Pull to refresh

Comments 126

Trojan.Winlock наша беда, нигде он так не популярен на в странах бывшего СНГ.
Winlock в большинстве случаев не детектится антивирусами, т.к. не имеет вирусных механизмов в традиционном смысле. Защититься от такой напасти можно запретив несанкционированное создание исполняемых файлов.
Социальный троян я бы сказал. Ведь пользователь заражаясь им в 90% случаев сам д… к, так как подписал лицензионное соглашение на установку этого «программного обеспечения», а в соответствии с законодательством — антивирусные компании не имеют права его удалять.
«неожиданно, но ожидаемо»
интересно как отреагируют провайдеры и какие провайдеры уже защитили пользователей от этого
Вообще, это называется фарминг-атака. Про использованием ложного DCHP-сервера здесь расписано подробно: av-school.ru/article/a-107.html
Я имел ввиду использование ipv6 для этих целей и собственно что сделали и будут делать провайдеры с этим ipv6 трафиком
Провайдеры должны пользовать VLANы
А при чем тут вланы? Тут нужные acl'ы которые будут на доступе резать ipv6 dhcp пакеты, а такое не каждый аксесс свич умеет.
ИМХО это не корреrтно. Я может хочу поработать с соседом по лестничной площадке по ipv6 :)
Другое дело что н-р у нас вроде прописано что ipv4 only :)
Ну… хотеть — это дело другое :)

Я от провайдера хочу в первую очередь безопасность от соседей на «последней миле». Мой как раз режет вланами весь траф, т.е. никаких туннелей, но видится только шлюз.

По-моему самое простое и самое практичное решение.
Ужас-ужас. Используйте нормальные DNS серверы. Вот выдержка из инструкции:

The Google Public DNS IP addresses (IPv4) are as follows:
8.8.8.8
8.8.4.4
The Google Public DNS IPv6 addresses are as follows:
2001:4860:4860::8888
2001:4860:4860::8844

code.google.com/speed/public-dns/docs/using.html
Не панацея. Если фальшивый DHCP в провайдерской сети пришлет вам не только подмененный DNS, но еще и подмененный Gateway, то уже не поможет ни разу.
Да ладно бы просто не панацея. Медленно, до 8.8 где-то 250 мс, до 4.4 — около 140 мс. Центральная Россия.
и? после первого запроса запись кэшируется.
UFO just landed and posted this here
До сих пор существуют провайдеры блокирующие и перенаправляющие исходящий dns трафик на свои dns сервера
опа! а как тогда проверить КТО мне отрезолвил?
если машина в домене, то днс сервер должен резолвить местные сервера, о которых гугл естественно не знает :(
Если машина в домене, то вконтакте должен быть закрыт на корпоративном прокси ;)
есть компании не считающие своих работников тупым планктоном, зря получающим зарплату.
если работник выполняет свой объем то надо нагрузить его еще можно открыть доступ к соцсетям
Есть компании, делающие игры для вконтактов и фейсбуков, чьи сотрудники целый день принудительно тупят в этих сирани социалках.
Предположу что такой способ работает только в случае если машине напрямую подключена к сети.
Если же используется роутер, то я ещё не слышал о роутерах с нормальной wan поддержкой ipv6.
На dd-wrt поднимается без особых напрягов 6to4. Но тут опять же дело в том, что требует наличия dd-wrt, что не есть стоковая прошивка
Поднимается сознательным усилием владельца. Обычно, если владелец это делает — то он представляет хотя бы, для чего он это делает.
Практически классический Man In The Middle.
Но зайти на настоящий Вконтакте невозможно.

Хм, а если использовать реальный IP-адрес ресурса?
Пробовал писать в drivers/etc/hosts реальный адрес vkontakte — это не помогает. Получается, что у протокола IPv6 приоритет перед IPv4.

