Комментарии 159
Минута гугления:
https://github.com/sipeed/NanoKVM/issues/693
NanoKVM is built on the Sipeed LicheeRV Nano core board. You can find the hardware specifications, schematics, and dimensions here: Click here
LicheeRV Nano
2. Specifications
Audio Output: Onboard PA amplifier, can directly connect speakers under 1W
Audio Input: Onboard analog silicon microphone, capable of direct sound reception
Претензия в стиле того что девайс на ардуине можно подключить к компу и зашить в него вредоносную прошивку.
Ну справедливости ради - в статье
Я практически уверен, что причиной этих проблем стала крайняя небрежность и спешка при разработке, а не злой умысел.
Т.е. тут скорее замечание про то, что в девайсе с проблемами безопасности есть ещё и микрофон который ты там не ожидаешь.
Но всё равно, он пишет "нашел скрытый" - в то время как в документации этот микрофон есть.
И даже описано, как им пользоваться.
В документации на устройство или на board?
Действительно — в документации на плату, а не на устройство на её базе.
А ещё они либо в последней прошивке починили микрофон, либо у меня острый приступ рукожопия был, когда я проверял микрофон впервый раз (щас работает и прекрасно записывает шум вентилятора).
В документации на плату он стрелочкой указан.
В документации на устройство сказано, что оно сделано на готовой плате, на которой имеется микрофон, спикер и ещё всякая ненужная фигня. И дана ссылка на эту плату.
Сейчас есть приписка, что в дальнейшем будут выкусывать микрофоны, но это добавили недавно.
А лучше бы сделали аудио-интерфейс для HDMI...
Сложно, они картинку берут с интерфейса для подключения "вебкамеры", там звука нет. То есть им пришлось бы ставить сплиттер, выцеплять звук из HDMI-потока и как-то его заводить потом в КВМ.
Там же в любом случае какой-то чип преобразования интерфейсов, не напрямую же HDMI подключен к CSI или что там. Наверняка есть микросхемы преобразования с дополнительным звуковым выходом (I2S или аналоговым хотя бы).
Вроде бы интерфейс камеры на плате умеет передавать звук...
А может кому-то нужен микрофон? Надо две версии сделать.
"Небрежность и спешка" - поэтому вмксто кастомной pcb без микрофона использовали готовую девборду и шилды
Небрежность и спешка
На самом деле, ни то, ни другое. У Sipeed это что-то типа фишки уровня "смотри, что можно сделать". Хочешь - делаешь сам в меру кривизны рук, не хочешь - можешь купить у них готовое.
Они долгое время страдали похожей хренью со своими камерами Maix, с Tang FPGA, а с LicheePi устроили вообще лютую вакханалию - купи модуль и сделай из него одноплатник/планшет/неттоп/ноутбук/кластер/кашу из топора с привкусом RISC-V.
Там, где можно и нужно сделать специализированную PCB, Sipeed будет плодить костыли и велосипеды чтоб можно было использовать уже имеющиеся решения, даже если подходят они так себе.
В документации на само устройство указано или в issues которому 4 дня, где разработчик оправдывается? Со ссылкой на вики устройства в которой тоже оправдания? Которые появились не сразу вебархив.
Если утрировать - допустим, в умном чайнике обнаружили скрытую камеру и микрофон. Камера прикрыта пластиком, микрофон тоже, но потенциально может "слышать". В ПО доступна их поддержка. Формально где-то в спеках на board чайника (но не у самого чайника!) указаны камера и микрофон. Разработчики "где-то там" неловко оправдываются. Это все причина замять тему и считать нормальной?
Если утрировать - допустим, в умном чайнике обнаружили скрытую камеру и микрофон.
В чайнике их заведомо не должно быть. А в удлинителе для дистанционного управления компьютером, должно быть все что нужно для удобной дистанционной работы с компьютером. В том числе и возможность слушать окружение.
Если чайник сделан на макетной плате — там может быть что угодно.
Если "макетная плата" чайника заблокирована производителем, и там есть камера/микрофон/етц — это повод задуматься.
