МС-21 - обсуждение, санкции, конкуренты

[Sergey-nn]

Долго и дорого.
Криптография с обменом ключами.
Как на смарт (чип) (банковской) карте к примеру

Я взял худший вариант - когда код каждый раз новый и должен соответствовать псевдослучайной последовательности заложенной для конкретного экземпляра станка.

 

[Блэка]

Долго и дорого.

исключив время и прочие затраты на

вместо "запросчика" вставляется "затычка", которая ставит переменную "код корректен" в состояние TRUE.

и, заместив это на

убирается часть кода программы, отвечающая за проверку.

становится прилично дешевле. Ибо нахаляву можно только сидеть и смотреть на неработающее железо.

 

[Блэка]

когда код каждый раз новый и должен соответствовать псевдослучайной последовательности заложенной для конкретного экземпляра станка.

заменить переменную на константу. Вуаля.

 

[Kit.]

Да, предложенная вами защита весьма серьёзна. В природе защит такового уровня практически не встречается.
Однако взламывается и она:
дезасемблируется код программы, и вместо "запросчика" вставляется "затычка", которая ставит переменную "код корректен" в состояние TRUE.

Вот только программа после этого не загрузится, потому что её криптографическая подпись станет неверна.

 

[Блэка]

Вот только программа после этого не загрузится, потому что её криптографическая подпись станет неверна.

Исключить проверку подлинности подписи из программы.

 

[lion405]

Слушайте, спереть у врага его рабочую карту (танк, пулемет, шнапс, генерала, нужное подчеркнуть) - завсегда было святым делом.

Лично у меня нет врагов. Давайте без истерик. Но успешно закончить спецоперацию на Украине Россия может. Дальше задачка помасштабнее - ЕС и США. Причем это не задача "когда-нибудь"... я не хочу прожить все отпущенное мне время в ожидании этого. Уж простите, но процитирую "Квартет И" - "А пуговицы мы найти можем!". В масштабах государства MC-21 - это те самые пуговцы. Вот и посмотрим...

 

[Kit.]

Исключить проверку подлинности подписи из программы.

Она железная, вшита в процессор.

Более того, и сама программа может быть зашифрована ключом, вшитым в процессор.

 

[Drusha]

Она железная, вшита в процессор.

Более того, и сама программа может быть зашифрована ключом, вшитым в процессор.

В принципе, все программы для работы сейчас шифруются. Во всяком случае, все приличные

 

[Блэка]

Дальше задачка помасштабнее - ЕС и США.

Не, не, не. Не надо им помогать. Они сами с собой прекрасно и быстро стали справляться.

 

[Блэка]

Она железная, вшита в процессор.

Хорошо, вписываем в программу константу, на которую и отправляем проверку подписи.

 

[Sergey-nn]

Вот только программа после этого не загрузится, потому что её криптографическая подпись станет неверна.

значит будет вставлена еще одна "затычка"

 

[lion405]

Не, не, не. Не надо им помогать. Они сами с собой прекрасно и быстро стали справляться.

Мне уже достаточно лет, чтобы эта новость не казалась мне свежей. С тех пор у них и А320 взлетел, а А350... Все загнивают...
Но с МС-21 точно что-то надо делать. Я не инженер, просто подожду пару-тройку лет и... посмотрим на результат.

 

[altor]

Какие будут идеи?

Я уже рассказал, как взламывается сервер Пентагона. Специально обученный хакер заходит из интернета на самый главный сервер Пентагона и вводит отгаданный пароль.

Да, предложенная вами защита весьма серьёзна. В природе защит такового уровня практически не встречается.
Однако взламывается и она:
дезасемблируется код программы, и вместо "запросчика" вставляется "затычка", которая ставит переменную "код корректен" в состояние TRUE.

Встречается повсеместно. В любой автосигнализации с диалоговым кодом (Пандора, Старлайн).

Бывает, что программа защищена от считывания, либо хранится в зашифрованном виде и расшифровывается "на лету" в момент исполнения. Пожтому дизассемблировать ее может не получиться.

 

[прокуратор понтий пилат]

altor, ваши распрекрасные теории как всегда разбиваются суровой практикой.

 

[Alex L]

Мужики (не все))) , вы недооцениваете наших спецов, которые могут сломать абсолютно всё. Как тут верно заметили, взламывают очень защищенные системы, а тут какой-то станок с дырявым ПО в строй ввести, если отключат. Смешно просто. Русские люди очень талантливы на нестандартные решения, а те люди, которые работают в оборонке и органах, талантливы вдвойне

 

[Kit.]

Хорошо, вписываем в программу константу, на которую и отправляем проверку подписи.

Куда вписываете? Во встроенное ПЗУ процессора? Удачи.

Мужики (не все))) , вы недооцениваете наших спецов, которые могут сломать абсолютно всё.

Ещё один шапкозакидатель проснулся.

Сломать-то они могут всё, но не всё после этого сможет заработать.

 

[lion405]

могут сломать абсолютно всё

Что будем взламывать через пять лет, через десять? ( Что будем делать, когда в очередной раз поймем, что все что мы тут наразрабатывали не стыкуется ни с чем во внешнем мире?

 

[stranger267]

Про сайт Пентагона все просто - надо с просто несколько минут судорожно подумать, и ввести правильный пароль в монитор с зелеными буквами, это каждый дурак знает, если он фильмы смотрит.

А теперь серьезно. Вот я, например, станок. Каждое утро я шлю какое-нибудь случайное число своему другу серверу, который отвечает мне другим числом, полученным из моего только нам двоим понятным образом. И пока я не получу ответа - работать не буду. И да, у меня есть встроенные часы, поэтому сказать мне, что день полярный, и утро будет только через полгода, не получится. Какие будут идеи?

Вырезать нафиг эту проверку из кода. Без особых проблем. Чип который делает начальную загрузку - можно и выпаять и поменять. В случае серьезного производства такое делается сплошь и рядом.
Но на самом деле делается проще. ЛИцензия обычно это подписанный текстовый файл. Кусок который ее проверяет - как правило один. Он хачится и все. После чего подсовывается неподписанная лицензия где все что нужно включено.

Отхачить можно практически любой код. Вопрос времени и извращений тех кто код писал. Код на станки как правило весьма прямолинейный, тем более в век постоянного аутсорса.

 

[Alex L]

Ещё один шапкозакидатель проснулся.

Сломать-то они могут всё, но не всё после этого сможет заработать.

партия скажет "надо", станки заработают. Не буду вступать в пустые дискуссии (у нас я так понимаю разный опыт в этом вопросе), время покажет, будут станки вставать или нет.

 

[Блэка]

Что будем делать, когда в очередной раз поймем, что все что мы тут наразрабатывали не стыкуется ни с чем во внешнем мире?

Опять окажемся в "перестройка". Эх... Неизбежно. Но, сейчас надо думать о решении текущих задач.