Saluton ĉiuj!
Mi disvolvas firmvaron por videogvatadfotiloj por b2b kaj b2c servoj, same kiel tiuj partoprenantaj en federaciaj videogvatprojektoj.
Mi skribis pri kiel ni komencis .
Ekde tiam, multe ŝanĝiĝis - ni komencis subteni eĉ pli da pecetaroj, ekzemple, kiel mstar kaj fullhan, ni renkontis kaj amikiĝis kun granda nombro da eksterlandaj kaj enlandaj IP-fotilaj fabrikantoj.
Ĝenerale, fotilaj programistoj ofte venas al ni por montri novajn ekipaĵojn, diskuti teknikajn aspektojn de la firmvaro aŭ la produktada procezo.
Sed, kiel ĉiam, foje venas strangaj uloj - ili alportas sincere ĉinajn produktojn de neakceptebla kvalito kun firmvaro plena de truoj, kaj haste kovrita emblemo de tria-nivela fabriko, sed samtempe asertas, ke ili mem disvolvis ĉion: ambaŭ. la cirkulado kaj la firmvaro, kaj ili montriĝis tute rusaj.
Hodiaŭ mi rakontos al vi pri kelkaj el ĉi tiuj uloj. Verdire, mi ne estas subtenanto de publika skurĝado de senzorgaj "importaj anstataŭaĵoj" - mi kutime decidas, ke ni ne interesiĝas pri rilatoj kun tiaj kompanioj, kaj ĉi-momente ni disiĝas de ili.
Sed tamen hodiaŭ, legante la novaĵojn en Fejsbuko kaj trinkante mian matenan kafon, mi preskaŭ verŝis ĝin post legi ke la filio de Rusnano, la kompanio ELVIS-NeoTek, kune kun Rostec, liveros dekojn da miloj da fotiloj al lernejoj.
Sub la tranĉo estas detaloj pri kiel ni testis ilin.
Jes, jes - ĉi tiuj estas la samaj uloj kiuj alportis al mi malkaŝe malmultekostan kaj malbonan Ĉinion, sub la ŝajno de sia propra evoluo.
Do, ni rigardu la faktojn: Ili alportis al ni fotilon "VisorJet Smart Bullet", el hejma - ĝi havis skatolon kaj QC-akceptfolion (:-D), interne estis tipa ĉina modula fotilo bazita sur la Hisilicon 3516 pecetaro.
Farinte firmware-forĵeton, rapide evidentiĝis, ke la vera fabrikanto de la fotilo kaj firmware estis certa firmao "Brovotech", kiu specialiĝas pri provizado de personigitaj IP-fotiloj. Aparte, mi indignis pro la dua nomo de ĉi tiu oficejo "» estas mallerta falsaĵo de la nomo de la firmao Ezviz, b2c filino de unu el la mondgvidantoj Hikvision. Hmm, ĉio estas en la plej bonaj tradicioj de Abibas kaj Nokla.
Ĉio en la firmvaro montriĝis norma, senpretenda en la ĉina:
Dosieroj en la firmvaro
├── alarmo.pcm
├── bvipcam
├── cmdserv
├── daemonserv
├── detektas
├── tiparo
├── lib
...
│ └── libsony_imx326.so
├── restarigi
├── start_ipcam.sh
├── sysconf
│ ├── 600106000-BV-H0600.conf
│ ├── 600106001-BV-H0601.conf
...
│ └── 600108014-BV-H0814.conf
├── system.conf -> /mnt/nand/system.conf
├── versio.konf
└── www
...
├── emblemo
│ ├── elvis.jpg
│ └── qrcode.png
De hejma fabrikanto ni vidas la dosieron elvis.jpg - ne malbona, sed kun eraro en la nomo de la kompanio - se juĝante laŭ la retejo ili nomiĝas "elvoj".
bvipcam respondecas pri la funkciado de la fotilo - la ĉefa aplikaĵo, kiu funkcias kun A/V-fluoj kaj estas retservilo.