чайник может быть с голосовым управлением и тогда наличие микрофона оправдано
если ещё и с жестовым (как в плойке или ещё где), то и камера должна быть
Если он будет с голосовым управлением то об этом будет указано в описании чайника и я могу не выбрать его или выбрать.
Но если там есть камера и она нигде кроме как в спеке платы на которую ссылается вики разработчиков чайника где-то - нехорошо.
Ну почему же. Вполне возможно, что платы выпускаются стандартные, с поддержкой всего что только можно, потому что лишняя деталь стоит дешевле, чем наладка отдельной производственной линии для плат без неё. И все чайники делаются на ней. В вашем чайнике нет голосового управления, но плата будет с его поддержкой.
чайник может быть с голосовым управлением и тогда наличие микрофона оправдано
Тогда такая ситуация: есть две модели чайника, одна с голосовым управлением, а другая без него. Но сделаны они на одной аппаратной платформе, и голосовое управление у второй модели заблокировано программно.
Есть ли что-то подозрительное в наличии микрофона в модели без голосового управления (с заблокированным управлением)?
Если память не изменяет, то где-то в мае добавили про микрофон в доке на сам КВМ. Изначально не было, да.
Микрофон в KVM
ожидание: сейчас запишем серкретики потом шантажировать всех будем
реальность: самая быстро собранная в мире база админской матершины
или гула серверной с вч писком ибп
Admin core lofi
ну кстати про сбор информации о набираемом тексте по звуку клавиш писали ещё лет двадцать назад. Так как каждая клавиша имеет "уникальный звук", то в теории можно и по-параноить. Особенно если речь про раскладки, которые не надо переключать.
У них этот клавиатурный вход идёт через это устройство, вы не забыли?
Эта расшифровка через звуки клавиатуры немного излишней становится, когда вы рассматриваете устройство для удалённого ввода той же самой информации с клавиатуры.
А если мы слушаем соседнего админа ?
Это при условии, что вы "навсегда" установили такое устройство и рядом с устройством физически больше не работаете. Но есть же сценарии, когда вы такую штуку например на домашний комп установили, и используете его для удаленного подключения в поездке или даже просто по работе. А вернулся - и привет! Можно скамить пароли при ручном подключении с клавиатуры
Можно скамить пароли при ручном подключении с клавиатуры
с паролями кстати оно работает не просто хуже, а вообще никак, по тому что само определение звука клавиш оно как бы не является основной частью скрипта, основная часть - подбор по словарю с учетом вероятностей частоты символов. И если у вас пароль это не настоящее слово, то оно ничего не определит
Где-то читал, что пара разнесенных на некоторое расстояние друг от друга микрофона позволяют вычислять координаты нажатых клавиш из-за разной временной задержки звукового сигнала нажатия на клавишу...
буквально недавно услышал об этом в ролике Побединского и пошел гуглить, там есть две версии программы, обе работают ОЧЕНЬ сомнительно. Во первых ОЧЕНЬ зависит от клавиатуры. На рабочей механике не работает. На домашней мембранке работает с точностью процентов я хз 30 может, но какие-то отдельные вещи уловить можно. Во вторых, зависит от того как записывать звук, я пробовал через созвон так слушать - не вышло. В третьих, нужен сначала семпл звука с вбиванием чего-то заранее известного, иначе оно вообще теряет всю предсказательную силу. В общем на словах звучит круто, на деле вероятность что оно сработает в каждой конкретной ситуации очень не 100%
Если что, на сайте этого КВМ есть вся документация, включая фото платы. И микрофон там стрелочкой показан. Да, говорят, что она там не сразу появилась, а через пару-тройку месяцев после начала продаж.
Но китайцев пнули - они поправили. Как слабые дефолтные пароли и т.п.
Так что нет тут никакой злокозненности, а есть обычный тяп-ляп продакшн.
но почему то всегда этот тяп ляп в одну сторону, слабые пароли скрытые возможности для слежки
А в какую сторону тяпляп ещё бывает?
Я, удаленно настраивавший iptables на сервере, гарантирую - в другую сторону тоже бывает.
Старая админская примета же: настраивать сеть в другом офисе через SSH — к долгой дороге.
