Comments 140
3 момента.
1) От MITM существует такая вещь как https, на qiwi она вроде присутствует, на яндексе тоже. Поэтому проблема глыбже чем «подменили днс», проблема в том, что люди вообще не понимают основ безопасности — они бы и на vkontakt-mobile-version.com ввели бы пароль…
2) Доступ в админку роутера без острой необходимости вообще не должен даваться по вайфаю, только прямой провод.
3) На большинстве сервисов есть логи ИП, которые можно посмотреть. Поэтому не вполне понятно зачем мошенникам было палиться реально заходя на сервис, могли бы выдать ошибку и по второму разу пустить уже на корректный адрес.
1) От MITM существует такая вещь как https, на qiwi она вроде присутствует, на яндексе тоже. Поэтому проблема глыбже чем «подменили днс», проблема в том, что люди вообще не понимают основ безопасности — они бы и на vkontakt-mobile-version.com ввели бы пароль…
2) Доступ в админку роутера без острой необходимости вообще не должен даваться по вайфаю, только прямой провод.
3) На большинстве сервисов есть логи ИП, которые можно посмотреть. Поэтому не вполне понятно зачем мошенникам было палиться реально заходя на сервис, могли бы выдать ошибку и по второму разу пустить уже на корректный адрес.
1. Как вы верно подметили, кто б туда смотрел.
2. Полностью согласен.
3. Зачем они это делали понятно — узнать о кошельке больше информации. Они это могли делать и на стороне клиента, через JS, например. А вообще, раз уж они оставляют IP из своей подсети в роутерах, то их наверное не очень то волнует его сокрытие.
2. Полностью согласен.
3. Зачем они это делали понятно — узнать о кошельке больше информации. Они это могли делать и на стороне клиента, через JS, например. А вообще, раз уж они оставляют IP из своей подсети в роутерах, то их наверное не очень то волнует его сокрытие.
3) Имелось ввиду сокрытие от пользователя, во имя беспалевности и долгих лета дыры. Мы вот ходим на гмыл, есть вероятность что плюнули бы на сертификат (малая, но есть), но если бы заметили там левый ИП — точно насторожились бы.
как бы они сделали пункт 3, если подменили человеку DNS-сервер?
Так подменили-то на свой, на контроллируемый.
Ничто не мешает выставить ТТЛ днс записей в пару минут и после первого захода, считав все данные, дать команду днс серверу отдавать настоящие ИП.
Ничто не мешает выставить ТТЛ днс записей в пару минут и после первого захода, считав все данные, дать команду днс серверу отдавать настоящие ИП.
Тогда в это время сорвется с крючка другая пара-сотен «клиентов», кто отрезолвит вконтактик/киви в нормальный IP-адрес.
Не сорвётся. Разным клиентам можно отдавать разные адреса: кому-то левый, кому-то настоящий. И с любыми TTL и прочими атрибутами.
Во-первых, трэкать клиентов придется, кому когда и какой отдали IP-адрес, во-вторых, сами себя задудосят (с) с TTL = 0 или близком к тому. Плюс, опять же, надо быть уверенным к тому, что клиентский софт (браузер в данном случае) не будет еще и сам дополнительно кешировать, то есть соблюдать TTL. В общем, шибко много если и есть риск не затащить нагрузку.
Проще уж wifi сеть сразу сделать скрытой.
И с фильтрацией по MACу, ага.
У меня домашняя wi-fi так и настроена. Собственно, первое, что сделал, обзаведясь домашней точкой — сменил пароли (и админский, и пользовательский), сменил SSID, пароль для подключения, задал ограничения по макам и отключил вещание SSID. Настройку поставил возможной только с одного из локальных портов. От всех проблем не спасёт, но значительно сократит их возможный перечень.
Это, скорее, для самообманауспокоения. Хорошего пароля и отключения WPS обычно достаточно.
Тем более в статье не Wi-Fi для атаки использовался.
Тем более в статье не Wi-Fi для атаки использовался.
С отключеным вещанием SSID бывают глюки у разных девайсов, да и батарейка, возможно, будет разряжаться быстрее т.к. телефон тот же будет периодически пытаться подключиться к невидимой сети.