А зайти через IP-адрес в строке браузера не пробовал. У меня к этому какое-то внутреннее предубеждение, возникшее после того, как я научился создавать на одном IP несколько разных виртуальных сайтов. В этом случае будет ошибка хостера, он же не знает какой из виртуальных сайтов следует грузить. Не думаю, конечно, что Вконтакте хостится одновременно еще с кем-то, но как быть с другими подобными сайтами?
да можно через telnet проверить, протокол-то несложный
На хабре определенно был топик с описанием этой атаки (тогда еще потенциальной). Но найти его сейчас почему-то не удается.
Интересно было бы отловить вживую вирус, который приводит к этой атаке. Скорее всего он написан под Linux. Потому что только там легко манипулировать с DHCP/DNS серверами, они же все в исходниках.
Это может быть как и специально написанная и запускаемая злоумышленником программа, так и функция какого-то ботнета, и пользователь может не знать что является DHCP сервером. Если есть возможность отловите DHCP сервер и сообщите провайдеру об этой проблеме. Хотя как показывает практика это неблагодарное дело в нашем обществе…
Отловить левый DHCP не так сложно — в ipconfig -all виден и ip DHCP сервера
С технической стороны проблем нет, есть куча способов узнать компьютер на котором поднят DHCP. Скорее проблемы организационного плана, т.к. компьютер не принадлежит автору.
Да, тут только к провайдеру. Да и ip, на котором сверкает левый сервер — тоже может иметь незарегистрированный у провайдера адрес. Если уж виланов нет, то и ip-mac port binding тоже лесом мог пойти.
Врядли это под Linux. То есть написать кроссплатформенно DHCP на перловке с питонами ваще ни разу не проблема, но открыть 67 порт без прав рута кагбе невозможно. А его получать… Ну, вобщем, проще заплатить пять баксов за виндовый ботнет.
Да, интересный случай. Однако «до кучи» спрошу, а запись о местоположении hosts в реестре проверили?
Совсем недавно была такая же проблема на компьютере директора, причем деньги вымогались как в вконтакте так и в одноклассниках. Сразу подумал о файле hosts открыл его в FAR'е, посмотрел, вроде пусто, на первый взгляд, а потом смотрю файл содержит 24 тысячи строк, понятное дело замочил файл и создал новый с правильной, единственной записью (времени разбираться и листать весь этот файл не было, хотя надо было скопировать). После этого все вылечилось.
У вашего провайдера незавиланеный порт? Тогда мы идем к вам!
Так вы сами виноваты что подключаете компьютер в общую локальную сеть. Винда изначально делалась для корпораций и потому «доверяет», если можно так выразиться, собратьям по сети. даже в ИЕ существует отдельная зона — для интранета, с повышенным уровнем разрешений.

Хотя в MacOS и Linux (Убунту по крайней мере), тоже по дефолту включен режим «доверять локальному неподписанному DHCP-серверу». Вот она, хваленая защищенность линукса, на деле фикция.
UFO just landed and posted this here
А причем там IPv6? И какой такой DHCP, который на нем пострен?
Лишние DHCP-сервера, которые отдают правильные адреса, маску сети, шлюз и неправильный DNS — не новость как минимум. Обнаружить их да, весьма сложно, ибо внешне у клиента ничего не меняется. Решение — dhcp shooping, или acl на портах доступа.

