просто это тема для полнометражного документального фильма, а автор втиснул ее в формат научно-популярной заметки для журнала; но сделал это весьма качественно, лично я прочитал с удовольствием. Спасибо.
Современный смартфон — мощное устройство и для обработки информации, и для сетевого взаимодействия, и для оповещения по GSM/GPRS; а к нему через USB можно подключить МК с датчиками, который в сетевых задачах как раз крайне неуклюж. В этом смысле имеем широкий простор для творчества в смежной области — программирование МК в интеграции с Android, обе платформы достаточно открыты и полны примеров. Еще раз респект автору за умелое использование хлама.
Но если выводить систему безопасности в Интернет (особенно на ломаном Android), то очень, очень аккуратно. Даже если дальше домашнего WiFi его никто не увидит, не оставляйте ничего без пароля. Берегите себя, свои семьи и имущество;)
Братцы, признаюсь сразу: с котлами дел не имел, но рискну предположить, что по ту сторону RS-232 (если это он) м.б. микроконтроллер, одна из задач которого — аварийная защита; т.е. будьте внимательны, неверным движением можно вывести систему из строя или чего похуже, да хранит Бог ваши семьи и умные дома.
Еще такие системы могут иметь RS-485 (брутальный вариант RS-232, электрически несовместим, нужен конвертер интерфейсов). Также легко м.б. и TTL UART (это антипод 485-го; конвертер на USB можно сделать из переходника RS232-USB). И если там именно RS-485, больше шансов получить телеметрию в готовом виде. Вообще программирование МК — это очень увлекательно, но с точки зрения бытовой безопасности мне в такой ситуации спалось бы спокойнее именно с распознаванием изображений.
В любом случае это территория пром. электроники, без документации лучше с такими девайсами не шутить. И к Интернету если подключать, то только через оптический симплексный интерфейс (который аппаратно только в одну сторону работает:) И все равно подумать о том, кто кроме вас может использовать информацию с датчика и с какими намерениями…
насколько можно судить из описания, в TLS Record заголовочный байт Content Type с интересующим значением 0x18 (Heartbeat) всегда передаётся открыто, и на этом построен метод; для снижения вероятности ложно-позитивных срабатываний добавляется ещё и условие Major Version = 0x03. Теоретически можно для более крепкого сна добавить ещё условие на следующий за ним байт Minor Version 0,1,2,3. Дальше уже идёт непредсказуемая двухбайтная длина и само закрытое сообщение. Так что должно сработать.
Чтобы поставить это на «реверс» (для защиты клиентов от плохих серверов, работающих на порту 443), в теории --dport 443 меняется на --sport 443, но я не проверял.
На самом деле, есть у этой истории и интересное продолжение в виде потенциальной DoS-атаки на систему регистрации (-j LOG), поэтому использование такой заплатки в «голом» виде дома может быть неприятным, а на нагруженных серверах даже опасным. Кому интересно, можете почитать seclists.org/fulldisclosure/2014/Apr/143
Если попытаться повернуть это правило на «реверс» и защитить клиента от плохого сервера, появляется теоретическая вероятность ложных срабатываний на не-TLS трафике, намеренно идущем через порт 443 и содержащим контрольный маркер по определенному смещению.
как я понимаю, это правила для защиты серверов от «плохих» клиентов (а не клиентов от плохих серверов) и могут быть интересны коллегам в соседних топиках по данной проблеме; как раз подобные функции я ожидаю и от промышленных систем IPS, и от бесплатных типа SNORT. Конечно, ввинтить пару правил для iptables проще.