Благо для такой цели можно перед стрёмными изменениями поднимать watchdog с командой перезапуска конфигурации. Но не только лишь все могут это делать (с)
Стрёмные изменения - они делаются внимательно и аккуратно. А ломается всё банальным "выключить и включить" без особых мыслей.
Есть же Safe Mode в Mikrotik и его аналоги от других производителей, когда включаешь перед работой выключатель и если потерял железку - конфиг откатывается на состояние в момент нажатия. Сделал, проверил, выключил Safe Mode, отключился. Главное отключить не забыть, карается откатом.
Базовая защита есть и в LuCI OpenWrt - 90 секунд на то, чтобы достучаться до роутера при применении конфигурации (если к примеру адрес или подсеть LAN сменили), иначе - откат к прошлой конфигурации
Ну да а чё они, хоть раз бы тяп ляп цену сделали)
Не злонамеренность, а спешка и пофигизм. Что, впрочем, тоже не сильно радует
Как удобно что можно напичкать устройсво кучей шпионских затычек. А потом когда их находят и за это пинают, говорить ой что вы, это случайно, мы поправим. И писающие с радостью такую отговорку принимают.
Есть проблема - почему-то нормализуется, что надо разбираться в элементной базе, коде, гуглить спеки потому что "там все указано".
Аллергикам ходить на кухню смотреть техкарты на блюда в ресторанах?
Хотел написать простыню текста, потом увидел что это перевод. И легкая паранойя у автора.. tcpdump ему не угодил..
так-то любое ИБ если увидит в проде установленный или просто использование полную панамку насует
Это театр безопасности
Безопасникам насрать как вы ищете проблемы в проде, сетевикам насрать что нельзя tcpdump, они просят дампы что бы просто начать разбираться, без них ничего не делают.
Время на реагирование и починку - см SLA, и ни затык со стороны сетевиков, ни затык со стороны безопасников ни на что не влияет, просто игнорируется
Счастливой отладки ) в корпоративной среде
Не вижу ничего странного. Схемы лежат в открытом доступе и микрофон там прописан. И вроде софт на гитхабе лежит в исходниках.
KVM обычно ставят на серверы. Вы были в серверной? Там кроме шума писать нечего.
А если дома использовать - вы серьезно позволяете внутренним железкам общаться с внешним миром?
И вообще - подобное встречается повсеместно. Например на моей "Amazon Kindle Keyboard" есть встроенный микрофон. Который софтом этой читалки не используется. Очень часто при разработке закладывается избыточный функционал в железо. А потом выясняется, что это не нужно в работе.
Полезное применение для опенсорсной прошивки - сделать голосовое переключение KVM. Мне бы очень пригодилось, если бы по устной команде "перейди на вторую" меня бы переключило. Или по писку пищалки-брелка.
...при простом ругательстве - жало Ctrl+Z, а трёхэтажном мате - восстанавливало всё из самого свежего бэкапа? =)
Полезное применение для опенсорсной прошивки - сделать голосовое переключение KVM. Мне бы очень пригодилось, если бы по устной команде "перейди на вторую" меня бы переключило. Или по писку пищалки-брелка.
Это полезно для близкого, но другого класса устройств. Обсуждаемое устройство подключается строго к одному серверу и не умеет работать с реальной периферией.
Мало того что софт на гитхабе, так на вики даже есть примеры как с него звук записать и проиграть.
внутренним железкам общаться с внешним миром
так она то как бы внешняя
Микрофон "в спешке и по ошибке", так по-вашему? Очевидно же, что это весьма удобный элемент для слежки. Разработчики получили вторая миска риса и +1000 социальный кредит!
Девайс собран на основе уже готовой отладочной платы, в которой был микрофон.
Ладно это был бы скрытый элемент, но он в даташитах указан.
Я вижу в нем этакий дополнительный элемент вотчдога. Исчез шум сервера, подаем алярм
А я сразу подумал, что на базе микрофон+динамик (которого нет но можно подключить) удаленное управление можно использовать как помощью другу/родственнику, попутно беседуя, типа 'а теперь нажми на принтере вторую кнопку слева и держи 3 секунды'.