Nun pri truoj kaj malantaŭaj pordoj:
1. La malantaŭa pordo en bvipcam estas tre simpla: strcmp (pasvorto, "20140808") && strcmp (uzantnomo, "bvtech"). Ĝi ne estas malfunkciigita, kaj funkcias per ne-handikapita haveno 6000
2. En /etc/shadow estas senmova radika pasvorto kaj malfermita telnet-haveno. Ne la plej potenca MacBook krud-devigis ĉi tiun pasvorton en malpli ol horo.
3. La fotilo povas sendi ĉiujn konservitajn pasvortojn per la kontrolinterfaco en klara teksto. Tio estas, alirante la fotilon per la malantaŭa protokolo de (1), vi povas facile ekscii la pasvortojn de ĉiuj uzantoj.
Ĉiujn ĉi manipuladojn mi persone faris — la verdikto estas evidenta. Tria-nivela ĉina firmvaro, kiu eĉ ne povas esti uzata en seriozaj projektoj.
Cetere, mi trovis ĝin iom poste — en ĝi ili faris pli profundan laboron pri studado de truoj en fotiloj de brovotech. Hmmm.
Surbaze de la rezultoj de la ekzameno, ni skribis konkludon al ELVIS-NeoTek kun ĉiuj faktoj malkovritaj. Responde, ni ricevis bonegan respondon de ELVIS-NeoTek: "La firmvaro por niaj fotiloj baziĝas sur la Linuksa SDK de la regila fabrikanto HiSilicon. Ĉar ĉi tiuj regiloj estas uzataj en niaj fotiloj. Samtempe, nia propra programaro estis evoluigita aldone al ĉi tiu SDK, kiu respondecas pri la interago de la fotilo uzante protokolojn de interŝanĝo de datumoj. Estis malfacile por la testaj specialistoj ekscii, ĉar ni ne disponigis radikan aliron al la fotiloj.
Kaj kiam oni taksas ekstere, oni povus formi eraran opinion. Se necese, ni pretas pruvi al viaj specialistoj la tutan procezon de produktado kaj firmvaro de fotiloj en nia produktado. Inkluzive montrante parton de la firmware fontkodoj."
Nature, neniu montris la fontkodon.
Mi decidis ne plu labori kun ili. Kaj nun, du jarojn poste, la planoj de la kompanio Elvees produkti malmultekostajn ĉinajn fotilojn kun malmultekosta ĉina firmvaro sub la masko de rusa disvolviĝo trovis sian aplikon.
Nun mi iris al ilia retejo kaj malkovris, ke ili ĝisdatigis sian vicon de fotiloj kaj ĝi ne plu aspektas kiel Brovotech. Ve, eble la infanoj rimarkis kaj korektis sin - ili faris ĉion mem, ĉi-foje honeste, sen lika firmvaro.
Sed, ve, la plej simpla komparo "Rusa" fotilo donis rezultojn.
Do, renkontu la originalon: fotiloj de nekonata vendisto mejlo.
Kiel ĉi tiu mejlopunkto estas pli bona ol brovotech? De sekureca vidpunkto, plej verŝajne, nenio - malmultekosta solvo por aĉeti.
Nur rigardu la ekrankopion de la interreta interfaco de la mejlovojaj kaj ELVIS-NeoTek fotiloj - ne estos dubo: la "rusaj" VisorJet fotiloj estas klono de la mejlaj fotiloj. Ne nur la bildoj de la retaj interfacoj kongruas, sed ankaŭ la defaŭlta IP 192.168.5.190 kaj la fotildesegnaĵoj. Eĉ la defaŭlta pasvorto estas simila: ms1234 vs en123456 por la klono.
Konklude, mi povas diri, ke mi estas patro, mi havas infanojn en la lernejo kaj mi estas kontraŭ la uzo de ĉinaj fotiloj kun lika ĉina firmvaro, kun trojanoj kaj malantaŭaj pordoj en ilia edukado.
fonto: www.habr.com