Может быть, у соседа из-за кривости рук подключение к Интернету расшарилось само в себя, и на его компьютере поднялся Router Advertisement с анонсом адресов из его 6to4 блока. Но вряд ли там идет какой-то mitm, обычно такая ситуация может существовать достаточно долго без особого вреда.
Если бы сотовые компании не продавали короткие номера всем подряд, «развод» заметно усложнился бы.
продавать продавали — если б дрючили как следует.
Так вон, Билайн аж на 36 000 оштрафовал ФАС.
Билайн оштрафовал ФАС? :D
Может быть, всё-таки ФАС оштрафовала Билайн?
На самом деле фраза построена правильно, только Билайн и ФАС не склоняются, поэтому получается парадокс.
Фраза не построена правильно. ФАС — это служба, а служба — она женского рода.
А тут как ни крути. Билайн оштрафовала ФАС или ФАС оштрафовала Билайн. Что там компания, что там — служба.
Если писать «компания Билайн» — тогда да. А если приписки «компания» нет, то «Билайн» выглядит вполне мужским родом и потом это может быть и «ОпСоС Билайн» (он) и «СМИ Билайн» — (оно).
«МКАД» тоже звучит как мужской род, но будет женского.
Именно. Ведь МКАД — это аббревиатура.
Это у вас бит в запросе перевернулся?
Может в вашей локальной сети не 1 dhcp сервер? Тогда тот, который раздал вам настройки первым (а это может быть dhcp злоумышленника) — от того вы и примите настройки.
есть 2 варианта для решения проблемы: Линукс и Dr. Web. Сам еще с полгода назад Dr. Webом лечил свой ХР от этого вируса. По сабжу, вирус действительно хитрый, даже через Safe Mode не было видно замены hosts.
Ой ну точно, Dr. Web таки пролезет по запутанным каналам с витухой до провайдерского сервера с DHCP и сразу его вылечит, что ж мы сразу не догадались все? Да и линуксом такую фишку провернуть как два пальца.
А подмены на локальном компе и не было. Никакой DrWEB не отследит, каким DHCP-сервером вашей машине выданы настройки протокола. И насколько правильные.
Интересно, если я отправлю этот смс, смогу ли я вернуться к одноклассникам и к вконтакту?
Если нет, то мошенников нужно привлечь еще и за жестокое обращение с домашними животными.
Ну да, а троллей вообще кастрировать (если вообще есть что)!
Не зазнавайтесь, я не о хакерах.
Мошенники теряют деньги на том, что при отправке смс не лечат компьютер.
Как-то у моей подруги спросили про WinLock: «Я смс отправила, а почему ничего не происходит?»
Она все объяснила и комп вылечила. И теперь, когда та, что отправила смс, снова схватит WinLock, то она сразу позвонит моей подруге и, естественно, ничего не отправит.
Но, если бы смс сработала, она бы просто продолжила сидеть в контактике и в следующий раз её первым действием была бы отправка смс.
Тогда нужно в ответ что-нибудь слать, с кодом авторизации, например. На всех денег не напасешься ;)
Дык это бизнес краткосрочный. Может уже всех накрыли или сами разбежались, а вирус все еще гулял по интернету)
А если обязательный и единственный вариант? Т.е. только по https. У меня ощущение что мне не удасться получить сертификат для чужого домена, не?
UFO just landed and posted this here
Я думаю, что сообщение на странице якобы вконтакта не было врезано отдельным скриптом, вся эта страница, скорей всего — поддельная. Так что ну соединитесь вы с сервером злоумышленника без mitm угроз — вам от этого легче станет?
Если пользователь знает что контакт _всегда_ работает по защищенному соединению — должно помочь.
Все это замечательно, применение https могло бы (в теории) решить целый ряд проблем безопасности, но на практике есть следующие вопросы:
1) Как вы думаете, какой процент пользователей знают что такое «защищенное соединение» https и кого конкретно и от чего конкретно и как конкретно оно «защищает»?
2) Какой процент пользователей знает какую роль играют сертификаты в установлении https-соединения? И какой процент пользователей при этом обращают внимания на валидность-невалидность проверки сертификатов посещаемых сайтов?
3) Какой процент пользователей при этом знают какие сайты могут работать по https, какие не работают, а какие всегда работают и должны работать только по https?
4) Какой процент пользователей обратит внимание на то, работает ли данный сайт в данный момент по https или по http?
5) И наконец, последний вопрос. Как вы думаете, если на главной странице Вконтакта сам Дуров лично напишет большими красными буквами «Внимание, Вконтакт работает всегда только по https», какой процент пользователей поймет что это вообще значит и что из этого следует?
Согласен со всем перечисленным. Я исходный коммент написал больше для этой дискуссии. чем как вариант решения проблемы.
поэтому есть class 3 сертификаты, которые в браузерах подсвечиваются зелененьким
Миллионы пользователей на ваш коммент просто дружным хором ответят: «Да оно, наверное, просто так, ДЛЯ КРАСОТЫ, зелененьким-то подсвечивается». Или вы всерьез верите, что много людей, кроме вас, знает про какие-то там непонятные class 3 сертификаты? Это и называется человеческий фактор в безопасности.

P.S.: Если сомневаетесь в моих словах насчет человеческого фактора, попробуйте провести «тотальное внедрение https» на каком-нибудь веб-сервисе хотя бы с десятком тысяч пользователей… Интересно, получится ли это у вас? ;) А потом вы скажете, реально ли это сделать «в масштабах Вконтакта».
Это точно, и еще столько же мильенов на явное, русским по-белому предупреждение «Сертификат не тот! Сайт поддельный! Это опасно!» нажмут кнопку «все равно продолжить».
К сожалению.
UFO just landed and posted this here
Да их столько самописных или не подписанных сертификатов. Даже и не помню когда в последний раз браузер пустил сразу, без предупреждения.
Даже и гугл и то, в течении нескольких месяцев не мог заменить истекщий сертификат.
И при такой привычке, нажимать несколько кнопок, чтобы довериться сертификату, юзеры просто не обратят на это внимание.
И вопрос же не в воровстве данных, а в том, что вас не пускают на ресурс.
Т.е. вы предлагайте вконтакту запретить соединения по http?
Это я к тому, что в вопросах безопасности человеческий фактор — почти всегда ключевой фактор. Особенно когда это не просто «человеческий фактор», а «массовый человеческий фактор».
в домене можно посмотреть что там в https внешне незаметно для юзера (подменой сертификатов)
DHCP или просто route announce от «возомнившего себя маршрутизатором» компьютера?
Тут — это где? В RA предусмотрены расширения, позволяющие сказать адреса DNS.
Винда (7) культурно спрашивает, к какой сети ее подключили — к домашней, рабочей, или публичной. Кто-то, видимо, решил не читать описания каждой из них, и выбрал домашней :)
А что, кроме шаринга ресурсов, меняет статус «рабочей» или «общественной» сети?
В любом случае, отследить корректность настроек, выданных автоматически, нечему.
Пока создателям этой штуки не будет светить реальный срок, это будет продолжаться.
Продолжаться это будет пока хомяки будут смс слать. Угроза реального срока тут врятли кого остановит
Пост-детектор неграмотных юзеров. Половина комментов написано какими-то школьниками. Ещё раз: скорее всего вируса никакого нет, просто провайдер не позаботился о том, чтобы распределять пользователей в отдельные VLAN дабы небыло возможности осуществлять подобные вещи. У нормального провайдера не должно быть возможности подмены/добавления DHCP сервера из пользовательской сети.
Так же есть вариант №2: вирус есть, он и является реализацией того самого DHCP на локальной машине, который ей же и выдаёт ipv6 адрес и подменный днс (который кстати может быть прямо там же реализован).
Еще есть вариант №3 — DHCP-сервер провайдера скомпрометирован и контролируется злоумышленниками.

