На Линукс переходить нужно, но считать его панацеей на проблему прокладки между клавиатурой и креслом слишком опрометчиво. Проблемы будут такие же, CVE-2023-43641 тому пример, да и на типичный фишинг пароля аля evilginx выбор оси никак не повлияет.
Очередная маркетинговая сказка про кибериммунитет, подмена понятий в виде "устранив те фундаментальные архитектурные проблемы, про которые писали выше", которые сами и придумали - в москито есть ssl (ах да, в openssl нашли фатальный недостаток), и поддержка аутентификации и разделения доступа по топикам(ACL) (правильно, про это не пишем, ведь надо вывести пункт "3. доступ к брокеру стал возможен только авторизированным абонентам.", и bind_address в конфигурации на локальном интерфейсе снимает поставленную проблему с атакой из внешней сети в виде выводов пунктами 1 и 2.
И опять-таки каким-то чудесным решением представлен ssl терминатор c функционалом, давно поддерживаемым десятком отполированных до блеска решений вроде nginx и haproxy, все реализуется понятными и доверенными опенсорс инструментами в условные 2 минуты.
"Мы не просто устранили проблемы с безопасностью, которые были у исходного контроллера, а кардинально поменяли подход к его безопасности, «встроив» ее на уровень дизайна" кардинально поменяв один софт на другой с тем же набором функционала, но меньшей степенью доверия и практически нулевым ревью комьюнити?
С одним можно согласиться - добавляя в слои логики новую, непроверенной временем и ревью кодовую базу KOS, вы добавляете поверхность атаки, сводя весь кибериммунитет до того самого неуловимого Джо, который никому не нужен. Неужели ваши "высокодоверенные компоненты" должны стать у нас высокодоверенными на основании красивых, но слабых технически, маркетинговых статей?
Предлагаю переименовать статью в "Первые шаги работы с GPIO в Kaspersky OS". Про прикладную безопасность в статье нет ничего, есть только медийный посев слова "кибериммунитет" в контексте робота и RPi, привить аудитории мысль "KOS по умолчанию безопасно, нет времени объяснять". Хотелось бы увидеть практические примеры эффективности KOS в сценариях типовых уязвимостей типичного устройства iot - проблемы логики на стороне робота, недокументированные сценарии, заложенные производителем, проблемы безопасности сторонних компонентов(библиотек, пакетов), отсутствие шифрования и контроля целостности при обновлении, сравнение решения с текущими многоуровневыми инструментами безопасности в Linux.
Ничего там не запускается, в твите крэш от повреждения кучи. Типичный "ученый изнасиловал журналиста".
Это не "код RCE эксплоита в одном твите", это PoC уязвимости в виде крэша, успешная эксплуатация которой потенциально может привести к RCE, но никакого эксплоита тут и близко нет.
Смотрите в новых сериях: ШОК: Маньяк из Сан-Бернардо учился и подбирал одиноких жертв по советам GPT-3! Оформители детских праздников в Мадриде брали рисунки у нейросети, натренированной на фото из морга!
Прикручивал WBIO-DI-WD-14 к малинке zero по официальной распиновке к i2c, модуль надежный и недорогой, в моем случае это было отличным способом получить гальванически изолированные сухие контакты без "дребезга". Софтово все работает и под питоном через пакет adafruit-circuitpython-mcp230xx
"Это отличный способ быстрого запуска и разворачивания новых проектов." - только последняя строчка имеет отношение к теме, все остальное - попытка натянуть актуалочку на маркетинговый глобус.
Во-первых, лог может содержать чувствительную информацию вроде токенов и паролей, и отправка её в мессенджер ну мягко сказать не самый умный поступок.
Во-вторых добавляется еще один слой неконтролируемой логики - например телеграмм может не принять сообщение к отправке, может не пропустить какой-либо участок кода(да, там есть входной фильтр), и это усложнит процесс понимания проблемы.
Ддос атаки на сеть Биткоина являются достаточно обыденным явлением и рассматриваются с десятилетие в рамках модели угроз децентрализованной экосистемы. Мотивацией подобных атак может являтся влияние на рыночную стоимость, ведь сутки пролежавшая сеть определенно приведет к падению рыночной стоимости, и, как следствие, организовавший такую атаку заработает миллиарды при правильном подходе. Не думаю, что утверждение "цели такой не ставилось" является достаточно объективным.
Вы возвели одно из свойств Биткоина - прозрачность - в абсолют. В ваших словах определенно есть правда. Однако помимо прозрачности, есть и другие свойства, например отсутствие внешнего контроля над объемом эмиссии.
