Pourquoi elle serait forcément de moins bonne qualité que celle de Linux?
Quel que soit le logiciel utilisé, ne l'utilisez pas sans l'avoir fait tester par des vrais méchants du pen test. On a vu ce qu'il s'est passé avec OpenSSL, par exemple.
"Oui mais c'est Linux, tout le monde utilise ça, donc c'est forcément fiable"? J)y crois moyennement. Il y a régulièrement des mises à jour de Linux et il est rare qu'elles soient déployées sur des devices IoT (quand on arrive à avoir un kernel à jour dès la conception du device, c'est déjà pas mal. dans certains cas les fournisseurs de system-on-chip fournissent une version du noyau; qui date de la mise sur le marché du chip...).
En plus de ça, même avec une pile IP pleine de trous on est loin d'avoir un botnet. Injecter du code dans un firmware où le code ne s'exécute que depuis la mémoire flash d'un microcontrôleur, ou il n'y a pas de shell et donc aucun moyen de prendre le contrôle directement de la machine, où il n'y a pas d'interface de syscall claire entre le noyau et le reste, où les adresses de toutes les fonctions changent à chaque recompilation du firmware, je te souhaite bon courage.
(par contre, ça sera peut être facile de faire planter et rebooter le device en question. même sans en prendre le contrôle pour faire un botnet ça peut déjà bien mettre le bazar).
[^] # Re: très belle série
Posté par pulkomandy (site web personnel, Mastodon) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 2.
LWIP date de 2002, elle a donc plus de 10 ans :)
Pourquoi elle serait forcément de moins bonne qualité que celle de Linux?
Quel que soit le logiciel utilisé, ne l'utilisez pas sans l'avoir fait tester par des vrais méchants du pen test. On a vu ce qu'il s'est passé avec OpenSSL, par exemple.
"Oui mais c'est Linux, tout le monde utilise ça, donc c'est forcément fiable"? J)y crois moyennement. Il y a régulièrement des mises à jour de Linux et il est rare qu'elles soient déployées sur des devices IoT (quand on arrive à avoir un kernel à jour dès la conception du device, c'est déjà pas mal. dans certains cas les fournisseurs de system-on-chip fournissent une version du noyau; qui date de la mise sur le marché du chip...).
En plus de ça, même avec une pile IP pleine de trous on est loin d'avoir un botnet. Injecter du code dans un firmware où le code ne s'exécute que depuis la mémoire flash d'un microcontrôleur, ou il n'y a pas de shell et donc aucun moyen de prendre le contrôle directement de la machine, où il n'y a pas d'interface de syscall claire entre le noyau et le reste, où les adresses de toutes les fonctions changent à chaque recompilation du firmware, je te souhaite bon courage.
(par contre, ça sera peut être facile de faire planter et rebooter le device en question. même sans en prendre le contrôle pour faire un botnet ça peut déjà bien mettre le bazar).