Как стать автором
Обновить

Комментарии 57

Режим параноика включен. Стремно покупать замок, который сам обновляется по воздуху и его можно открыть с каких-то там серверов. Удобно, но… Режим параноика выключен. Терпимо было бы самим по запросу обновлять прошивку, чтоб пользователь сам решал, но видимо не додумались.
Тогда вместо одной проблемы появляется две:
1. у 90% пользователей будет старая прошивка, возможно без исправления критических уязвимостей, не просто так же они выпустили новую прошивку
2. 10% обновятся в ручную и получат то же самое что и произошло
Я, как не программист, вообще не понимаю зачем такому устройству как замок менять прошивку? получается предыдущая была плохой? Я без укора спрашиваю, это же простое устройство, 2 состояния открыто/закрыто. Вещи без интернета и прошивок(электронные) работают годами и ничего плохого не происходит. Например на моем 12 летнем автомобиле замок открывается без обновлений, пусть и не по интернету, но тоже радиосигналом с пульта. Это просто модная тенденция или реальная необходимость?
зачем такому устройству как замок менять прошивку?

Телеметрию и сбор статистики добавить, очевидно же!
Wi-Fi-модули один другого хуже, у них бывают кривые и нестабильные прошивки, а также уязвимости. В замке может быть какой-нибудь Linux, который тоже может содержать уязвимости.
НЛО прилетело и опубликовало эту надпись здесь

Учитывая, что окирпичились не все замки — скорее всего, была выпущена немного отличающаяся по железу серия замков, на которую обновление не встало. Тестирование у них не особо в почете.

НЛО прилетело и опубликовало эту надпись здесь
Ну не знаю… У моей машины на каждом ТО до часа занимает накатывание апдейтов на все электронные прибабахи. Полная перепрошивка занимает два часа… Из которых почти половина времени — проверка, что все накатилось правильно и все функции продолжают работать.
Но другая проблема… Просто так с разборки какое-нибудь зеркало боковое — не купишь. Т.е. купить можно, но без визита к официалам — не заработает…
не заработает
Отражать не будет?
Складываться не будет, повторитель не заработает, обогрев не заработает, подсветка… Сегодняшние автозеркала — не просто зеркала.
НЛО прилетело и опубликовало эту надпись здесь
Каким образом решение пользователя позволит избежать такой проблемы? Он же не знает заранее, что прошивка косячная, а производитель настоятельно рекомендует ее обновлять, т.к. это нормалный способ закрывать найденные уязвимости и расширять функционал.
Обновление можно накатить, когда это удобнее. Когда сидишь дома, со всем ключами, когда замок точно заряжен, когда в гости зашел слесарь.
При прошивке любого девайса есть вероятность его окирпичить. Лучше, когда этого заранее ждешь, а не оно внезапно само.
НЛО прилетело и опубликовало эту надпись здесь

Порт? Шутите? Пользователи ленятся (или я что там у них в головах происходит?) нажать кнопку в течении недель, когда им операционка настойчиво предлагает обновиться, а тут надо что-то дополнительное подключать и совершать кучу других телодвижений. Это помимо того, что не у всех есть ноутбук, чтобы можно было принести его к двери. Ну и это добавит хлопот производителю, которому придется, кроме софта замка, писать ещё и драйвера для целого зоопарка операционных систем, а это еще куча шансов накосячить! И, к тому же, это никак не обезопасит от ошибок в прошивке.

НЛО прилетело и опубликовало эту надпись здесь
Порт там по идее есть (когда прошивку тестировали скорей через него и заливали) — но наверняка ни с чем не совместимый.
чтоб пользователь сам решал, но видимо не додумались
Так это усложнило бы всё, большинство пользователей бы вообще не заморачивались с обновлением замка, который и так работает.

Ну и прекрасно. Большинство пользователей умеют читать; если прислать по почте (отобразить в приложении для управления этим самым замком) Release Notes, в котором написано, что обновление закроет уязвимости и/или добавит новые фичи — сами решат, нужно оно или нет. А втихую обновлять что-то на моем замке — это свинство.

