Опубликован выпуск сетевой операционной системы DentOS 3.2, основанной на ядре Linux и предназначенной для оснащения коммутаторов, маршрутизаторов и специализированного сетевого оборудования. Изначально проект был основан компанией Amazon для оснащения сетевого оборудования в своей инфраструктуре, но затем перешёл под покровительство организации Linux Foundation и в число ключевых участников проекта помимо Amazon вошли такие компании, как Delta Electronics, Marvell, NVIDIA, Edgecore Networks и Wistron NeWeb (WNC). Код DentOS написан на языке Си и распространяется под свободной лицензией Eclipse Public License...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59768
> debian
Только по этому и нужно.
Нужен только ГНУ/Дебиан.
Дебиан - это Линукс для скуфов
Скуфы - это кто?
Когда зумеры снова изобрели новое слово, и нужно идти гуглить его значение.
Мне зумеров-то до сих пор лень гуглить.
ОС для стоматологов ставят на роутере. Дожили.
Для дантистов же. И таки им лучше знать, что ставить на роутер в вашем импланте
Точняк дантисты вставляют зонды через рот вот им для этого и нужна ОС. Всё встало на свои места.
И тысячи глаз там ничего не увидят. Если постоянно пингвинов ртом не ловить, конечно.
В роутере полно информации, поэтому не стоит относиться к безопасности данного устройства легкомысленно. Я напомню что возможна утечка банковских данных или логина с паролем, имей злоумышленник доступ. Также само устройство может эксплуатироваться в иных целях.
А если не хранить пароли в браузере и пользоваться менеджером паролей вроде KepassXC это не поможет?
Аааа, вставляют, точняк, теперь понял. Спасибо, что объяснил
> ОС для стоматологов ставят на роутере. Дожили.С патчами от анестезиолога хоть?
Вам же анестезиолог планировщик ядра писал как-то. Что не так в этом случае?
dent переводится как вмятина.
dent переводится как выбоина
А где обои?
Исходя их названия - на них должны быть изображены зубы )
Оно нам точно надо? ))
"... зубов нет, но дёсна в таком состоянии"
Об этом нужно снова у красноглазой утки спросить.
В этой новости не хватает HCL.могу ли я запустить эту ос на своем D-link Dir 300?
Это такой, который в комплекте с корой дуба идёт?
> делегировать операции по перенаправлению кадров и обработке сетевых пакетов специализированным аппаратным чипам
> базируется на штатном сетевом стеке Linux, ...А как оно вообще попадает в сетевой стек линукса, если чипы должны сами разбираться с пакетами?
По идее попадет только то, с чем чипы не смогли разобраться.
>> делегировать операции по перенаправлению кадров и обработке сетевых
>> пакетов специализированным аппаратным чипам
>> базируется на штатном сетевом стеке Linux, ...
> А как оно вообще попадает в сетевой стек линукса, если чипы должны
> сами разбираться с пакетами?Ну вот так - линух энное время как умеет "полухардварный" оффлоад. Когда жирные потоки выгружаются на хардварный офлоадер, или как-то так. Там целая подсистема есть и даже опенврт чем-то таким стал пользоваться на ряде чипов.
>> делегировать операции по перенаправлению кадров и обработке сетевых пакетов специализированным аппаратным чипам
>> базируется на штатном сетевом стеке Linux, ...
> А как оно вообще попадает в сетевой стек линукса, если чипы должны
> сами разбираться с пакетами?Чип всего лишь это набор полупроводников
> Пакетная база обновлена до Debian 10.господа знают толк в стабильном ПО
Эдмон Дантес
Харви Дент :)
Чем это лучше zrouter?
>ZRouter.org is a FreeBSD based firmware...Ну ты понял.
Правильный вопрос - чем лучше openwrt? Или pfsense
За такие вопросы - надо сразу увольнять с волчим билетом.
DentOS это L3-switch OS, OpenWRT это SOHO Router OS, а pfsense - SOHO firewall OS.
Все три - решают принципиально разные задачи. Нет, все в одном сделать - очень плохая идея.
Типа все обязаны знать сорта всех бесконечных дистров? На производстве всё равно ваши open-pf-dentos не используются.
Если рассуждаешь - обязан знать.
