всё то что было в KB4012212\KB4012215
Ещё немного дополню: Monthly Rollup включает в себя все предыдущие Monthly Rollup-ы, т.е. в системе только последний. А Security-only Update в каждом месяце свой, он не кумулятивный, и соответственно сколько месяцев — столько Security-only Update-ов (за исключением месяцев, когда их не было выпущено Microsoft).
По смыслу в системе или обновляется Monthly Rollup, или накапливаются Security-only Update-ы.

есть любопытные совпадения, в моем окружении все заразились после обновления программы Medoc

О Medoc пока подтверждения нет. Это от того специалиста, который одним из первых про Medoc сообщал. Ранее уже в мае через Medoc вирус попадал, так что подозрения есть.

есть штук 6 сообщений с утра, компании от мелких до среднекрупных, в 3 случаях зараза появилась ровно после обновления медка. Самому лично возможности посмотреть нет, несколько лет уже отошёл от администрирования, если будут какие-то ещё интересные факты отпишу. Одесса

+1 после обновления МеДок. Но по сетке не расползлось, возможно сработали патчи Майкрософт.

подтверждаю. Заражение сервера M.E.doc сразу после обновления.
а после обновления на какую версию?
я два сервера медка обновил еще вчера, и еще несколько серверов сегодня утром, весь домен лег после часу дня, можно сказать что все виндовс машины умерли одновременно… Также умерли предприятия где нету серверов медка…
Подтверждаю, сразу после обновления медка, произошло заражение.
Кто-то может мне объяснить, если он шифрует только MBR, в чем собственно проблема? Восстановить MBR и погнали? Или где я ошибаюсь?
Скорее всего, автор поста хотел сказать «шифрует диски с MBR», иначе, конечно, баловство какое-то :-)
Не помогает восстановление загрузочной записи… Просто видна unknown партиция вместо системной и все.
Пробовали штатными средствами bootrec
Думаю, вполне остаточно шифрования таблицы файлов/каталогов
Ещё всякие папки, типа WIndows, Programm files, Documents and settings, etc тоже шифруются, становятся размером 0 и датой создания 1 января 1970. Странно то, что один диск С нормально подмонтировался, хотя бы смог посмотреть, что случилось, а с другой машины не подмонтировался даже…

да и вообще не понимаю, по какой логике заражались машины…

А известно в какой момент шифруются файлы? В фоне вместе с mbr или после перезагрузки?

после перезагрузки работает миша. Он шифрует файлы. Это все тот же Petya, и работает он все так же, только более продвинут
Т.е. вариант решения — восстановить MBR без попытки старта ОС?
у нас чел восстановил разделы через partition wizard. Но, говорит, что на винтах файлы пошифрованы. Больше вытянуть из него не удалось, он ушел в себя, может позже появится еще.
Комп с десяткой, десятка установлена 21 числа, апдейты накатили. Данные зашифрованы.
Спасибо. Значит шифрование файлов производится еще ДО перезагрузки :(
Однозначно до. У нас антивирус отловил заражение бут сектора, но файлы при этом уже оказались зашифрованы (вируса, непосредственно шифровавшего, не обнаружил — возможно он был только в оперативной памяти).
Петя шифрует MBR, а потом приходит Мина и шифрует уже сами файлы

Похоже несколько модификаций, случай о котором знаю только шифрование mbr, но не факт, что так во всех случаях.

Пострадали и довольно хорошо защищенные компании.

Уа-ха-ха! Это Вы про те, что MS17-010 не могут закрыть? Думаю, если копнуть чуть-чуть, то в таких «хорошо защищенных» ms08-067 есть.
т.е. когда года машины целыми сетевыми сегментами ложились это чисто фишинг, да?
Эта история еще раз подтверждает, что монополия одной системы — зло. Причем в любой сфере, не только в ІТ.

