13 496
правок
Изменения
м
Нет описания правки
''Виталий Филиппов, CUSTIS''
== ПО? Качество? О чём же это мы? ⌘⌘ ==
* О ПО, какое оно? Особенности, закрытое, открытое.
* Opensource и качество {{red|↑↑↑}}
== Особенности ПО как продукта - продукт особенный ⌘⌘ ==
* Бинарники и исходники
* И в то же время — простота сборки…
* …и нулевая стоимость копирования.
== Программы окружают нас ⌘⌘ ==
* Мобильные устройства
* Авионика
* Автомобили (ECU, сигналки)
== Закрытое ПО ⌘⌘ ==
Фикс: GPLv3.
== Патенты %% ⌘⌘ == И патентные тролли. [[File:TrollFace.svg|300px]] === M$ -> Barnes&Noble ⌘⌘ ===
* 6,339,780 расположение иконки статуса загрузки в зоне браузера, отображающей контент
== Сигналки - разъяснение ==
Закрытая разработка программного обеспечения поощряет принцип "Security Through Obscrurity", который известен уже очень давно, но почему-то продолжает создавать всем проблемы. По-русски принцип называется "безопасность через сокрытие" и смысл его состоит в том, что если никто не знает, как оно работает, то никто, вероятно, не сможет это взломать. Короче говоря, "ключ под ковриком" - безопасно, потому что никто не знает, где он лежит. Но при этом достаточно один раз подсмотреть, как вы достаёте ключ, чтобы скомпрометировать безопасность всей двери, не говоря уже о том, что взломщик в первую очередь посмотрит именно под коврик :)
Поразительно, что, даже несмотря на кучу фейлов, люди всё равно продолжают вставать на эти грабли, а некоторые на них ещё и прыгают! Причём за примерами далеко ходить не надо, достаточно рассмотреть безопасность большинства автосигнализаций и даже многих иммобилайзеров. Если вы думаете, что для открытия вашей машины применяется хорошо криптографически защищённый диалог между брелком и машиной, вы очень сильно ошибаетесь :)
На картинке выше изображены примеры устройства под названием "кодграббер" - "мануфактурный алгоритмический кодграббер". Это устройство в корпусе обычного брелка сигнализации может практически мгновенно взламывать большую часть распространённых сигнализаций, продаётся в интернете и стоит от 80 до 150 тысяч рублей. Мануфактурный значит, что для взлома частично используются коды, полученные в результате утечек с завода-изготовителя.
Что-что? "А у меня Black Bug"? (относительно продвинутый иммобилайзер с меткой и беспроводными сложнообнаруживаемыми реле "hook-up", "wait-up")
Тупостью реализации, какой-нибудь маленькой уязвимостью, которую случайно не заметит кто-нибудь из разработчиков или тестировщиков в силу того, что они не Папа Карло (ограниченности своего рабочего времени), очень легко запороть любую безопасность.
Пример способа взлома Black Bug - прочитано на просторах интернета.
<blockquote>
Отходим от машны, метка выходит из зоны приёма, ББ смотрит, что все дверки закрыти и ставит машину в охрану.
Автовладелец идёт спать, снимает пиджак с меткой, вешает его в шкаф....
Угонщков двое. Один около двери квартиры, второй около машины. У обоих в руках чемоданы (из комплекса 608 и 702 грабберов). Чемоданы включаются. Чемодан угонщика у квартиры начинает принимать посылки присутствия метки и транслировать их на расстояние до 4-х км на второй чемодан (если радиус действия ключа НЕ исчисляется сантиметрами. Так что если хотите прочитать его код, сначала дерните ключ у владельца). Чемодан угонщика у машины воспринимает сигнал и воспроизводит его в эфир на частоте работы брелок-Black Bug (433,92 Мг). Black Bug видит, что метка в эфире и снимает машину с охраны.
Обойдя штатный иммо, с помощью того-же чемодана, затем свернув личину замка, включает зажигание.
Происходит опрос метки, который успешно ретранслируется, и диалог с меткой подтверждается. Hook-Up-реле получает сигнал на разблокировку, и восстанавливает разорванную цепь, разрешая запуск двигателя.
Далее в прикуриватель втыкается генератор шума. Генерация, соответственно, производится в штатную проводку. Ретрансляторы выключаются, машина уезжает.
После открытия двери, и нажатии на педаль тормоза карточка опрашивается снова. Не увидев метку, Black Bug посылает код на блокировку в штатную проводку. Hook-Up реле его не поймет из-за шума генератора.
</blockquote>
И знаете в чём главная беда? В том, что у вас вообще нет шанса проверить безопасность такой системы. Потому что кто ж вам расскажет, как она сделана? Секрет ведь. Но те, кому надо, всё равно его узнают, а надо в первую очередь злоумышленникам. А тем, кто мог бы оказать помощь в исправлении системы, наоборот никто ничего не говорит. Так-то.
== Как таки поднять качество ==