Проблема еще в том в 99,999% случаев все идет как надо, годы идут и все в порядке. Сотни раз ходишь и все значки на месте — тут любого задолбает каждый раз на них внимательно пялится. А в один прекрасный момент — опа! А ты уже за 0,3 секунды привычным высокопрофессиональным движением руки успел вбить свой крутой пароль. Я не ленюсь проверить что в адресной строке только если сервис всегда пускает по куке, а тут я вдруг разлогинен. Но это не важные сервисы как раз, а если подменили ДНС и верстка в полном порядке, а киви/пэйпал/т.п. каждый раз просят пароль — то и на хабре попадется значительная доля, хотя эти сервисы и позаботились чтобы у них сертификат зеленым отсвечивал.
Я бы очень хотел (а может есть?) плугин который бы помнил про все мои сайты «как должно быть» — сертификат+айпи. И при изменении этих параметров жирно предупреждал. Впрочем и это не спасет если не заметил что попал на vk1.com…
Я бы очень хотел (а может есть?) плугин который бы помнил про все мои сайты «как должно быть» — сертификат+айпи. И при изменении этих параметров жирно предупреждал. Впрочем и это не спасет если не заметил что попал на vk1.com…
lastpass спасает часто в таких случаях (меня кстати пару раз спас), но если свёрстано всё один в один и подменили DNS запись — то тут кто угодно попасться может.
Вот тут в тред врывается аутентификация по клиентским сертификатам (для ssh — ключам). Не подделаешь такую и пароль никакой не светишь в процессе, поскольку пароль вообще не используется (используется диалог ввода ключа для расшифровки сертификата, который не получится подделать).
Например, так сделано на StartSSL. При регистрации локально на компьютере пользователя создаётся пара ключ-запрос, запрос посылается на сервер и там подписывается, назад возвращается сертификат. Пара ключ-сертификат и устанавливается в браузер, а впоследствии используется для аутентификации.
Для реализации подобного сервису необходимо либо стать публично-известным ЦС, либо доверять стороннему ЦС (тому же startssl), либо требовать от пользователей установки своего корневого сертификата в браузер.
Например, так сделано на StartSSL. При регистрации локально на компьютере пользователя создаётся пара ключ-запрос, запрос посылается на сервер и там подписывается, назад возвращается сертификат. Пара ключ-сертификат и устанавливается в браузер, а впоследствии используется для аутентификации.
Для реализации подобного сервису необходимо либо стать публично-известным ЦС, либо доверять стороннему ЦС (тому же startssl), либо требовать от пользователей установки своего корневого сертификата в браузер.
> диалог ввода ключа для расшифровки сертификата
имелось ввиду «для расшифровки секретного ключа от сертификата»
имелось ввиду «для расшифровки секретного ключа от сертификата»
Для реализации подобного совершенно не обязательно, чтобы клиент доверял своему же сертификату, главное — чтобы его мог проверить сервер. Так что никакого своего ЦС делать не надо, как и доверять сторонним.
Т.е. вариант «увели ваш личный клиентский сертификат» вы не рассматриваете в принципе?
От MITM https не спасет, если подменем DNS ибо до этапа установления https просто не дойдет дело, доменное имя будет разрешено на другой IP, и даже если предположить, что клиент может заметить, что сервис перестал быть https, мошенники могут подстраховаться и сделать свой https на своем сертификате, легитимном и доверенном.
ISPsystem оповестили о таком клиенте?
И да, жаль, что народ в большинстве своем не обращает внимание на наличие или отсутствие замочка в адресной строке.
И да, жаль, что народ в большинстве своем не обращает внимание на наличие или отсутствие замочка в адресной строке.
Нет, не оповестил. Как то не догадался. Да и на надо ли?
Если Ваша цель победить злых хакеров — надо.
Идиоты-хакеры выставившие admin/admin вполне могли заходить со своего домашнего IP, а в управлении К совсем не идиоты сидят.
Идиоты-хакеры выставившие admin/admin вполне могли заходить со своего домашнего IP, а в управлении К совсем не идиоты сидят.