Смешная шутка.
Раньше как было? Каждая кухарка могла взвесить в ладошке два замка и сделать вывод — этот фуфель, а это вещь! Чем дальше в лес, тем больше ума в бытовых устройствах, тем менее понятно, как же их кухарке сравнивать? Кухарку убеждают, что это надежно и удобно, но сама она этого постичь не может, ибо слишком сложно… В итоге её убеждают верить специалистам… Кузнец, который ковал замки ранее и ИТ-специалист сегодня — это разного поля ягодки, и если о кузнеце достаточно было знать, что он бухает не чаще 3 раз в неделю, и это свидетельствовало о высоком качестве его работы, то той же кухарке неведомы критерии, по которым можно определить надежность специалиста ИТ.
В итоге от простого пользователя все дальше и дальше уходит возможность влиять на принятие собственных решений — за него всё решают маркетологи, которые, к слову, сами ни бельмеса не смыслят в ИТ-технологиях…
В конечном итоге простой человек вверяет себя полной неизвестности и абсолютно недостоверной надежности. ИТ-специалист можете ошибиться, может быть злым хакером, но кроме него верить некому. Нет выбора.
Это касается не только замков, но и холодильников, утюгов, тостеров и прочей умной бытовой техники.
что там точка в числе… в прошлом столетии спутник потеряли на несколько месяцев из за базовой реализации генератора случайных чисел НАСА в котором было не совсем равномерное распределение чисел — привело к не верному распределению массы в пространстве и спутник незначительно отклонился от курса, т.к. гравитационная модель солнечной системы оказалась чуть-чуть не такой как надо.
А можно поподробней?
пардон, не смог найти статью, очень старая публикация где то в периоде 1999-2002 года (публикация, возможно, была на membrana.ru — перерыл не нашел).

Общий смысл статьи — небольшое отклонение аппарата (направление движения к внешним границам солнечной системы, но не вояджеры) от расчетной траектории, что при вело к потере связи на некоторое время, через несколько недель его нашли и исправили ошибку.

Причина отклонения была в неверном распределении масс в пространстве в следствии использования базовой реализации генератора случайных чисел, который не совсем равномерно генерировал случайны числа. (Базовая реализация — если память не искажена временем — STL C, которая использовалась для разработки коммерческого ПО. Ради интереса тогда сам проверял генератор на распределении точек в квадрате, визуализация давала смещение точек в 3/4 площади).

А где то в 1995-1996 годах когда к олимпиадам готовился и кораблики в игре морской бой расставлял, не мог понять почему рандом генератор не хочет координаты корабля в нижнюю левую четверть квадрата ставить.
И ведь не только в холодильниках дело. Умным сейчас стало все — от утюгов до автомобилей. Замки тоже входят в этот список.
Когда в этот список люди попадут?
Некоторые уже вживляют «умные» чипы себе.
Есть информация: после вживления умнее становятся? Или окончательно на электронику мыслительный процесс перекладывают?
Про тех что слышал — вряд-ли — были и так достаточно умные.
Были бы достаточно умные, не вживляли бы.
А чем плохо вживление NFC метки простой? Не надо таскать с собой кошелек/карточку/телефон для оплаты, открывать двери в подъезд/работу?

Добавляется такой вектор атаки: чтобы зайти в квартиру, не нужны услуги квалифицированного специалиста по замкам со специнструментом. Достаточно 2 крепких ребят, 1 — чтобы придержал носителя метки, 2 — чтобы прижал ладонь носителя к сканеру.

Отобрали ключи у вас на улице и все — вот и весь вектор атаки.

Это сложно. А про способ, когда грабители входят вместе с жертвой, я в криминальных хрониках читал. http://k0rsak.livejournal.com/238336.html

Отобрали ключи пока открываете дверь ничем не отличается от вашего сценария 2 крепких ребят, которые держат носителя метки.
Но они еще должны узнать, что у него есть метка, а также у него может быть охранная сигнализация дома, в неизвестном ребятам месте и если метку туда не приложить — приедут еще более крепкие ребята с автоматами.

Ничем, кроме того, что "отобрали ключи" — это уже грабеж, а "немного подержали" — максимум хулиганство.

Немного подержали и зашли в квартиру — это уже тоже грабеж. Грабеж — кража, похищение чужого имущества, сопровождающиеся насилием.
А то и под разбой уже может попасть — В трактовке данного термина современным уголовным законодательством России разбой — это нападение в целях хищения чужого имущества, совершённое с применением насилия, опасного для жизни или здоровья, либо с угрозой применения такого насилия (см. ч. 1 ст. 162 УК РФ).

Отобрали ключи — уже грабеж.
Немного подержали, но не вошли (не знали куда/как приложить) — хулиганство. А с радиоудлиннителем, как подсказывают, даже держать не надо.