Ведь если в организациях (к примеру) 50% машин было бы на винде, а другие 50% на юникс-лайк системах, упала бы только половина машин, а не все.
Думаете нереально зацепить Windows-машины через подсистему linux? Ну или linxu-машины через wine. Отличие в том, что wine стоит не у всех, а вот lunux-подсистема — на большинстве Win 10 есть.
UFO just landed and posted this here
От админа зависит. Если админу удобнее писать скрипты на линуксе — значит будет включена. Мы же не про хомячков, мы про корпоративные системы говорим?
А стоимость обслуживания при этом могла бы удвоиться, даже не учитывая особенно совместимость. Делать 2 системы на разных принципах для одной задачи в одной структуре имеет смысл крайне редко — космос, авиация, оборона, возможно ещё что-то критическое. Во всех остальных случаях небольшое повышение надежности в некоторых сценариях (и понижение в других) приведет к серьёзному увеличению затрат труда и средств.
Если бы вы мне сказали эту мысль вчера, я бы пожалуй с вами согласился. Но сегодня — нет.

Я думаю вы согласитесь, что убытки компаний, подвергшись атаке, будут огромны (и через простой, и через потерю данных). А вот если бы была возможность держать в организации парк машин с разными системами, тогда потери были бы в разы меньше. Конечно, тогда нужно, чтобы каждая система могла на одном уровне покрывать все потребности в работе, чего сейчас на десктопе трудно добиться, к сожалению. В этом и проблема.
одно хорошо, в украине завтра выходной, не у всех, но все же у большинства компаний, и они восстановят работосопосбность. А вот с данными у всех будет по-разному.
Тьху-тьху, мне хватило просто задержаться на работе в тот же день)
Если они делают бэкпапы, убытки компании не столь большие (а если восстановление автоматизировано то и вовсе ничтожны) — взяли и развернули образ на день назад. Ну а критически важные данные можно запасать и почаще. Запасать естественно на комп с другой ОС.
Если они делают бэкпапы, убытки компании не столь большие

Убытки за потерю данных — да. Но вот простой дня работы целой компании обойдется недешево.

Стоимость разработки обычно побольше стоимости восстановления из бекапов и накатки образов на отформатированные диски. Простой, конечно, но он не идёт ни в какой сравнение с повторением той же системы на другой платформе (тем более хранилище всё равно одно), а проектировать изначально 2 системы — от одного предложения руководство посчитает идиотом (за просто так потратить вдвое больше ресурсов). Простой даже в несколько дней будет гарантированно дешевле.

Простой даже в несколько дней будет гарантированно дешевле.

Вы уверены? Убытки уже оценивают в миллиарды гривен. Я сильно сомневаюсь, что при возможности нормальной взаимозаменяемости Windows другой ОС’ью в рабочей среде, поддержка стоила бы дороже всех этих убытков (и да, Приватбанк — хороший пример). Но нормальной взаимозаменяемости на десктопе нет, потому что тут монополия Windows.

Такая ситуация была бы невозможна в сфере мобильных ОС, ведь тут Android вполне себе конкурентная система для iOS и наоборот. То же самое в сфере браузеров — хром, фаерфокс и т. д.

И хоть меня продолжают минусовать, я все равно уверен, что любая монополия — зло. А если кто-то считает иначе, вспомните, что было с вэбом в эпоху монополии Internet Explorer.

Убытки одной компании? Значит создание полной копии системы для такой компании будет явно не дешевле. И не только создания — удваивается сопровождение, развивать и дорабатывать нужно тоже параллельно, учитывая что вторая система в роли догоняющей и ей за месяцы надо пройти путь в годы предыдущей, а потом ещё и наверстать эти месяцы (что увеличивает цену разработки), то ситуация ещё ухудшается. А добивают пользователи, которых нужно обучать работать с двумя системами и тонкий клиент — это не всегда выход. Более того — иногда просто невозможно перейти на другую систему (потому как написать свою часть должны производитель железа. смежники, госструктуры), тут не всегда как с рашн консул — пасибл, бат вери экспенсив, тут зачастую импасибл.

