1

Безопасность передачи данных

Тема: Безопасность передачи данных

Интересная статейка появилась на хабре.
http://habrahabr.ru/company/dsec/blog/205680/

Кроме разных рассуждений втч. и про наши продукты, мне занимательным показалась его статистика защищённости/паролей
Безопасность передачи данных

А вы оставляете admin/admin ?

2

Безопасность передачи данных

Re: Безопасность передачи данных

Кажись статья то заказная smile

GPS Solutions LLC., Baku, Azerbaijan.
www.gps.az
Jamal
3

Безопасность передачи данных

Re: Безопасность передачи данных

Jamal пишет:

Кажись статья то заказная smile

Ага, общество анонимных перепрошивателей телтоник проплатило.

4

Безопасность передачи данных

Re: Безопасность передачи данных

очень понравилась фраза в статье: "К сожалению, все найденные предположительно рабочие комбинации после проверки оказались ошибочными срабатываниями."

5

Безопасность передачи данных

(12/12/2013 01:35:16 отредактировано chipik)

Re: Безопасность передачи данных

Привет, я, собственно, автор статьи

Нет, статья не заказная. Да и кому это нужно?)

alex_gps пишет:

очень понравилась фраза в статье: "К сожалению, все найденные предположительно рабочие комбинации после проверки оказались ошибочными срабатываниями."

Я надеюсь, вы поняли, что речь идет о контактных группах JTag на плате Телтоники, а не о паролях

6

Безопасность передачи данных

(12/12/2013 09:04:55 отредактировано TK-SK)

Re: Безопасность передачи данных

Ну статья и статья. Прошивку сломать у серьезных игроков рынка - крайне маловероятно, что получится...
А то, что пароли нормальные не устанавливают, так это другое. В конце концов и на ftp-шниках многих компаний такая беда с паролями, а про windows-аккаунты я вообще молчу - "123" стандарт де-факто... а ведь у многих RDP-доступ открыт...
Что касается эксплоитов - это да, это уже серьезнее и неприятнее.
WEB-ПО менее безопасно чем десктопное. Казалось бы. Если не учитывать дырки в тех самых аккаунтах на рабочих местах и прочие прелести. Так что... человеческий фактор рулит.

ГК «ТехноКом», г. Челябинск (СМТ «АвтоГРАФ™») - - - Самцов Константин Юрьевич - зам. директора по коммерческой деятельности
https://glonassgps.com *** https://www.tk-nav.ru | Раб. тел.: +7 (351) 211-30-40, 211-40-30
Просьба не писать вопросы через систему личных сообщений этого форума, так как я не присутствую здесь постоянно
Прошу использовать для связи с нами ресурсы и контакты из подписи
7

Безопасность передачи данных

Re: Безопасность передачи данных

chipik пишет:

Привет, я, собственно, автор статьи

Нет, статья не заказная. Да и кому это нужно?)

alex_gps пишет:

очень понравилась фраза в статье: "К сожалению, все найденные предположительно рабочие комбинации после проверки оказались ошибочными срабатываниями."

Я надеюсь, вы поняли, что речь идет о контактных группах JTag на плате Телтоники, а не о паролях

понял конечно, но это характеризует результат - в двух словах это "все ни о чем"

но за технический интерес к теме +1 в репутацию и респект ! что то еще интересное есть почитать ?
вопрос поднят интересный, сам периодически задумываюсь над той же теме что и вы )))))

8

Безопасность передачи данных

Re: Безопасность передачи данных

chipik пишет:

Привет, я, собственно, автор статьи
Нет, статья не заказная. Да и кому это нужно?)

Теоретически это может быть нужно конкурентам того оборудования, уязвимость которого вы раскладываете по полочкам. smile

9

Безопасность передачи данных

Re: Безопасность передачи данных

chipik пишет:

Я надеюсь, вы поняли, что речь идет о контактных группах JTag на плате Телтоники, а не о паролях

JTAG/SWD там наверняка закрыт. Стереть разве что сможете.

10

Безопасность передачи данных

Re: Безопасность передачи данных

chipik
Дмитрий, статья действительно занимательная. Рано или поздно комплексный аудит безопасности понадобится всем, и Wialon - не исключение. Для приборов поддерживается дополнительный механизм авторизации, однако, как было написано в одном журнале:

..но если в твоей сети есть юзер Наташа Проволочкина, которая ставит в качестве пароля слово love, то вся твоя защита отдыхает..

Если будете дальше исследовать возможности и аппаратную начинку трекеров - подключайте к делу dihalt'a , думаю, он будет только рад, авось наваяете совместную статью smile

WDC Administrator
Gurtam
11

Безопасность передачи данных

(12/12/2013 12:18:10 отредактировано chipik)

Re: Безопасность передачи данных

TK-SK пишет:

Если не учитывать дырки в тех самых аккаунтах на рабочих местах и прочие прелести. Так что... человеческий фактор рулит.