Для этого всем государствам нужно действовать в рамках единого плана длительное время, оказывая физическое и экономическое давление на сеть. История показывает, что это не очень-то работает - им трудно договорится. Мир многополярен, у всех свои желания и объективные условия существования. То, что сработает для крупных государств с широким спектром ресурсов, обеспечивающих автономность, не сработает для островных государств, которые будут искать средства заработка по принципу оффшоров и продажи паспортов в конце прошлого века. Мы вступаем в эпоху перерождения старой формы государств. Развитый и образованный и человек должен стать ценным для государства. Сейчас корпорации идут по этому пути, собирая кадры со всего мира и выдавая плюшки за знания и пользу. Думаю корпорации будут выстраивать собственные микро-государства со своими внутренними законами, построенными на принципах превосходства интересов индивидуума над бюрократией. Скорее всего в какой-то момент это дойдет до открытого противостояния между крупными государствами и корпорациями, итогом которого станет либо отделение корпораций в отдельные государства, либо поглощение старых государств и перестроение на новых принципах. Биткоин в этой истории будет играть роль великого уравнителя, работающего в интересах индивидуума.
Я не могу понять вашу реакцию. Вы разговариваете с позиции человека, который от меня что-то требует. Скорее всего вы считаете, что вынаписанное - статья, новостной материал(вы настаиваете на добавление деталей истории, которые к моменту публикации уже были на хабре в разделе новостей).
Я внесу ясность. Вышенаписанное - мнение. Я не претендую на соответствие вашим личным критериям и ощущения мира, я поделился своим видением на основе своего субъективного опыта, стараясь не дублировать уже существующую на Хабре информацию, в виде заметки, написанной за полчаса с чашкой чая. Хороша ли эта заметка, или плоха - решать читателю.
Свое мнение вы оставили в виде комментария, ваше право. Ощущая свой немного хамский тон, вы сами начали свое сообщение с фразы "Извените, но...". Вы написали "извините", я написал "извиняю". Но я перед вами не извинялся, пока не за что, ведь я вам не хамил.
Их продать надо было еще в 2013, когда вышли первые асики, и майнинг биткоина на видеокартах умер.
На Линукс переходить нужно, но считать его панацеей на проблему прокладки между клавиатурой и креслом слишком опрометчиво. Проблемы будут такие же, CVE-2023-43641 тому пример, да и на типичный фишинг пароля аля evilginx выбор оси никак не повлияет.
Есть, No man's sky
в python такое делается декораторами
Очередная маркетинговая сказка про кибериммунитет, подмена понятий в виде "
устранив те фундаментальные архитектурные проблемы, про которые писали выше", которые сами и придумали - в москито есть ssl (ах да, в openssl нашли фатальный недостаток), и поддержка аутентификации и разделения доступа по топикам(ACL) (правильно, про это не пишем, ведь надо вывести пункт "3. доступ к брокеру стал возможен только авторизированным абонентам.", и bind_address в конфигурации на локальном интерфейсе снимает поставленную проблему с атакой из внешней сети в виде выводов пунктами1 и 2.И опять-таки каким-то чудесным решением представлен ssl терминатор c функционалом, давно поддерживаемым десятком отполированных до блеска решений вроде nginx и haproxy, все реализуется понятными и доверенными опенсорс инструментами в условные 2 минуты.
"
Мы не просто устранили проблемы с безопасностью, которые были у исходного контроллера, а кардинально поменяли подход к его безопасности, «встроив» ее на уровень дизайна" кардинально поменяв один софт на другой с тем же набором функционала, но меньшей степенью доверия и практически нулевым ревью комьюнити?С одним можно согласиться - добавляя в слои логики новую, непроверенной временем и ревью кодовую базу KOS, вы добавляете поверхность атаки, сводя весь кибериммунитет до того самого неуловимого Джо, который никому не нужен. Неужели ваши "высокодоверенные компоненты" должны стать у нас высокодоверенными на основании красивых, но слабых технически, маркетинговых статей?
Странно, что "сингапурская" компания Group-IB очень старается писать проплаченные новости в русскоязычное комьюнити
Предлагаю переименовать статью в "Первые шаги работы с GPIO в Kaspersky OS".
Про прикладную безопасность в статье нет ничего, есть только медийный посев слова "кибериммунитет" в контексте робота и RPi, привить аудитории мысль "KOS по умолчанию безопасно, нет времени объяснять".
Хотелось бы увидеть практические примеры эффективности KOS в сценариях типовых уязвимостей типичного устройства iot - проблемы логики на стороне робота, недокументированные сценарии, заложенные производителем, проблемы безопасности сторонних компонентов(библиотек, пакетов), отсутствие шифрования и контроля целостности при обновлении, сравнение решения с текущими многоуровневыми инструментами безопасности в Linux.