З.Ы. Про пост-детектор верно сказано.
№4 Скомпрометирована беспроводная (или не очень) точка доступа.
Там и изобретать ничего не надо, всё готово к рыбалке.
На Хабре, к стати, кто-то, не так давно, помнится, поминал это дело, но был не понят местными кул-хацкерами. И слава Богу! Масштабы распространения уязвимости огромны, а для её эксплуатации много ума не надо.
Что-то я не понял прикола с одноранговыми сетями. Одноранговой сетью можно назвать небольшую сетку предприятия до 30 машин, много там не на фармишь. Большие сети так же имеют виланы и сисадминов, которые следят за такими вещами.
Будете смеяться, но вот прямо сейчас, корпоративная сеть, международной фармацевтической корпорации, причём с очень серьёзным «RD-как основа бизнеса», и «повышенным уровнем безопасности».
Всё свалено в кучу, даже контроллер домена ОДИН на весь мир.
Вы уверены что не разглашаете никакой тайны этим сообщением? :) Но к сожалению такое тоже часто встречаю.
Уверен, ибо даже если бы разглашал, их юристы не далеко ушли от их админов :-)
Мы живём в век тотальной безграмотности, и с одной стороны, это не так уж и плохо, а с другой не хотелось бы оказаться на операционном столе у столь же «компетентных» специалистов медиков, того и гляди круг кровообращения «оптимизируют».
Я вот не помню — есть ли в домашних версиях винды встроенная dhcp-служба? Тогда можно было бы ее активировать и самоудалиться, никакой антивирус ничего не найдет.
Есть. Если расшарить подключение к интернету на локальную сеть — машина начнет раздавать настройки интернета клиентам в локалке.
UFO just landed and posted this here
Антивирус может заметить что сменилась arp запись шлюза, и запаниковать оповестить пользователя, может заметить что сменился dhcp сервер и опять же оповестить.
Противодействовать не сможет конечно, но атаку остановить — легко. Outpost старенький не раз спасал, когда провайдера колбасило лет 5 назад.
Только вот на все вопросы в поддержку первые пару месяцев провайдер рекомендовал мне выключить антивирус раз он так странно себя ведет. А когда из-за вирусов легла вся сеть — зашевелились.
UFO just landed and posted this here
А что, теперь антивирус это истина в последней инстанции? Никто не пробовал найти тело вируса (хотя бы по дате последних изменений) и вручную чистить реестр? Конечно нужен багаж знаний поболее, чем простое умение запуска антивируса.
Для этого нужен багаж знаний. Да и ручками чистить не камильфо… еж специальные утилиты который работают в полуавтоматическом режиме.
Судя по копирайту "© 2006-2009" на фишинговой странице, она уже как минимум 2 года приносит доходы своему создателю.
У вируса не всегда бывает тело, к которому применимо понятие даты последних изменений.
Мне вот давеча boot-rootkit попался, фишерский, причём самое занятное, что приходил он со скомпрометированных скидочных сервисов, с жёлтым кодом. Ну вы подумайте, какой шикарный таргетинг жертв, ведь ЦУ этих сайтов платят электронными деньгами, проверяют счета итд\итп…
У меня даже возникли смутные сомнения относительно того, был ли сайт скомпрометирован или это задумка такая ;-)
Красивая атака, ничего не скажешь.

Вирус, поднявший ложный dhcp мог бы еще включаться-выключаться в определенные промежутки времени. К примеру, стартует в 8 вечера или по выходным, когда у провайдера большинство квалифицированных админов по домам сидят и в офисе лишь саппорт, который с гораздо меньшей вероятностью смог бы проанализировать ситуацию.
Можно еще анализировать большая ли это сетка и в зависимости от этого изменять свой интервал активности.
Много интересных вещей можно придумать.
Может это админ провайдера придумал? А почему бы и нет? Поднял левый DHCP сбоку, поотключал лишнее на провайдерском железе, настриг бабла, DHCP вырубил.
Да, это именно это. По ссылке написано 0-day, дата апрель 2011.
Интересно, а на сегодняшний день в Windows 7 со всеми патчами эта угроза существует?
Sign up to leave a comment.

Articles