Squid и безопасность — примерно как солёные огурцы и молоко, хороши по отдельности. Если справитесь с этим глюкалом и соберёте его на новом OpenSSL, то закрыть от Heartbleed он должен. Можете для более крепкого сна еще SSL heartbeat выключить. Но только учтите, что сертификат УЦ, которым будут теперь подписаны все сертификаты сайтов, должен стать доверенным на всех клиентах, включая браузеры смартфонов, всякие ВКонтакты, банк-клиенты, Gmail и т.д. (но см. ниже про исключения!) А все секреты Ваши теперь бегают в открытом виде внутри еще одного сервера. И если вдруг ни с того, ни с сего перестал работать, например, Skype, или TeamViewer — не удивляйтесь, это Ваша система безопасности пытается их досмотреть и испытывает облом. Когда попробуете всё это собрать, прописать исключения на всё, что надо (те же банк-клиенты, Google), протестировать, выслушать от домашних («почему у меня почта не открывается???!!»), то поймёте, почему так просто знающие люди забираются в корпоративные сети:)
о, простите, не посмотрел на Ваш профиль, Вам nginx явно не второстепенный…
как обычно в таких случаях, признаю, что Ваши доводы про nginx обоснованы, но предлагаю больше не мусолить эту тему, коллега; зато теперь я знаю, куда мне обращаться по вопросам nginx:)
Ваша бабушка на пенсии ИТ-аутсорсингом случайно не подрабатывает? Дай Бог ей здоровья и долгих лет жизни в любом случае. Моя вот уже не подрабатывает.
Я бы дал почитать статью своему племяннику, если бы он у меня был; и сопроводил бы небольшой лекцией о том, почему надо скачивать обновления на те устройства, которые хоть как-то подключены к Сети. При всём уважении, второстепенные вещи ngix и MariaDB Вы тут уже вырываете из контекста, откидывая всё остальное.
Это вопрос того, как собирались приложения: статикой или динамикой. С учётом совершенно непредсказуемого потока дистрибутивов может быть всё, что угодно, согласны?
Автор, вероятно, просто хотел дать страшилки в виде невинных, часто используемых приложений, которые лично ему попались собранные статикой, определенной версии. Не будем его слишком строго за это судить, тут главное — тематика клиентских уязвимостей.
Ну, ведь клиент у MariaDB есть? И он может по SSL работать? Значит, уязвим:)
Со сценарием атаки, конечно, сложнее, у меня как-то образ вредоносного сервера БД, который «охотится» на своих клиентов в голове не очень укладывается.
Сделаем так: я размещу ссылочки сверху из топика на наши с Вами комментарии, чтобы гости могли сразу сориентироваться.
Идея устроить дома периметр с VLAN'ами и с ограниченным выходом в целом здравая, спору нет.
И да, латышский роутер весьма интересен и понятен многим *никсоидам. Функция «простукивания» должна уберечь от атак снаружи. Лично мне там не очень понравилось черезчур лобовое использование iptables, без попытки обвязать их должным образом и сделать хотя бы аппроксимацию «зон безопасности» (как в нормальных брэндмауэрах). Тот же SuSE Linux это умеет делать аж с… даже не помню, столько лет прошло. Впрочем, это оффтоп.
Но спросите себя сами: сколько обычных пользователей захотят себе такое развлечение дома? Бытовая угроза — она на то и бытовая, что целью является обычный, среднестатистический потребитель. Один мой приятель двойной Ethernet протянул по всем комнатам (коих две штуки), причём шестой категории. Только он вряд ли справится с микроштыком даже по Вашему подробному ликбезу, хоть и продаёт решения безопасности.
Коль скоро это только реверсный прокси и только на одностороннюю терминацию SSL, то сюда можно притянуть за уши раскрытие (серверной атакой) содержимого запросов, которые ходили через nginx, когда он уже выступал клиентом trusted бэкенда. Получается использование серверной уязвимости, т.е. nginx не совсем из этого топика. Вообще, nginx вряд ли относится к теме бытовых угроз для «простого пользователя».
«SSL termination» обычно предполагает, что на бэкенд ходят уже без SSL.