Я с вами согласен. Ситуация, которую вы описали — это следствие монополии, ни больше ни меньше.

Приведу пример с браузерами. Вспомните эпоху монополии Internet Explorer — тогда тоже все сидели на нем. Ну и сайты верстались исключительно под IE, ибо 90% рынка. В итоге любая критическая уязвимость либо баг в IE (потенциально) мог запросто сломать весь вэб.

Но потом на сцену вышли фаерфокс, хром, другие браузеры, монополия была сломана и сайты уже перестали делаться под один браузер. И сейчас, если в одном из браузеров найдется критическая уязвимость либо баг, упадет только часть вэб-клиентов, но не сломается все.
Ноль проблем, покажите пример. Все домашние роутеры на *nix, причем в 99% — это linux. Пожалуйста, сделайте прошивку для популярных роутеров под windows. :-) Что-то вроде DD-WRT, только с windows.

P.S. Если вы понимаете, почему это нереально, то легко поймете почему и в остальных местах засилье одной системы.
причем в 99% — это linux

Уверены? Я могу ошибаться, но (насколько я осведомлен) в сетевом оборудовании огромный процент прошивок на bsd и прочих юниксах. Я надеюсь, вы понимаете, что linux != bsd/unix, хоть это и одно семейство ОС.

Так что тут как раз-таки монополии нет, есть много продуктов от разных производителей. И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.
У меня дома лежит пачка старых роутеров и ADSL модемов.
Что-то отличное от Linux встречается очень редко.
Могу вспомнить разве что VxWorks и ZyNOS. Всё-таки ядро Linux — это весьма хороший framework для написания драйверов, плюс там очень много поддерживаемых «плюшек» (сетевых протоколов, алгоритмов шифрования и прочего). А тут важен параметр Time To Market, поэтому в большинстве случаев берут именно его, ибо цена доработки под свою железку минимальна.

А с WinCE и Platform Builder мне пришлось немного пострадать, не могу сказать что мне понравилось.
Насколько я знаю, аналога BusyBox для FreeBSD нет. А это означает, что для FreeBSD потребуется больший объем flash-памяти, чем для linux.

FreeBSD — это прежде всего сервера, магистральное оборудование и так далее. А вот в домашних роутерах считается каждая копейка, потраченная на железо. Поэтому там засилье linux.

И если уязвимость будет в одном, упадет только часть сети, а не вся сеть.

А если это что-то типа Heartbleed, то оно затронет не только все linux-машины, а и вообще все *nix. Любуйтесь на описание OpenSSL:

Доступна для большинства UNIX-подобных операционных систем (включая Solaris/OpenSolaris, Linux, Mac OS X, QNX4[3], QNX6 и четырёх операционных систем BSD с открытым исходным кодом), а также для OpenVMS и Microsoft Windows.
И кто из «домашние роутеры»? :-) Это не Cisco, ни Juniper, ни FreeNAS. То есть — остается практически чистый linux.

P.S. За инфу про порт BusyBox — спасибо.

Браузер намного проще подобных систем, взять хотя бы документированный стандарт. Тут уже была история о реверсе процессов нефтеперерабатывающего завода, могу сказать что это ещё хороший вариант.

Ну есть вариант — все система в инете. А пользователи работают с сайтом и им все равно, в какой системе запущен chrome. Но это довольно узкая ниша. Если уж делать — то не ради двух систем на десктопе, а ради планшетов и мобильников.

Нет варианта, это бесполезно как WiFi-чайник — он в себя воду не нальёт, так и тут — оборудование должно быть рядом, у него должны быть драйвера (а работа из браузера — ещё то извращение, пробовали), переделка оборудования — это нужен месяц простоя. Банки могут, многие другие — нет.

Ну чем дальше — тем больше переносится в браузер. Лет 15 назад я бы не поверил, что можно в браузере смотреть PDF (в смысле без плагинов, просто читалка на JS). Оказалось — можно. И так далее… Непроизводительно все на JS писать, но… потихоньку очень многое офисное на портируется.