Вроде новость про дистрибутив Линукс, а срач на тему среды рабочего стола не получается начать. В общем да и Гном и КДЕ гавно.
Openbox последняя надежда утопающих, крепитесь!
Они даже в роутере оно.
А чем он лучше DDWRT и OpenWRT? Какие у него особенности? Ну кроме того что он на Debian.
Хотя этот абзац мне кое-что уже объясняет: "Система доступна для коммутаторов на базе ASIC Marvell и Mellanox, насчитывающих до 48 10-гигабитных портов. Поддерживается работа с различными ASIC и чипами обработки сетевых данных, включая ASIC-чипы Mellanox Spectrum, Marvell Aldrin 2 и Marvell AC3X с реализацией таблиц аппаратного перенаправления пакетов."
Железо там наверняка мощное, не каждая ОС для роутера такое поддерживает.
Перечитал ещё раз новость и по софту понятно. С одной стороны интересно, с другой смотрю дискуссии о зондах. Вот чтобы с обновлениями или готовой сборкой не пришли особые пакеты на роутер, нужны отечественные производители ОС для роутеров, которые и будут отвечать за безопасность репозитория пакетов и сборки.
>С одной стороны интересно, с другой смотрю дискуссии о зондах. Вот чтобы с обновлениями или готовой сборкой не пришли особые пакеты на роутер, нужны отечественные производители ОС для роутеров, которые и будут отвечать за безопасность репозитория пакетов и сборки.Вот у отчечественных, не сомневайся, зонды будут обязательно. Отечественный товарищ майор вежливо попросит.
>Вот чтобы с обновлениями или готовой сборкой не пришли особые пакеты на роутер, нужны отечественные производители ОС для роутеровЕсли речь о особых пакетах то разве не логичнее поместить зонд прямо в железо?
Хотя если потребуется чтобы зонд пропускал обычные пакеты то тогда наверное надо зондировать и ОС.>нужны отечественные производители ОС для роутеров
Разве сложно собрать команду для изучения и перевыпуска этой ОС, тем более что эта ОС есть в исходниках?
》Разве сложно собрать команду для изучения и перевыпуска этой ОС, тем более что эта ОС есть в исходниках?Вот в этом вся и суть, если вопрос в безопасности. Это не сложно, но этим никто не будет заморачиваться. Дорого и бесперспективно. Пересобраная ОС со своей ТМ и своим репозиторием с пересобранным софтом требует команды поддержки. Зато будет юридическое лицо отвечающее за этот софт и целей безопасности. Очень специфические условия для этого нужны — дорогой заказчик либо большая аудитория.
Перспективы есть у команд разработки и поддержки, воплощая свои идеи и следуя своим целям, где та же цель безопасности может быть выполнена на совершенно ином уровне. Допустим из-за особого протокола сетевого уровня можно защитить город от вируса-ботнета или высоконагруженный сервис от ботнет атак с других стран. У меня есть представление об этом.
》не логичнее поместить зонд прямо в железо?Та наверняка делают и так, и так. Электроника дороже софта и это повлияет на цену. Где-то это чувствительно, а где-то нет. Когда-то очень давно на ОС Windows XP я сталкивался с неприятной программой, которая была доставлена с обновлениями. Возможно что в целом не доверять софту с открытым кодом это и вовсе параноя, но иностранные компании никак юридически не связаны с отечественными чтобы доверять. Ну и личная неприязнь. Мне не очень нравится допустим то что одно из первых обсуждений в LinkedIn было год назад: "а давайте в качестве санкций отключим от интернет? От DNS?" Ну когда-то они воплотят свою американскую мечту — говоришь что-то не то что их поддерживает, отключат интернет.
> 》не логичнее поместить зонд прямо в железо?
> Та наверняка делают и так, и так. Электроника дороже софта и это повлияет на цену.У меня другие соображения: бекдоры могут быть двух типов:
1. Специальные пакеты от очень специальных чисто бекдорных протоколов, которые просто и без существенных вычислений опознаются аппаратно и потому бекдор для них проще поместить в железо.
