Комментарии 46
Дожили, посудомойка под линуксом!
Да ещё и с уязвимостями! Новый вид хакерской атаки — препятствование мытью посуды.
Думаю отказ подобной машины в крупной больнице доставит немало хлопот. А если злоумышленник немного «поправит» ей алгоритм, сделав её работу неэффективной?
В результате, появление множества умных вещей не только радует, но и вызывает настороженность из за обилия уязвимостей в ПО.
В результате, появление множества умных вещей не только радует, но и вызывает настороженность из за обилия уязвимостей в ПО.
В первую очередь это отличные зомби-машины. Для DDoS атак, например.
Именно подобные — вряд ли. Скачки трафика мониторятся в локальной сети весьма неплохо, а представить эту штуку торчащей веб интерфейсом напрямую в интернет сложно. Разве что в совсем уж малых организациях при криворукости админов.
Для атак больше подходит что-то «домашнее», о своеволии которого простые пользователи в принципе не догадаются.
Для атак больше подходит что-то «домашнее», о своеволии которого простые пользователи в принципе не догадаются.
Тот самый линукс для домохозяек.
Зачем вообще им ОС? не кажется ли это избыточным?
Чтобы через встроенный микрофон прослушивать, а через встроенную камеру записывать видео. Big brother.
-Дорогой, ты помыл посуду?
-Нет, на нашей посудомоечной машине ядро компилируется.
-А мусор вынес?
…
Вот оно — светлое будущее и повсеместная автоматизация) /sarcasm
Туда можно поставить NetBSD?
«Стиральная трагедия» Лема всё ближе и ближе.
— Его стиральная машина систематически рвала ему рубашки, своим посвистываньем создавала радиопомехи во всей округе, делала непристойные предложения старцам и малолетним, звонила по телефону различным лицам и, подражая голосу своего электродателя, просила в долг деньги, приглашала якобы для осмотра коллекции марок стиральные машины и полотерки соседей и растлевала их, а на досуге бродяжничала и побиралась.
---(с)
---(с)
Ждём, когда начнут взламывать электронные унитазы. Зайдёшь облегчиться, а он отказывается поднять крышку и говорит, что сперва перечислите биткойны.
Не соглашусь относительно незначительной опасности этой уязвимости. Если отключить дробную тиндализацию (или вообще стерилизацию) то для антибиотикоустойчивых бактерий будет очень хорошо. Они и так в больницах кишат и прыгают. После массовой атаки жертв будет довольно много. Даже если удаётся заразившихся это гадостью пролечить, то финансовые потери очень большие: антибиотики из «последних рубежей» в тысячи раз дороже обычных.
А это вообще нормально веб-сервер от рута запускать?
Разработчики вебинтерфейсов такой техники вообще с трудом понимают что это такое.
Помню было дело, разбирался с вебинтерфейсом дизельгенератора, некорректно сохранялись сетевые настройки… вендор предлагал поменять (перепаять) неисправный чип контроллера...(не, ну а в чём ещё может быть ошибка если один из 10 параметров (маска сети) не сохраняется после перезагрузки?)
Помню было дело, разбирался с вебинтерфейсом дизельгенератора, некорректно сохранялись сетевые настройки… вендор предлагал поменять (перепаять) неисправный чип контроллера...(не, ну а в чём ещё может быть ошибка если один из 10 параметров (маска сети) не сохраняется после перезагрузки?)
Думаю, тема дырок в защите встроенных (в т.ч. и веб-) серверов в разной технике для Ализара составит нескончаемый источник дохода статей — сейчас только что еще в пылесосе не встретишь веб-сервера… Хотя, не знаю, что там Самсунг с LG уже продают, они мастера на пустом месте бессмысленную функциональность встраивать, забыв сделать прочный корпус и надежные подшипники.
> сейчас только что еще в пылесосе не встретишь веб-сервера
Ну, в роботах-пылесосах очень даже встретишь ))
Ну, в роботах-пылесосах очень даже встретишь ))
Но вот что те, кто делает, собственно, технику, вообще не понимают в сетевых делах, это точно проблема. Видел промышленное оборудование, которое в упор не хотело видеть собственный контрольный софт на соседнем (по сети) компьютере. Разбирательство показало, что мастер-наладчик оборудования, не поняв в настройке сети, для начала отключил IPv4 и IPv6 (залез во встроенную винду (!!!), и там «натыкал»), включил IPX, и еще, до кучи, снес под конец дайвер сетевухи. Винда, конечно, пыталась работать с «универсальным» драйвером сетевого адаптера, а контрольный софт пробовал ходить в сеть по IPX — и то, и другое без особого успеха, конечно.
Показательно, что мастеру-наладчику никто даже не сказал «идти учить матчасть». Он умеет настраивать оборудование, а что в сетях как ребенок, это его начальству (тоже, понятно, спецам по оборудованию, а не по сетям) проблемой не кажется. Как такие люди могут делать защищенную сетевую подсистему в своем оборудовании — загадка.
Причем, по сути, проблема безопасности становится проблемой производителя только при очень крупном скандале, ставшем известном другим заказчикам, или регулирующим органам. До того это проблема несчастного клиента, который себе поставил за кучу бабок промышленное железо, которое дыряво как решето.
Показательно, что мастеру-наладчику никто даже не сказал «идти учить матчасть». Он умеет настраивать оборудование, а что в сетях как ребенок, это его начальству (тоже, понятно, спецам по оборудованию, а не по сетям) проблемой не кажется. Как такие люди могут делать защищенную сетевую подсистему в своем оборудовании — загадка.
Причем, по сути, проблема безопасности становится проблемой производителя только при очень крупном скандале, ставшем известном другим заказчикам, или регулирующим органам. До того это проблема несчастного клиента, который себе поставил за кучу бабок промышленное железо, которое дыряво как решето.
НЛО прилетело и опубликовало эту надпись здесь
Заголовки гиктаймса через год — Как меня хакнули через шнурки и умные трусы.
Теперь любая посудомойка сможет управлять ботнетом.
Почему нет третьего варианта опроса?
Блин, ну почему написано про зашифрованный пароль, если даже википедия знает что в /etc/shadow хранятся ХЕШИ от паролей.
И флаг вам в руки подбирать соленый хеш (сейчас это все чаще sha-512).
Но соглашусь — пускать под рутом веб-сервер — это глупейшая ошибка разработчиков прошивки. Уже простая замена пользователя закрыла бы доступ к /etc/shadow
И флаг вам в руки подбирать соленый хеш (сейчас это все чаще sha-512).
Но соглашусь — пускать под рутом веб-сервер — это глупейшая ошибка разработчиков прошивки. Уже простая замена пользователя закрыла бы доступ к /etc/shadow
Фраза «В веб-сервере посудомоечной машины» сломала мой мозг. БУГАГА. да и ещё в статье подробно написан эксплойт, то мой мозг сломан вдвойне )))
Ализар, он такой, умеет, может.
Ализар, он такой, умеет, может.
Кстати, сейчас модная тема — мультиварки с удалённым управлением.
Типа по дороге домой подключился и разогрел себе кашу.
Интересно, как у них с безопасностью, находились ли какие дыры. Чтобы хакер Вася мог подключиться и спалить кашу к едрене-фене.
Типа по дороге домой подключился и разогрел себе кашу.
Интересно, как у них с безопасностью, находились ли какие дыры. Чтобы хакер Вася мог подключиться и спалить кашу к едрене-фене.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В веб-сервере посудомоечной машины Miele обнаружена уязвимость