Сейчас такие вещи делают, собирая на коленке аудио видео из разных источников, а тут все в одном девайсе, который любой сможет воткнуть в компьютер
А кто подаст алярм, если шум пропал? Хотя звучит полезно)
самое время напомнить про микрофоны в вейпах...
Обнаружил микрофон в своем ноутбуке. Ещё в телефоне и в наушниках
Исследовал поведение наушников. Оказалось, они постоянно слушают разговоры людей, находящихся вокруг меня, пока я слушаю музыку и ничего не подозреваю! Но есть тщательно скрываемая производителями возможность по отключению этих микрофонов: если установить их приложение и найти там пункт «шумоподавление»...
Продолжайте наблюдение 😁
systemd и apt - баловство
systemd опустим, но apt то накой в законченном устройстве не предполагающем доустановку пакетов?
Подарок гикам от гиков, вероятно.
Всё же произведено это устройство из девкита, хорошо документированного, и наверняка инженеры думали о том, что устройство ковырнут.
Ещё к примеру apt был/есть в некоторых роботах-пылесосах Roborock (зависит от прошивки, в новых его вырезали, и это неудобно если пытаешься сделать что-то интересное).
предназначенный для удалённого управления компьютерами или серверами.
Тогда микрофон уместен. Чем больше информации о состоянии удаленного рабочего места, тем лучше.
обнаружил нечто ещё более настораживающее — крошечный микрофон
Ну правильно - раз крошечный, значит хотели скрыть. Логика.
Миниатюризация? Нет, не знаем такое.
Вот опять же - у автора статьи нет посыла, что это злонамеренно и для слежения, о чем он открытым текстом пишет, так что странно ему за это предъявлять.
Он заявил что микрофон hidden (скрытый или спрятанный). Но он никакой не скрытый. Это нормальная компоновка современных устройств.
А какой же? На самом устройстве на корпусе, поди, не написано, что вот тут микрофон, и даже дырочки нет, наверное. Это конечно не сразу что-то плохое, но оно отлично описывается словом hidden.
Если бы микрофон спрятали в один из разъемов, он был бы hidden. Разломал разъем USB - а внутри микрофон. Вот это ситуация.
Ну, судя по фото в статье, он как раз торчит, ничем не приметный, среди другой такой же рассыпухи и даже рядом с каким-то разъемом (да там вся плата по размеру с один сплошной разъем, не сильно больше USB A, насколько я вижу -- все еще подходит под "разломал USB" ;)?). Если там на самой плате не написано, что это микрофон, то и не заметить, мне кажется...
Микрофон в принципе полезная вещь в таком устройстве, чтобы в определённых случаях можно было удалённо проверить, что в серверной — спокойный шум или зловещая тишина.
Выше уже всё сказали про наличие микрофона в схемах, которые открыты) Но если уж заморачиваться на безопасность, то KVM это обычно изолированный контур управления, который выход в интернет редко когда предполагает. Обновил прошивку после получения, привязал выдачу IP по MAC и на роутере заблокировал доступ в глобальную сеть с этого IP. Нужно подключиться к ПК - в локальной сети зашёл на KVM, сделал нужные дела. Если стоит задача подключаться из вне, тогда по RDP/VNC подключился к какой-нибудь локальной машине, ну а дальше я уже писал.
Ожидание: шпионские страсти-мордасти.
Реальность: послушать морзянку от BIOS, который после перезагрузки вызывает пропавшую видюху.
Вечно как придёт кто-то из админов и как всё опошлит :D
>>собственный дистрибутив Linux
Так воот как теперь это называется... а я то думал что эквилибристика с "возьмем билдрут натянем сову на глобус Debian поверх и назовем это Ubuntu embedded" закончилась ровно в моменте когда вендоры начали давать людям йокту
видимо нет
автору и переводчику советую иногда всё же снимать шапочку из фольги а то прям читать страшно, САМ XI JINPING СЛЕДИТ ЗА ВАСЕЙ!!!!1!
Йокту...
At least 90 Gbytes of free disk space, though much more will help to run multiple builds and increase performance by reusing build artifacts.