2. Эксплуатация бекдоров и уязвимостей в олбычном софте, их опознание может потребовать слишком длительных вычислений или сложных эвристик глубокого анализа пакетов, их не сделать иначе как программно.Взаимодействовать они могут так, через аппаратный бекдор атакующие получают доступ к аппаратной системе роутера и получив доступ к ОЗУ изменяют поведение ОС, ну или просто разрешают доступ в обход всех правил с определённого MAC или IP, с которого и ведут уже дальнейший взлом через обычные протоколы.
> Возможно что в целом не доверять софту с открытым кодом это и вовсе параноя, но иностранные компании
В номе параноя должна быть к любому софту и у СПО тут то преимущество что если несмотря на наличие исходников вы таки что-то прошляпили то это может заметить совершенно случайный человек с самой нелепой мотивацией, которая побудила его к нелепым действиям которые и вскрыли екдор или уязвимость.
По этому так в любом случае каждое серьёзное учреждение имеет свою собственную команду поддержки или как минимум нанимает её со стороны(например покупает лицензию на Ачстра от минобра)
Вопрос только в том, сколько будет стоить такая команда, полную стоимость со всем НИОКР или только частичную где она только проводит проверки и дорабатывает нужный её нанимателю функционал.
> Мне не очень нравится допустим то что одно из первых обсуждений в LinkedIn было год назад: "а давайте в качестве санкций отключим от интернет? От DNS?"Отечественный софт тут ничем не поможет, так как это вопрос настроек работы, а не факта наличия прогрммы как таковой.
Ну что значит аппаратно? На физическом уровне у вас идут электронные сигналы по кабелю или по электромагнитным волнам, может по световым волнам, если это допустим сетевая карта. Далее все-равно драйвер это должен обработать, если код хочет попасть в систему. Если драйвер проприетарный,то этого кода у вас не будет, если открытый, то должен быть очень хитрый код, который исполняет что-то не совсем очевидное, т.е. некоторая случайная уязвимость, которая фича. Ну или скомпиллирован с кодом немного отличающимся от open source. У меня большие сомнения что кто-то будет анализировать оперативную память напрямую, тем более мимо ОС имея программу где-то в отдельном чипе или части основного — сложно, мало эффективно.
Да, "уязвимость" может быть в виде микрокода процессора и по случайной ошибке подсерия ваших процессоров накроется медным тазом при обновлении, как один пользователь написал. Что этот человек сделал? Ходил в сервис центр, пока не остался на старой прошивке.
А у меня другое соображение на этот счет — нет в отечестве компании, не с кем разбираться и никто не отвечает. Нет законов — нет смысла разбираться. Нет своих компаний, иностранная может спокойно торговать, нет смысла открывать региональную, нет смысла в налоге, нет поддержки отечественного бизнеса.> например покупает лицензию на Ачстра от минобра
ну так правильно делают, соответственно есть юр. лицо отвечающее за вопрос безопасности
> сколько будет стоить такая команда
эм не знаю... если это только поддержка, то в деньгах это личное дело каждого, более того вопрос экономики и организации.
> Отечественный софт тут ничем не поможет
А вы в курсе что ваша страна эту проблему уже решила? Или вы только жаловаться на блокировки можете? Именно поэтому заявления о готовности к отключению интернета весьма обоснованы — минимум с рунетом останетесь, а скорее всего намного больше.
> Ну что значит аппаратно? На физическом уровне у вас идут электронные сигналы по кабелю или по электромагнитным волнам, может по световым волнам, если это допустим сетевая карта. Далее все-равно драйвер это должен обработать, если код хочет попасть в систему.Читай внимательно текст из новости:
>способные делегировать операции по перенаправлению кадров и обработке сетевых пакетов специализированным аппаратным чипам.Даже на обычных не совсем днищенских сетевых картах есть аппаратное ускорение обработки пакетов, если ты о этом не знаешь то о чём ты хочешь рассуждать?
Я прочитал твой пост, дальнейшие твои рассуждения содержат такое же незнание как и здесь.
А, вы все ещё об этой статье? Я думал у вас какие-то философские интересы. Честно говоря да, я не хочу понимать к чему вы клоните.
> Честно говоря да, я не хочу понимать к чему вы клоните.Я не к чему не клоню, акселерация обработки сетевых пакетов сетевой картой общеизвестная и нескрываемая фича.