И с железом умудряются работать — нативная dll, Джава-аплет для вызова нативной dll, только это для небольшого класса устройств, выглядит полным извращением и работает через пень-колоду.И, как видно, нифига не кроссплатформенно. Не считая того что даже это кто-то должен создать.

Если бы популярной была другая ОС, в другой ОС тоже бывают уязвимости.

Например, давайте вспомним, на какой ОС появился первый интернет червь, использующий уязвимость, и какая ОС в то время была самая популярная в сети.
у нас упала половина машин, остальные успели вручную отключить от локалки, а потом и вовсе потушить на всякий. Но да, офис парализован. Хотя варианта с *никс нет, специфика((
Хотя варианта с *никс нет, специфика((

В этом, собственно, и проблема — трудно заменить винду, потому она всюду стоит. А раз всюду стоит, то и случилось что случилось. Была бы возможность нормальной взаимозаменяемости систем для работы — было бы тогда несколько систем и организация бы не была заблокирована.
С Mac-а очень интересно наблюдается за происходящей паникой…
https://nakedsecurity.sophos.com/2012/06/14/mac-malware-apple-marketing-message/
На маках уже давно есть ботнеты. Если компов на маках станет много и они проникнут широко в компании, ими тоже заинтересуются. Всё упирается в выгоду.
Дело не в том что мак такой защищенный и классный (это не так), дело в том что мак это неуловимый Джо.
Скорее, потому что маки не используются в серверах, банкоматах и тому подобных системах.
Эх… Ну им не впервой. Переустановят кактус, и продолжат дальше его грызть.

image
Windows 10 Pro 1607 x64 — обновление KB4013429 не устанавливается — пишет «обновление не применимо к вашему компьютеру».
В списке обновлений (смотрел через «Панель управления / Программы и компоненты / Просмотр установленных обновлений») KB4013429 отсутствует. ((
Если компьютер автоматически обновляется, почему этого обновления в системе нет?
И почему скаченное не устанавливается?
Скорее всего у вас уже установлено кумулятивное обновление безопасности, которое Microsoft выпускает каждый месяц. Номер у него каждый раз разный.

Потому что скаченное от слова катить, а не качать. Вот оно и скатилось а не скачалось.

UFO just landed and posted this here
UFO just landed and posted this here
Вопрос по этому пункту:

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat

есть такой файл. файл на windows server 2008 r2. сервер не перегружали. пока работает. в сети были зараженные компьютеры, отправил на переустановку системы. что можно предпринять?
А M.E.Doc используется? Просто чтобы знать, участвует он в этом или нет.
используется. и сейчас в памяти его агент висит. файл «perfc» теперь почему-то без расширения.
Local kill-switch — create file «C:\Windows\perfc»
https://twitter.com/ptsecurity/status/879779327579086848
И на эту тему, там более подробно описывают техническую сторону вируса:
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
с «вакцинацией» я понял (до чего мы докатились). а какое имя процесса?
Хоть они и отпираются до сих пор, но нутром чую — именно через медок и пришло заражение.
он точно лежит в c:\windows?
есть родные виндовые файлы perfc.dat лежащие в других каталогах.
для страховки можете скопировать родной файл perfc.dat в каталог c:\windows и после этого удалить всех пользователей из его прав, добавить пользователя «Все» и сделать ему запрет на все права.

Достаточно запрета, он имеет приоритет перед любыми разрешениями.

надо удалить и создать пустой с таким же именем и запретить все права кроме чтения.
тоже самое надо проделать с
C:\myguy.xls.hta
C:\Myguy.xls
C:\Windows\perfc.dll
В тех компах что нам сегодня привезли — MeDOC используется.
В mbr баннер, но то ерунда. MFT частично шифрована на всех дисках, по остаткам MFT собираю файловую — файлы тоже часть зашифрована (почти все doc, xls, pdf), часть нет (чудом одна база 1С 7.7 DBF), jpg.
у пользователей создался файл «rundll32.exe»

в каком каталоге?
создавался файл perfc.bat

опять же — в каком каталоге?