И тут Вы скорее правы, в балансерах обычно так (а речь именно о них), но в защитных forward proxy терминация как раз двусторонняя (прокси и как SSL-сервер, и как SSL-клиент). Назовём это отраслевой вариативностью:) И хотя можно всякого нагуглить по строке «nginx forward proxy», чаще всего я вижу обломы как раз из-за HTTPS. Не собираюсь даже пробовать, Кесарю — кесарево.
Рад, что поднял Вам настроение:)
Да, MUA из телека довольно хардкорный, но не стоит так уж на одной почте зацикливаться. Я скорее ожидаю проблемы по основному фунционалу — просмотр платного видео и попадание логинов-паролей в память телевизора. Опять же, забыли пароль от личного кабинета какой-нибудь медиатеки, что мы делаем? Если гости уже собрались и стучат стаканами «кино, кино!», почему бы не «блеснуть» смекалкой и не зайти в почту за паролем по-быстрому… Да, статья переводная, и не во всех широтах любят платный контент. Но всё же повод задуматься. Хотя бы как в метафоре про украденный батон хлеба ниже…
Вопрос, как говорится, не в бровь, а в глаз. У автора оригинала, к сожалению, спросить сейчас не могу.
in proxy mode, leaks memory of previous requests
рискую предположить следующее: (А) имеется в виду «in reverse proxy mode» и (Б) nginx, стоя на «реверсе», по факту работает сервером пользователю и клиентом бэкенду.
А если учесть ещё SSL termination, то nginx очень даже клиент: nginx.com/products/feature-matrix/
Я чего-то упустил?
В целом да, но IMHO не совсем так работает маркетинг и закрываются сделки на рынке ворованных аккаунтов:)
До публичного анонса такие вещи всегда весьма недёшевы, и потому их можно считать действительно точечными.
Вот если бы какая добрая душа прописала порядок действий для блока соединений с уязвимыми/злонамеренными сайтами на роутере…
Это функционал Network IPS, решений для бизнеса; либо защитного веб-шлюза с функциями раскрытия SSL.
Уверяю, дома запатчить все девайсы выйдет дешевле.
Впрочем, если роутер под *nix, можно посмотреть в сторону www.snort.org
Я не копал глубоко, потому что *nix не использую. Погуглите что-нибудь из серии «snort heartbleed»
На самом деле, упомянутый тут смартфон — более серьезная проблема, чем Smart TV. Довольно живая дискуссия по проблеме клиентских устройств, и достаточно близко к теме: habrahabr.ru/company/eset/blog/219111/ (с лёгкими элементами флейма)
Но если выводить систему безопасности в Интернет (особенно на ломаном Android), то очень, очень аккуратно. Даже если дальше домашнего WiFi его никто не увидит, не оставляйте ничего без пароля. Берегите себя, свои семьи и имущество;)
Еще такие системы могут иметь RS-485 (брутальный вариант RS-232, электрически несовместим, нужен конвертер интерфейсов). Также легко м.б. и TTL UART (это антипод 485-го; конвертер на USB можно сделать из переходника RS232-USB). И если там именно RS-485, больше шансов получить телеметрию в готовом виде. Вообще программирование МК — это очень увлекательно, но с точки зрения бытовой безопасности мне в такой ситуации спалось бы спокойнее именно с распознаванием изображений.
В любом случае это территория пром. электроники, без документации лучше с такими девайсами не шутить. И к Интернету если подключать, то только через оптический симплексный интерфейс (который аппаратно только в одну сторону работает:) И все равно подумать о том, кто кроме вас может использовать информацию с датчика и с какими намерениями…
Резюме: автор, гениально используете хлам, искренне уважаю подход!
Чтобы поставить это на «реверс» (для защиты клиентов от плохих серверов, работающих на порту 443), в теории
--dport 443меняется на--sport 443, но я не проверял.Если попытаться повернуть это правило на «реверс» и защитить клиента от плохого сервера, появляется теоретическая вероятность ложных срабатываний на не-TLS трафике, намеренно идущем через порт 443 и содержащим контрольный маркер по определенному смещению.