Скоро, благодаря вашему коллеге,  нам представится возможность взглянуть на АфтоГраф поближе.  Посмотрим насколько безопасность ваших устройств зависит от человеческого фактора.

alex_gps пишет:

но за технический интерес к теме +1 в репутацию и респект ! что то еще интересное есть почитать ?

Спасибо. Почитать есть, не совсем по теме, но все же про навигацию немного: http://habrahabr.ru/company/dsec/blog/142166/

Aliaksandr Kuushynau пишет:

Теоретически это может быть нужно конкурентам того оборудования, уязвимость которого вы раскладываете по полочкам.

На деле это просто легкий ресеч устройств и систем, которые нагуглились первыми в свободное от работы время smile

bako пишет:

Если будете дальше исследовать возможности и аппаратную начинку трекеров - подключайте к делу dihalt'a , думаю, он будет только рад, авось наваяете совместную статью

Спасибо. Обязательно буду иметь ввиду

12

Безопасность передачи данных

Re: Безопасность передачи данных

bako пишет:

Рано или поздно комплексный аудит безопасности понадобится всем, и Wialon - не исключение.

Проблема в том, что в связи с обновлением ОС и различного ПО, требующегося для организации сервера Wialon, не только постоянно исчезают и закрываются старые дыры в безопасности, но и появляются новые.
Поэтому, можно говорить о состоянии только на определенный момент времени.
Многое, к тому же, зависит от упорства и квалификации хакеров, выискивающих дыры, про которые могут еще не знать разработчики ОСи и софта.
Иными словами, все зависит от того, насколько серьезные ресурсы будут приложены как к поиску, так и к ликвидации уязвимостей.

ГК «ТехноКом», г. Челябинск (СМТ «АвтоГРАФ™») - - - Самцов Константин Юрьевич - зам. директора по коммерческой деятельности
https://glonassgps.com *** https://www.tk-nav.ru | Раб. тел.: +7 (351) 211-30-40, 211-40-30
Просьба не писать вопросы через систему личных сообщений этого форума, так как я не присутствую здесь постоянно
Прошу использовать для связи с нами ресурсы и контакты из подписи
13

Безопасность передачи данных

Re: Безопасность передачи данных

bako пишет:

Если будете дальше исследовать возможности и аппаратную начинку трекеров - подключайте к делу dihalt'a , думаю, он будет только рад, авось наваяете совместную статью smile

Это если у него время найдётся... smile
Впрочем, у него на форуме есть тема, связанная с вытаскиванием прошивки из закрытых STM32.

14

Безопасность передачи данных

Re: Безопасность передачи данных

Статья то интересная, спору нет. Но только с познавательной точки зрения. Вернемся к реальности.
1. Собственно говоря, кому и с какой целью требуется подделывать данные? Какая в этом выгода "человеку посередине"?
2. Необходимо иметь доступ непосредственно к железу, что на порядки снижает опасность.

15

Безопасность передачи данных

(19/12/2013 14:02:30 отредактировано Kuko)

Re: Безопасность передачи данных

Dmitry Tyurin пишет:

Статья то интересная, спору нет. Но только с познавательной точки зрения. Вернемся к реальности.
1. Собственно говоря, кому и с какой целью требуется подделывать данные? Какая в этом выгода "человеку посередине"?

Можно выделить две цели:
а) Испортить.
б) Подделать
В первом случае вандалист зная ID и протокол, если пароль не установлен,  может испортить данные точками с фиктивным местоположением и произвольными значениями датчиков. Это может испортить отчёты и статистику. Удалить такую "шелуху" достаточно проблематично, особенно если сообщения будут разбросаны по интервалу времени в месяц-другой.
При подделке же, как минимум, необходимо отключть устройству доступ к "кислороду" (и не только к спутникам и GPRS, но и питанию)

Gurtam
16

Безопасность передачи данных

Re: Безопасность передачи данных

Мы же все большие мальчики и портить что-либо "просто так, из вредности" никто не будет. В чем выгода?

17

Безопасность передачи данных

Re: Безопасность передачи данных

Портить, чтобы доказать, что у конкурента система плохая и не надо её пользоваться, например. ))) Есть тендеры на очень большое кол-во машин и если на испытаниях такое сделать... то...
А подделывать, можно и в тех же целях и в целях несанкционированного использования транспорта и в целях введения в заблуждение относительно реального местонахождения и состояния датчиков (тревоги например) - при угоне, грабеже и т.п.
Цель оправдывает средства. Иногда. К сожалению.

ГК «ТехноКом», г. Челябинск (СМТ «АвтоГРАФ™») - - - Самцов Константин Юрьевич - зам. директора по коммерческой деятельности
https://glonassgps.com *** https://www.tk-nav.ru | Раб. тел.: +7 (351) 211-30-40, 211-40-30
Просьба не писать вопросы через систему личных сообщений этого форума, так как я не присутствую здесь постоянно
Прошу использовать для связи с нами ресурсы и контакты из подписи
18

Безопасность передачи данных

(19/12/2013 17:03:55 отредактировано gaev)

Re: Безопасность передачи данных

Программку проверил, работает.
Удобно.

Евгений
WDC Administrator
Gurtam