спрашиваю потому, что можно заранее скопировать родной файл винды и сделать запрет на полный доступ для «Все»
Судя по листингу явно реверсили.


Потеряль сегодня весь домен(ws2008r2+w7+xp), выжыли только тонкие клиенты на линуксе и сервера на линуксе.

Стоял каспер, стояли все обновления от микрософта по 20тое мая, развернуты политики APPLocker и Software restriction policy. печаль…

П.С.
делайте резервные копии, и периодически их проверяйте.

П.П.С.
Зашифровало только диски С.
Медок на сервере стоял? Клиентские машины были обновлены тоже по 20 мая? Если была хоть одна машина с июньскими обновлениями — она тоже пострадала?
Медок был сетевой — стоял на vm с вин xp, обновления на медок я ставил на несколько серверов еще за день до этого, и еще несколько серверов обновил до 9 утра, а все погибло после часа дня.

К сожалению, к установке через wsus июльских обновлений я еще не приступал.

У меня выжыло две vm (ws2008r2 и xp) и один ноутбук(w7), ноутбук просто отключили от сети, когда стало понятно что происходит.

Также умерли несколько тестовых vm которые были вне домена ws2008r2, а несколько тестовых ws2012R2 не доменных и без обновлений — выжили =\
К сожалению, к установке через wsus июльских обновлений я еще не приступал.


Прошу прощения, июньских или июльских?
1.Каспер при подключении к KNS блокировал эту атаку по поведенческому признаку. Сейчас уже добавили классическую сигнатуру. Было соединение с KNS?

2.AppLocker работал по белым или чёрным спискам?

3. SRP работал по всем учеткам или для адмиских было сделано исключение в настройках?
1 — сервер каспера умер — думаю одним из первых, обновления скачивал раз в 2 часа…

2 — AppLocker был только на терминальніх серверах, разрешался запуск по и скриптов из стандартных каталогов и несколько не стандартных.

3 — адмны были в исключениях, SRP актуален только для win7 и xp,

большая часть пользователей работает на терминальных серверах, а правами администратора на vm с ролью домен контролеров обладает только 3 человека… и тем не менее все зашифровало )))
2.3 Разрешение по путям в данной атаке не работает, исполняемый файл запускался с высокими правами как раз из системных каталогов. Сработало бы если бы включён контроль запрета всех неизвестных exe.

1. Если только классические сигнатуры, то не спасло бы. Нужно чтобы был непрерывный онлайн доступ к KSN. Это настраивается в политиках.

делайте резервные копии, и периодически их проверяйте.

А вы делали? Вы прям данные все потеряли, или только работоспособность машин? SRP как настроен был?
Понимаю, прям сейчас вам, наверное, не до того, но отпишитесь, пожалуйста, как появится время.
Делал =) все что было в расписании будет востановлено (vmware data recovery 2.*)
какимто чудом не задело почтовые базы — для почтового сервера я востановил только системный диск.

Акронис диск директор способен заставить работать пораженные пк, восстанавливает разметку диска, и диском от винды нужно востановить mbr. но данные пользователей зашиврованы на дисках с и д… =\.
SRP работали только на клиентских ПК и разрешали запуск ПО и скриптов только из «стандарных каталогов».
на терминальных серверах работали политики APPLocker, тоже разрешали запуск из «стандартных каталогов».

Киберполиция… Шиндошс… Ну, я не удивлюсь новости, что управление по борьбе с наркотиками перестало функционировать, т.к. скололось героином.

22.05.2017
… Подобные выводы – однозначно ошибочные, ведь разработчик «M.E.Doc», как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода. Для этого нами были заключены договоры с крупными антивирусными компаниями...


27.06.2017
Внимание!

На наши сервера осуществляется вирусная атака.


Хех.