Если смартфон на Android, посмотрите сюда: habrahabr.ru/company/eset/blog/219111/
Может, не так всё плохо.
всех благ
как обычно в таких случаях, признаю, что Ваши доводы про nginx обоснованы, но предлагаю больше не мусолить эту тему, коллега; зато теперь я знаю, куда мне обращаться по вопросам nginx:)
Я бы дал почитать статью своему племяннику, если бы он у меня был; и сопроводил бы небольшой лекцией о том, почему надо скачивать обновления на те устройства, которые хоть как-то подключены к Сети. При всём уважении, второстепенные вещи ngix и MariaDB Вы тут уже вырываете из контекста, откидывая всё остальное.
Автор, вероятно, просто хотел дать страшилки в виде невинных, часто используемых приложений, которые лично ему попались собранные статикой, определенной версии. Не будем его слишком строго за это судить, тут главное — тематика клиентских уязвимостей.
Со сценарием атаки, конечно, сложнее, у меня как-то образ вредоносного сервера БД, который «охотится» на своих клиентов в голове не очень укладывается.
Сделаем так: я размещу ссылочки сверху из топика на наши с Вами комментарии, чтобы гости могли сразу сориентироваться.
И да, латышский роутер весьма интересен и понятен многим *никсоидам. Функция «простукивания» должна уберечь от атак снаружи. Лично мне там не очень понравилось черезчур лобовое использование iptables, без попытки обвязать их должным образом и сделать хотя бы аппроксимацию «зон безопасности» (как в нормальных брэндмауэрах). Тот же SuSE Linux это умеет делать аж с… даже не помню, столько лет прошло. Впрочем, это оффтоп.
Но спросите себя сами: сколько обычных пользователей захотят себе такое развлечение дома? Бытовая угроза — она на то и бытовая, что целью является обычный, среднестатистический потребитель. Один мой приятель двойной Ethernet протянул по всем комнатам (коих две штуки), причём шестой категории. Только он вряд ли справится с микроштыком даже по Вашему подробному ликбезу, хоть и продаёт решения безопасности.
И тут Вы скорее правы, в балансерах обычно так (а речь именно о них), но в защитных forward proxy терминация как раз двусторонняя (прокси и как SSL-сервер, и как SSL-клиент). Назовём это отраслевой вариативностью:) И хотя можно всякого нагуглить по строке «nginx forward proxy», чаще всего я вижу обломы как раз из-за HTTPS. Не собираюсь даже пробовать, Кесарю — кесарево.
Да, MUA из телека довольно хардкорный, но не стоит так уж на одной почте зацикливаться. Я скорее ожидаю проблемы по основному фунционалу — просмотр платного видео и попадание логинов-паролей в память телевизора. Опять же, забыли пароль от личного кабинета какой-нибудь медиатеки, что мы делаем? Если гости уже собрались и стучат стаканами «кино, кино!», почему бы не «блеснуть» смекалкой и не зайти в почту за паролем по-быстрому… Да, статья переводная, и не во всех широтах любят платный контент. Но всё же повод задуматься. Хотя бы как в метафоре про украденный батон хлеба ниже…
рискую предположить следующее: (А) имеется в виду «in reverse proxy mode» и (Б) nginx, стоя на «реверсе», по факту работает сервером пользователю и клиентом бэкенду.
А если учесть ещё SSL termination, то nginx очень даже клиент: nginx.com/products/feature-matrix/
Я чего-то упустил?
До публичного анонса такие вещи всегда весьма недёшевы, и потому их можно считать действительно точечными.
Это функционал Network IPS, решений для бизнеса; либо защитного веб-шлюза с функциями раскрытия SSL.
Уверяю, дома запатчить все девайсы выйдет дешевле.
Впрочем, если роутер под *nix, можно посмотреть в сторону www.snort.org
Я не копал глубоко, потому что *nix не использую. Погуглите что-нибудь из серии «snort heartbleed»