Правильное решение
Ничего там не запускается, в твите крэш от повреждения кучи. Типичный "ученый изнасиловал журналиста".
Это не "код RCE эксплоита в одном твите", это PoC уязвимости в виде крэша, успешная эксплуатация которой потенциально может привести к RCE, но никакого эксплоита тут и близко нет.
ИИ скандалы, ИИ интриги, ИИ расследования.
Смотрите в новых сериях: ШОК: Маньяк из Сан-Бернардо учился и подбирал одиноких жертв по советам GPT-3! Оформители детских праздников в Мадриде брали рисунки у нейросети, натренированной на фото из морга!
Прикручивал WBIO-DI-WD-14 к малинке zero по официальной распиновке к i2c, модуль надежный и недорогой, в моем случае это было отличным способом получить гальванически изолированные сухие контакты без "дребезга". Софтово все работает и под питоном через пакет adafruit-circuitpython-mcp230xx
"Это отличный способ быстрого запуска и разворачивания новых проектов." - только последняя строчка имеет отношение к теме, все остальное - попытка натянуть актуалочку на маркетинговый глобус.
Это не "самый уязвимый", это "самый тестируемый"
Недавно оплачивал ihc через kz процессинг, и в итоге к платежу добавилось где-то 40% от первоначальной суммы.
Есть пара нюансов.
Во-первых, лог может содержать чувствительную информацию вроде токенов и паролей, и отправка её в мессенджер ну мягко сказать не самый умный поступок.
Во-вторых добавляется еще один слой неконтролируемой логики - например телеграмм может не принять сообщение к отправке, может не пропустить какой-либо участок кода(да, там есть входной фильтр), и это усложнит процесс понимания проблемы.
хешированию sha-256, говорит, не угрожает, поэтому надо переходить на sha-512
Ддос атаки на сеть Биткоина являются достаточно обыденным явлением и рассматриваются с десятилетие в рамках модели угроз децентрализованной экосистемы. Мотивацией подобных атак может являтся влияние на рыночную стоимость, ведь сутки пролежавшая сеть определенно приведет к падению рыночной стоимости, и, как следствие, организовавший такую атаку заработает миллиарды при правильном подходе.
Не думаю, что утверждение "цели такой не ставилось" является достаточно объективным.
Вы возвели одно из свойств Биткоина - прозрачность - в абсолют. В ваших словах определенно есть правда. Однако помимо прозрачности, есть и другие свойства, например отсутствие внешнего контроля над объемом эмиссии.
Для этого всем государствам нужно действовать в рамках единого плана длительное время, оказывая физическое и экономическое давление на сеть. История показывает, что это не очень-то работает - им трудно договорится. Мир многополярен, у всех свои желания и объективные условия существования.
То, что сработает для крупных государств с широким спектром ресурсов, обеспечивающих автономность, не сработает для островных государств, которые будут искать средства заработка по принципу оффшоров и продажи паспортов в конце прошлого века.
Мы вступаем в эпоху перерождения старой формы государств. Развитый и образованный и человек должен стать ценным для государства. Сейчас корпорации идут по этому пути, собирая кадры со всего мира и выдавая плюшки за знания и пользу. Думаю корпорации будут выстраивать собственные микро-государства со своими внутренними законами, построенными на принципах превосходства интересов индивидуума над бюрократией. Скорее всего в какой-то момент это дойдет до открытого противостояния между крупными государствами и корпорациями, итогом которого станет либо отделение корпораций в отдельные государства, либо поглощение старых государств и перестроение на новых принципах. Биткоин в этой истории будет играть роль великого уравнителя, работающего в интересах индивидуума.
Я не могу понять вашу реакцию.
Вы разговариваете с позиции человека, который от меня что-то требует.
Скорее всего вы считаете, что вынаписанное - статья, новостной материал(вы настаиваете на добавление деталей истории, которые к моменту публикации уже были на хабре в разделе новостей).
Я внесу ясность. Вышенаписанное - мнение.
Я не претендую на соответствие вашим личным критериям и ощущения мира, я поделился своим видением на основе своего субъективного опыта, стараясь не дублировать уже существующую на Хабре информацию, в виде заметки, написанной за полчаса с чашкой чая.
Хороша ли эта заметка, или плоха - решать читателю.
Свое мнение вы оставили в виде комментария, ваше право. Ощущая свой немного хамский тон, вы сами начали свое сообщение с фразы "Извените, но...".
Вы написали "извините", я написал "извиняю".
Но я перед вами не извинялся, пока не за что, ведь я вам не хамил.