Как и распознание сетевой картой специальных пакетов, например протокол WoL.
Незнание о всём этом означает плохое знание матчасти и ничего более.
Боже, да вцепились вы в свою идею скрытого проникновения на роутер через чипы и оперативную память. Это никому, кроме военных не нужно настолько скрытно проникать. Мало того что это технически сложно, так это и юридически сложно, я предполагаю что и программистом психологически сложно будет такое реализовывать, более того можно понести репутационные издержки - производитель потеряет рынки.
Ну вот сделаете вы анализатор сетевого трафика и что дальше? Допустим на ПЛИС, до роутера можно простые пакеты как WOL отфильтровать или параллельно роутеру анализировать. Если к вам придёт обычный запрос с особым MAC-адресом, который знают только военные, то об этом вы документацию не найдете. Разве это не понятно? А если там что-то более сложное, закодированное так и вовсе пакет будет выглядеть набором чисел, причем каждый раз по разному. Где-то на магистрали VPN соединение также будет выглядеть набором чисел, если не подменить IP VPN и повторять запросы к конечному VPN. И если есть опасения насчёт изменения ОЗУ, то всегда можно анализировать ОЗУ, что правда скажется на производительности. У меня есть сомнения что команда поддержки сможет спасти военных от таких атак, т.к. для них важно время, а обнаружение через анализ потока трафика и ОЗУ мне не кажется быстрым. Даже анализ программ зашитых в чипе не быстрый, тем не менее он может быть точнее и я не о тех микроконтроллерах, о которых вы талдычите, где можно считать память, а именно о акселерации обработки сетевых пакетов.
> Боже, да вцепились выЯ отлично понимаю что для каждой угрозы есть свой разумный уровень противодействия, но это ведь не повод игнорировать угрозу вообще.
> Это никому, кроме военных не нужно настолько скрытно проникать.
Лично я в первую очередь думаю шпионах и диверсантах, так как у них у всех есть желание, но нет возможности пробраться на объект с секретными оборудованием и данными.
>Мало того что это технически сложноНе думаю что это будет сложно для того кто проектирует и изготавливает чип.
> так это и юридически сложно,
Когда спецслужбы так уж сильно волновались о законности, особенно если их нельзя поймать(навряд ли кто сможет полностью проверить чип сделанный по нанометровым техпроцессам.
>я предполагаю что и программистом психологически сложно будет такое реализовывать, более того можно понести репутационные издержки - производитель потеряет рынки.
Так в открытой ОС бекдоров не будет, как обыватели это обнаружат без глубокого анализа чипа?
Я потому и говорю о вмешательстве в память чтобы кто надо мог по горячему подселять те или иные ядерные процессы, это если ОС свича или роутера не работает в пусть и очень быстром, но гипервизоре.> Если к вам придёт обычный запрос с особым MAC-адресом, который знают только военные,
А если там что-то более сложное, закодированное
Вы слишком переусложняете, зачем обозначать пакет особым MAC, если многоуровневую проверку началом которой будет проверка размера пакета на соответствие размеру пакета, ну а потом ещё какие общеизвестные стандартные параметры принимающие некие специальные значения, например TTL определённого размера.
И только потом, если ip пакет будет обладать совокупностью стандартных параметров которые одновременно приняли некие irl возможные, но специальные сигнальные значения чип будет проверять этот пакет на содержание в нём наряду с легальной информацией некой скрытой команды.> так и вовсе пакет будет выглядеть набором чисел, причем каждый раз по разному.
Зачем привлекать этим внимание и дать возможность детектировать пакет по содержанию чисел неясного назначения?
Лучше так как я предложил выше, пусть службисты гадают имеет вот это сочетание размера и TTL особое значение или нет, тем более что особая обработка может идти паралельно с обычной и никак на неё не влиять.И если есть опасения насчёт изменения ОЗУ, то всегда можно анализировать ОЗУ,
Если атакующий подсят на уровне гипервизора то работающий внутри гипервизора защитный анализатор ОЗУ не сможет его каким либо образом заметить.
> что команда поддержки сможет спасти военных от таких атак, т.к.
Как минимум она затруднит их проведение, ну и проверка чипов на совсем наглые бекдоры тоже добавит безопасность.