Всё хорошо до тех пор пока вы становитесь кому-то неугодными. NFC-метка становится клеймом, которое трудно будет спрятать, а когда дойдёт дело до того что без такой метки практически невозможно будет жить… иллюстрацией такой крайности является фильм «Время (2011)».
И да, проблема в том что… для такой метки возмжно реализовать радиоудлинитель. Один человек стоит возле вашей двери или гаража, а другой просто пожимает вашу руку… С классическим физическим ключом такое не прокатит(опытный карманник вполне может вытащить у вас ключ с кармана), особенно с такой лёгкостью! Да и сама метка, в отличие от физического ключа приведёт вора прямо к замку — код метки уникальный и запросто засветится рядом с вашими же персональными данными в т.ч. и адресом и списком покупок в магазине, среди которых несомненно будет и сейф и драгоценности. Хм… да вделать считыватель в дверные ручки общественных мест и можно столько данных интересных незаметно собрать!
Решается легко — активацией метки нажатием на руку в специальном месте и никакие радиоудлинители и считывальщики в общественных местах не помогут.
Любой замок можно вскрыть и поэтому в любом случае желательна сигнализация в квартиру, тогда и от радиоудлинителя будет защита, если уж метка будет без активатора.
Сигнализация в отсутствие охраны это полная фигня. А охрана нынче дорого стоит, может даже дороже выйти чем суммарный ущерб от ограбления.
Вон, не так давно в нашем городе история — женщина вышла буквально в домашних тапочках в соседний магазин за продуктами, когда пришла — квартира вся обнесена. Второй случай — сейф в торговом центре. И охранник был, и охрана приехала в положенные сроки буквально минуты две-три — НЕ УСПЕЛИ, грабители уехали вместе с сейфом с ювелиркой.
Ну я и имел в виду конечно сигнализацию с охраной — не знаю как где, а в РБ это стоит недорого — до 200 долларов оборудование квартиры и 4 доллара в месяц абонплата.

Так уже попали! Есть же протезы для рук и ног с кучей управляющей электроники, различные водители сердечного ритма и т.п. Так что будущее уже наступило, просто вы немного не в курсе.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Вот чем заканчивается приобретение устройств, которые не позволяют подцепить их по USB к компу и обновить софт — надо что-то разбирать, отправлять… одни убытки. Компания могла бы ещё немного выкрутиться, если бы процедура обновления была проста конечному пользователю…
Автоматическое обновление вообще не очень хорошая идея для любых подобных устройств и домашней техники типа телевизора, будильника, телефона, etc.

Обновлять нужно в непосредственном присутствии пользователя, либо пользователь должен явно включить автоматическое обновление по расписанию, прочитав о возможных рисках.

НЛО прилетело и опубликовало эту надпись здесь
Разработчики обязаны знать, что любая прошивка может привести к поломке девайса. И поэтому крайне важно, чтобы девайс обновлялся по команде юзера, который готов к тому, что сейчас девайс будет обновляться или выйти из строя.

У меня бывал случай, когда сидишь ночью на работе, надо позвонить, и вдруг видишь — а телефон твой обновляется, и делает это еще минут 30. Какого х… а? Но там хоть можно отключить автоматическое обновление совсем. Но вот нет опции «скачать но не устанавливать, пока юзер не нажмет „ок“.

А если будильник ночью обновится и зависнет, и ты утром проспишь?
Ну и вот с замком такое. Ты улетел в командировку, а у тебя замок обновился и открылся. И что делать?
«Мой дом — моя крепость», в данном случае нифига не крепость, а просто дверь закрытая на замок, ключи от которой у меня, жены и у соседки на случай всякий. Эта ошибка отрубила возможность удаленно открывать замок и обновляться. Что будет если следующая ошибка позволит открывать замок по любому коду?

Дейкстра полагал, что корректность работы программ надо доказывать так же, как доказывают теоремы и формулы. Увы, но современные производители смотрят на него как на дебила, ибо стратегия "тяп-ляп, и в продакшн, а потом будем выпускать патчи" оказалось куда более выгодной, в первую очередь — в плане захвата рынка. А те, кто пытаются вылизывать программы — в полном пролёте, ибо потребители хотят всего и сразу, и чтобы дёшево; а чаще всего — сами не знают чего хотят и хотят то, что им разрекламировали.


Эту проблему можно было бы частично купировать репрессиями против криворуких уродов — чтобы люди не лезли в профессию в надежде "авось, прокатит; а не прокатит — ну, мне не сделают ничего страшного". Проблема в том, что тот, кто будет проводить репрессии — обязан сам хорошо разбираться в теме и уметь отличать виноватого от невиновного; а вот тут — самые большие проблемы. И если в прежние времена с простыми технологиями — в принятии решений можно было полагаться на здравый смысл; то сейчас здравый смысл не работает, ибо технологии слишком уж отличаются от того, что мы видим в обыденности.


А тут ещё и культурка гадит — в кино про компьютерщиков показывают полное фуфло, так что у людей нет стимула изучать нужные вещи.

Эту проблему можно было бы частично купировать репрессиями против криворуких уродов

И получить софт с возможностями как в 90-е по цене в 10 раз больше, чем сейчас.
Не стоит обобщать программирование критически важных систем на «программирование вообще».

Ну вот дверной замок это как раз та самая критически важная область, но к ней подошли именно с той самой позиции "тяп-ляп и в продакшн", так что лучше уж "как в 90е", но за то не стоять перед закрытой дверью!

Я просто оставлю это здесь:
работает — не обновляй!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории