Это такие защищённые и сертифицированные МСЭ Cisco

Ничего нового и неожиданного.

Всё оборудование и софт к нему должны быть кошерными, т.е. из доверенного источника.

Всё оборудование и софт к нему должны быть кошерными, т.е. из доверенного источника.

Т.е. ты таким образом показываешь, что не читал статью и тем более не смотрел пункт «Способы заражения»? :)

С Intel Me это все-равно не сравнится https://habrahabr.ru/company/dsec/blog/282546/ - без киски можно обойтись, а вот без интел не очень, да и у амд есть аналогичное.

Больше всего поражает как крутые спецы по информационной безопасности не замечали этого всего(или замечали но молчали), до этой шумихи со сноуденами. «Никаких закладок нет», «заговор невозможен» говорили они, видимо являясь частью заговора(остальные просто повторяли).

бегло досмотрел до картинок.

я так понял оно загружается и, толком не отдуплившись где оно всё взлетает, начинает искать какие-то сетевые ресурсы сисько, чтобы спросить разрешения что делать дальше?

щас пойду еще раз глазом окину, слишком много букав.

У амд же эта хрень через сеть не управляется?

PSP-то не управляется?

щас пойду еще раз глазом окину, слишком много букав.

Почему нельзя сначала прочитать материал, а потом строчить умные комменты, вместо глупых? :)

Потому что слишком долго читать, а отвечать пальцы сами клаву чешут.

\Прочитал быстро.
Ясно, никуда оно не лезет.

Т.е. ты таким образом показываешь, что не читал статью и тем более не смотрел пункт «Способы заражения»? :)

Я таким образом говорю, что Cisco не является доверенным источником оборудования, если только вы не водите крепкую дружбу с весомыми юридическими лицами из США.

даа, 3850 это конечно дорогой девайс... а так ничего удивительного нет

Установка импланта возможна:


через пост-экплуатацию, к примеру, после удаленной эксплуатации уязвимости. Подобный эксплоит можно также найти в выложенном архиве (см. EXPLOITS/EXBA);
через использование загрузочного образа. Такое заражение может быть произведено удаленно по сети или при наличии физического доступа к устройству. Например, в офисе транспортной компании.

Хм.. ну и ладно, эти проприетарщики странные.
Взяли и заставили всех сделать аБгрейд(С) своих сетевых штуковин.

Т.е. ты таким образом показываешь, что не читал статью и тем более не смотрел пункт «Способы заражения»? :)

Ъ смотрят на тебя с недоумением.

Киска шерето а виноваты жидо-рептилоиды.

Ъ != Ъ

Потому что слишком долго читать, а отвечать пальцы сами клаву чешут.

Бедняжка! :) Сразу напомнило "...жопу пальцем затыкал, но понос не унимался, через уши вытекал" :)

Бэкдор был по просьбе NSA? Или хакеры NSA сами запилили?

У амд же эта хрень через сеть не управляется?

Никто точно не знает их возможностей.

Ты такой душный порой :)

Читал про него у coreboot, про сеть ничего не было. Было про доступ к памяти и ещё разные гадости, но про сеть - не помню такого. Если есть что про это почитать - прошу поделиться ссылочкой.

Т.е. ты таким образом показываешь, что не читал статью и тем более не смотрел пункт «Способы заражения»?

Ну и что же мы там видим? Если есть доступ к девайсу, то на него можно накатить руткит. И?

8.3 EoSWM почти полтора года. Да и до этого был довольно говняной версией, с которой те кому не пофигу быстро свалили. Так что последние тормоза сидевшие на 8.2 дождались развлекухи в начале этого года и вынуждены были перепрыгивать на 8.4 или 9.x.

То что можно сделать руткит для ASA — это конечно здорово, но в целом ожидаемо. Интереснее было бы увидеть руткит для сравнительно новых роутеров с TPM.

Если есть доступ к девайсу

Видно, что тоже не читал статью :) Там есть такое словосочетание, как «удалённая эксплуатация уязвимости», к слову, например, такой: http://blog.exodusintel.com/2016/02/10/firewall-hacking/

Видно ты не читаешь чего тебе пишут. Ну и фиг с тобой.

Циски с k9 можно по белым каналам нормально купить в России сейчас? Я просто не в курсе.

Да понили , понили уже.
Все замечательно.


Но какой вердикт? Циски не хотят патчить?
Тогда всеобщий бугурт понятен и можно даже присоединиться к нему.
Но каким образом данное мероприятие сказывается на репутации самих Кисок? И миллионы продолжают покупать продукцию, даже после таких финтов ушами? Может эта продукция поставляется исключительно в страны 3го мира в такой особой конфигурации?


Ведь так не бывает, тупо взяли навороченные устройства и стали подставлять под кофе? Даже не маякнув вендору - типа заберите свое Г по остаточной стоимости, мы вам не доверяем!

Что делать то? 8()

А вот с этого места давай подробнее.
Что получается?

Циско таки поставляет только такое оборудование легально, которое имеет «вот это всё это»?

Наверное те кто в теме, таких наивных вопросов не задают.
Но ты же пришел в массы с новостью, теперь будем по-нашему, по-стариковски, под подъездом мусолить.

пообмазываются там у себя в корпоративных ДЦ всякой муйнёй за десятки тыщ зеленых бумажек, а потом страдают, народ баламутят!

пообмазываются там у себя в корпоративных ДЦ всякой муйнёй за десятки тыщ зеленых бумажек

Да щаз :) Покупается самая дешёвый пикс/аса с самой дешёвой Failover лицензией и кейгеном генерится самая фичастая лицензия :))

Так это же меняет дело!
Стандартное «авось» решение, обернувшееся «получилось как всегда».

Ну если кратко резюмировать: Циски ушли из-за санкций, оставив шерето в качестве утешительного приза?

Стандартное «авось» решение, обернувшееся «получилось как всегда».

Не понял, обоснуй? Чем это хуже отвала 100500 уе и внезапного нахождения ровно в такой же ситуации?

интересно как дела обстоят с checkpoint, fortinet?

ну ты же сам в сообщении выше говорил что более дорогая и новая модель недоступна, а эти дешевые кейгенят.

может это у буржуинов такой хитрый план.

авторы статьи - молодцы, но эксплуатировать всеравно достаточно сложно. нужен доступ до управляющей сети.

Я не в России, так что не знаю.

ФАПСИ, ФСБ и прочие [censored] взялись за закручивание соответствующих гаек больше 10 лет назад — устроили тогда сначала циске, а потом и всем остальным весёлую жизнь на таможне. Тема взяткоёмкая.

По их теории добро с no-payload-encryption серьёзных проблем с ввозом вызывать не должно. Так что не вижу в чём проблема заапгрейдить софт на 9.x.

Всё оборудование и софт к нему должны быть кошерными, т.е. из доверенного источника.

И что мы называем доверенным источником? И с чего мы думаем, что этот доверенный источник не понатыкает своих бэкдоров?

Fortinet не так давно спалился со служебной учеткой с захардкоженным паролем. Про Check Point не слышал пока ничего такого.

Facepalm! Pix - старые, asa - новые. Кейген есть под обе.

И с чего мы думаем, что этот доверенный источник не понатыкает своих бэкдоров?

С того, что прочно держим его за яйца крепкой рукой. Или наши друзья держат. Или кто-то один держит и нас, и их. Чудес не бывает.

Какая причина была положить на полку в начале 2015 года 5512-x?

С того, что прочно держим его за яйца крепкой рукой. Или наши друзья держат. Или кто-то один держит и нас, и их. Чудес не бывает.

Ииииии? Пускай даже мы все под одной юрисдикцией. Кто мешает им понатыкать своих бэкдоров?

В основном - так и не понял, как настроить внутренний NAT, чтобы изнутри внутрь ходить не через провайдерский гейт. Ну и triplewan на линуксе гораздо проще делается.

5512 не знаю а PIX515 в банке крепко использовал 10 лет назад. Проблем с NAT вообще ни каких не было. Там же три диска документации!;-)

Документация и цисководы не помогли. В первой нет, а вторые, после долгого кручения, говорили «выюрось это говно и купи нормальную циску» за 100500 денег.