А как американцы поступить нельзя? Они часто грешат коррупцией. Так или иначе производственные ошибки происходят — одной cve для их роутеров больше, одной меньше.
Почему бы вам в таком случае не пофантазировать насчёт акселерации сетевых пакетов? Почему обязательно изменять оперативную память? Чип акселерации пакета находя особый пакет просто зажимает перезагрузку и дописывает особый аддон к вашей прошивке и после перезагрузки он начинает работать помимо всего остального. И почему бы не завернуть ещё круче? Дополнительная прошивка будет работать вне DentOS, деля с ней просто ресурсы и именно поэтому из DentOS это нельзя обнаружить. А сам пакет зависит от времени, и зашифрован кодом DES, который идёт внутри обычного http стека протоколов. А сам чип имеет параллельную подпрограмму чтобы не тормозить процесс расшифровкой DES шифра.
Вы правильно поняли все мои опасения.
> Взаимодействовать они могут так, через аппаратный бекдор атакующие получают доступ к аппаратной системе роутера и получив доступ к ОЗУ изменяют поведение ОС, ну или просто разрешают доступ в обход всех правил с определённого MAC или IP, с которого и ведут уже дальнейший взлом через обычные протоколы.Сильно геморно и ненадежно звучит, разве-что разрешают доступ. Ну примите закон о том что производитель должен уведомлять соответствующие органы о скрытом функционале для силовых структур, в ином случае это можно рассматривать как серьёзный международный инцидент и шпионаж. Если встретите железное доказательство — никто не отвертится.
>Ну примите закон о том что производитель должен уведомлять соответствующие органы о скрытом функционале для силовых структурЗачем их уведомлять о том, что будет или уже добавлено по их инициативе?
>в ином случае это можно рассматривать как серьёзный международный инцидент и шпионаж.
США не побоялись изгнать со своего рынка Хуавей и Антивирус Касперского.
> Зачем их уведомлять о том, что будет или уже добавлено по их инициативе?Чтоб потом не рассказывали что все ради безопасности и спокойно вывести такого игрока со своего рынка при отсутствии уведомления. Спросить другое государство, с какой целью ведут военные действия? А при присутствии уведомления иметь ПО для своей безопасности, для контроля этих роутеров (или ПК) тем же софтом. Или элементарно для защиты своей экономики. ТикТок американцы вроде тоже недавно решили запретить — типа не безопасна, собирает данные. И я их понимаю, они прекрасно понимают что можно сделать с такой информацией, т.к. сами это неприкрыто и делают, плюс защищают внутренний рынок.
Да и я то вас понял, даже предполагаю для чего это нужно. Моя позиция все-равно остаётся на том что свои технологии обойдутся перспективнее. Может несколько компаний скоординируют усилия, откроют дочернюю, но поддерживать чужую ОС для чужого железа это если очень надо на вчера и временно или у вас лаборатория софта безопасности и хочется денег, ну или если может лень своё делать. Смотря как считать, в последнем случае (если лень) так вообще никакой поддержки не нужно и пользоваться чем дают.
Теоретически возможна атака даже на канальном уровне, проходя коммутатор за коммутатором с софтом выполненным на чипе, либо на ПЛИС (в данном случае айсик), либо в контроллере через ОС, но я с таким не сталкивался. Насколько я понимаю ОС исключается — её допустим проверят. Если есть доступ к такой сети, то элементарно можно иметь сетевой адаптер на телефон с нужным мак-адресом, где любой чип способен сравнить с эталоном, ну или без проводов так вообще все программно будет работать на телефоне через wifi и перемещаться аппаратно до нужного устройства. Я никогда о таком не слышал и в случае выявления всегда можно сослаться на ошибку, уязвимость и покупайте новые комутаторы. И если такое существует, то должно быть очень много роутеров уже скомпроментированно, а значит вас уже бы попытались отключить от интернет или по другому атаковали бы сайты. Да и логи бы показывали мистику — с бухты барахты сторонний человек зашёл. Мне хочется верить в то что это пока возможно теоретически и никого практически не заинтересует.
Да и спасибо ща вопросы. Обдумывая, насколько технически возможно то что вы описали, мой уровень тревожности уменьшился.