At least 32 Gbytes of RAM, though a modern build host with as much RAM and as many CPU cores as possible is strongly recommended to maximize build performance.
В то время как debootstrap "натянет Debian" при гораздо меньших усилиях.
Даже если без злого умысла так делать нельзя, особенно в KVM
Всё как обычно упирается в экономику. Убрать микрофон — это делать отдельную партию этих ардуин без него. Скорее всего у вендора на такие приколы отдельный прайс. И вот готовы ли люди, которые в целом не пошли за каким-то промышленным IPKVM, а за этим бюджетным решением, что оно подорожает на условные $50 за то, что там не будет стоять всё равно неиспользуемая деталь?
так делать нельзя, особенно в KVM
Это устройство - KVM-удлинитель, а не KVM-переключатель. Заведомо предполагается, что человек находится далеко от своего рабочего места, и ему нужно сохранить максимум возможностей по управлению и контролю. Микрофон скорее должен быть.
И какую теоретическую опасность он может иметь? В каких сценариях микрофон будет опасен?
Заломать эту поделку (которая сейчас представляет собой решето) и слушать, что говорят в опенспейсе на рабочем месте, например
Зачем ее ставить в опенспейсе? Васян на удаленке и без KVM может работать. Достаточно условного RDP.
Комментатор выше говорит про "рабочее место" - как оно по-вашему выглядит? Так-то единственное разумное применение этой штуки - в датацентре с подключением к отдельной сети с заблокированным исходящим.
В датацентре будет либо проверенное решение на много портов, либо вовсе встроенный в сервер IPMI.
Также как на рабочем месте нет необзодимости лазить в CMOS Setup, а значит можно и обычным RDP обойтись.
У этой штуки я вижу применение в случае, когда есть разделение труда: один человек переключает провода вручную, а второй сидит в офисе и настраивает оборудование удалённо. Но тут микрофон с динамиком никакая не уязвимость, а полезная фича.
Можно, но конечно большими буквами должно быть написано, что подключать иначе как в изолированную сеть нельзя
(с) "Как слышишь меня? Лопух не догадался? Диктую ответ на первый вопрос девятого билета..."
Беспокойство и настороженность чувствую в статье я.
Хакеры нашли в солонке соль!
Потом я обнаружил нечто ещё более настораживающее
Микрофон и котик на борту?
Это в устройстве, которое напрямую подключается к HDMI, может эмулировать с десяток устройств сразу, аж с трех портов USB, имеет доступ к компьютеру раньше чем BIOS и подключение к сети?
Блоги компаний такие:
❌Фактчекинг
✅ Спасибо скажите, что перевели
и специальный последовательный интерфейс
Это чего хоть такое тоооооо?
Прочитав заголовок, специально зашел внутрь, чтобы прочитать комменты про то, что фича штатная и документированная. :)
на сильно урезанной версии Linux с отсутствующими
systemd
ну это скорее плюс для безопасности, чем минус :)
Извиняюь если подушню...но нет ли хорошего вида фотографий микрофона? сбоку на фото его даже близко не наблюдаю.
"исследователь безопасности даже обнаружил в прошивке устройства фотографию кота"
Ну всё, гасите свет, сливайте воду! Хакерская котомафия зохватит миръ!)
А если серьезно, то конечно тем админам, которые поставят это даже в самый дешман-продкшен и не зарежут ему весь трафик, кроме между удаленным пивным ларьком и своим домашним/офисным IP - надо в голову гвоздь забить (с)
Как минимум - потенциальная нода бот-сети 146%
Если учесть назначение устройства, то микрофон навряд ли злой умысел. Ч то он может записывать? Жужжащие кулера?
Вот только тот самый "закрытый компонент" - это типа какая-то защита от клонирования, проверяет серийный номер проца, шифрует его и отправляет китайцам.
Но, этот "компонент" загружается из китайского облака каждый раз и выполняется с рут-поавами. Так что при желании в какой-то момент на определенное устройство(а) можно залить все что угодно.
Узнал про устройство из хайпа, почитал, понял что микрофон и все остальное "найденное" еще год назад обсудили на форумах и на гитхабе проекта .. и это не проблема.
Захотел купить попробовать, нашёл на али, но обнаружились отзывы о другой проблеме - неработоспособности LAN порта при подключении HDMI и-или питания по USB.
Как оказалось там криво сделан ethernet выход. Нет трансформатора гальванической развязки, просто стоят конденсаторы. И это проблема...
1) Это проблема неработы устройства при определенных видах подключения . Я про общий 0, разные фазы и тд. Что подтверждается в отзывах на али и в обсуждениях на гитхабе
2) Такое устройство выгорит само и может потянуть за собой кучу остального при первой же грозе или существенном импульсе в АС сети.
Конечно можно добавить грозозащиту с трансформатором (что для 1Гбит портов используются), но это лишние траты, лишние телодвижения, лишние провода.
Или покупать PCI-E версию c Wifi.... Или присмотреть другие аналогничные устройства вроде JetKVM (видел полжительные отзывы, но не изучал, надоело) ...
Если у злоумышленника каким-то чудесным образом появился удаленный доступ к этому устройству, то слушать шум вентиляторов - это самое безобидное, что можно сделать. Если по умолчанию оно не пишет с него, то какая вообще разница, есть он там или нет? А если забить на конфигурацию и оставить все с завода, то просто будет ещё одна дыра, с таким подходом управляемое устройство скорее всего тоже не безопасно
Статья походит на галимую рекламу с помощью дешёвого автоперевода англосакской статьи
Если микрофон уже есть в устройстве.,прикольно будетт туда ещё динамик поставить. Можно с удалёнки поговорить с теми, кто заходит в комнату. Или когда на стол запрыгнул кот, сказать кис - кис-кис-кис.
Есть целое видео на эту тему, если коротко - сама эта плата изначально задумана для другого, но потом решили, что идеально подходит для квм и так как производство было уже налажено - ничего менять не стали.
из-за крошечных размеров для выпайки микрофона потребуется микроскоп или лупа.
Если из устройства нужно безвозвратно удалить какие-либо SMD детали, часто проще и быстрее вырвать их пинцетом, либо сковырнуть лопаткой/строительным ножом.
Дыры в безопасности, конечно, существенные, однако наличие микрофона скорее плюс. Учитывая что девайс способен удаленно включать компьютер и работать на уровне биос - в случае корявых настроек мне бы очень не помешало услышать POST-сигнал ошибки, если изображение так и не появилось. Так же микрофон полезен для выявления других аппаратных неисправностей, таких как поломка вентиляторов охлаждения, щелчки умирающих жестких дисков и прочее, вплоть до свиста катушек при выходе из строя фильтров питания (микрофон 99,9% пьезо, так что высокие звуки он слышит гораздо лучше). Допилить программную часть - будет крайне полезное и недорогое решение для удаленного администрирования чего-либо.
а не проще не выпаивать микрофон, а залить капелькой суперклея?
Хотя правильнее было поставить 3.5 джек 4 пиновый для внешнего микрофона/динамика
Хм. Неужто кто-то запускает это устройство, предоставляя полный доступ к Интернет всё время? Посмотрев на трафик и сессии устройства, сразу решил, что он слишком активен для такого устройства и ограничил ему доступ к Интернет.
"Это миниатюрный SMD-компонент размеров всего 2 x 1 мм, способный, однако, записывать на удивление высококачественное аудио."
LOL! Где купить?! :) Большая часть микрофонов "нормального" размера эконом-сектора генерит только скрипучий фон ))
Теперь мне понятно почему в ЦОДах никогда не видел сетевых KVM и всегда ходили ногами для технических работ, если машинка не доступна по сети или использовали встроенные средства, им как-то доверия больше. Вряд ли тот же HP будет встраивать микрофон - СБ быстро найдут)
Может сейчас уже и не так, но сомневаюсь.
а что, вполне полезная фича для удалённого саппорта. чтобы слышать, что о тебе говорит юзер, когда ты копаешься в его больном компьютере. и нужен динамик, чтобы озвучивать свои эмоции от типичного "я ничего не делал, оно само!" и отгонять чужие шаловливые ручки во время сеанса ремонта :)
Как я обнаружил скрытый микрофон в китайском NanoKVM