Могу дать ещё такое соображение:
https://cybermarket.com.ua/product/ad-ftk-enterprise/На сайте знак похожий на ВСУ. Просто из описания продукта:
Масове розгортання віддаленого агента в MacOSТільки FTK® Enterprise дозволяє масово розгортати віддалені агенти на кінцевих точках MacOS без будь-якого ручного втручання користувача. Інтеграція з розгортанням Jamf® забезпечує кращу видимість дій на всіх кінцевих точках, загальних мережевих ресурсах та периферійних пристроях, навіть на тих, що працюють на MacOS® Catalina, Mojave або Big Sur.
Хмарна колекція
Збирайте дані з хмарних джерел даних та легко переглядайте їх у FTK® Enterprise. FTK® Enterprise – це перший інструмент для комп’ютерно-технічної експертизи, що пропонує набір даних, включаючи загальні мережеві ресурси, Microsoft Exchange®, Gmail™, One Drive™, Google Drive™, SharePoint® та Microsoft Teams.
Там ещё много интересного софта, некоторый на Linux доступен бесплатно типа community edition.
Год назад мне коллега по работе просит помочь, прочитав статью на DOU, по моему эту: https://web.archive.org/web/20220513181413/https://dou.ua/fo...Естественно так как там написано я не делал, т.к. не разделяю идеи киберпреступлений. Через год появляется новость о том что лаборатория Касперского работала над атакой из облака, т.е. людей уговорили. Я сайт лаборатории не могу открыть даже через VPN, поэтому если им интересно - расскажите. Так вот сам софт, который там упоминается исходя из исследований разработан в FBI, который запускали с Azure под учётными записями украинцев. Насколько я понимаю, суть заключается в обычном переборе логинов и паролей. И это уровень не военных и сомнительных хакеров из IT компаний. А вот была бы возможность входить через аппаратный ускоритель или дать народу более интересную программу, то последствия были бы печальными. И это один аспект.
И вот archive.org содержит подобные статьи начиная где-то от 26 февраля 2022 года и интересный факт - там где некоторые аккаунты с украино-американским флагом чего-то подбивают народ сделать на архиве нет, а на сайте dou пока есть. Случайно обнаружил. Так вот сделать свой архив, где сохраняются такие данные могут вполне обезопасить огромное число устройств от неожиданных действий, ну или сохранить речи неких Биллов на TED без редактирования о сокращении населения до золотого млрд. Ну или логически выходит что отсутствие некоторых материалов также может быть доказательством что чего-то не было. И это другой аспект, на основании человеческого фактора.
А третий аспект в том, что если у военных есть возможность проникать на чужие устройства с целью добычи информации, то никто никому это не расскажет иначе они потеряют информацию. Ну это моя личная дилетантская логика. И если что-то сложное добавить к ОС для роутеров для анализа, то можно сильно потерять в производительности. Поэтому устройство должно быть отдельным и наверняка такие есть. И если вы их делаете, то мне не понятен вопрос о команде со всем НИОКР. Решение на основе ИИ и алгоритмов, анализируя входящий и выходящий трафик устройства вполне могло бы сейчас иметь некоторую популярность из-за тренда, если не будет замедлять существенно скорость интернета без причины. Тем не менее стоит иметь свои технологии и не усложнять простое и поддерживаемое. Я только надеюсь на то что сегодняшние известные аппаратные уязвимости - действительно недоработка разработчиков, а не что-то специальное для иностранных силовых структур.
тем что совсем не для SOHO рутеров судя по описанию.
Система доступнаи по ссылке
404
Page Not Found
> В выпуске DentOS 3.2 предложена проверенная реализация протоколовПроверенная кем? И на тему чего?
Так и не понял, как оно управляется? Какая-то консолька аля cisco/hp/juniper есть или просто вручную конфиг писать? Или вообще веб-морда (это будет фейл)?
Запускал предыдущую версию на sdn роутере noviswitch, к сожалению, ASIC NP-5 не прдхватился, видны были только 4 чипсетных порта. ASIC в lspci был виден, но не инициализировался.
На картинке написано "Switch". Означает ли это, что данная операционная система предназначена для игровой приставки Nintendo Switch?