Для меня это все в новинку, никогда не занимался подобным. Так что даже не знаю, куда именно писать.
управлении К совсем не идиоты сидят
Кстати, вы интересную тему подняли. Этим мудрым людям нужно основание, чтобы начать шевелится. Абуза провайдеру — не основание. ISP должен пнуть свой юридический отдел, который в свою очередь должен написать мудрое заявление в отдел К, мол вот смотрите мой абонент занимается противозаконной деятельностью. Учтите, что в 99% процентов случаев противозаконной деятельностью занимается не сам абонент, а вирус на его машине. Теперь представим себе серьезного дядю из отдела К, к которому лично пришел серьезный дядя из юридического отдела провайдера, с заявлением о том, что у его абонента вирус!
И вопрос по конкретному случаю автора. Что ему нужно сделать, чтобы данное конкретное преступление начало расследоваться?
угу. а потом будет как в историях про арест нашедшего чужой телефон, который он хотел вернуть хозяину.
Печальные реалии отбивают желание контактировать с милицией
Печальные реалии отбивают желание контактировать с милицией
Что ему нужно сделать, чтобы данное конкретное преступление начало расследоваться?
Написать заявление в милицию или прокуратуру. Статья 156.9 УК РФ «Мошенничество в сфере компьютерной информации» является статьёй публичного обвинения (в данном случае вроде как) и возбудить уголовное дело должны по заявлению от любого лица. ВОт только есть нюанс со входом в Киви — не уверен, что это действие правомерно и автор сам не нарушил закон.
Вне зависимости от входа в Киви необходимо помнить, что владельцев подставных сайтов нужно еще искать, а автор вот он, сам пришел и 272-я статья УК РФ к его заявлению полностью подходит ибо: «1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».
Ну да, он же ещё и скопировал к себе, да выложил в паблик. Ну тот может сработать то, что делал он это в целях правоприменения, изобличения преступников, а не с умыслом на противоправные действия.
По духу закона он не виновен, но кто-ж разбираться будет…
Вот именно по этому, я, все таки, откажусь, от официальных заявлений.
В чьи органы заявление Вы отказываетесь писать?
По хорошему надо начинать дрюкать провайдера. Тем более что ответа на абузу не было, а это не вежливо.
Но опять таки — если окажется что клиент был взломан, то дальше уже кто будет копать? Интерпол? Вот реально кто тут крайний? Мне не сложно написать заявление если мне точно укажут куда писать и хоть чуток посоветуют что писать. Тем более что у меня есть множество мелких косвенных аргументов в пользу того что провайдер не совсем белый и пушистый в этом вопросе. Есть смутное ощущение что они торгуют проксями и тому подобными «серыми» вещами.
По хорошему надо начинать дрюкать провайдера. Тем более что ответа на абузу не было, а это не вежливо.
Но опять таки — если окажется что клиент был взломан, то дальше уже кто будет копать? Интерпол? Вот реально кто тут крайний? Мне не сложно написать заявление если мне точно укажут куда писать и хоть чуток посоветуют что писать. Тем более что у меня есть множество мелких косвенных аргументов в пользу того что провайдер не совсем белый и пушистый в этом вопросе. Есть смутное ощущение что они торгуют проксями и тому подобными «серыми» вещами.
ИМХО в любом случае да.
Как минимум, что могут сделать ISPsystem — заблочить клиента, изменить DNS и повесить заглушку с информацией о взломе и инструкцией как исправить.
Как минимум, что могут сделать ISPsystem — заблочить клиента, изменить DNS и повесить заглушку с информацией о взломе и инструкцией как исправить.
А есть вообще у кого-нибудь положительный опыт абузописательства отечественным и близким к ним ISP? Недавно стал жертвой почтоломателей. В логах около десяти айпишников из России и Украины. Написал абузы всем провайдерам. Как вы думаете сколько ответили?
Думаю, в абузе российским прован небесполезно указать, что в случае отказа будете писать жалобу на их бездействие в роскомнадзор и прокуратуру. И таки-да, не полениться и написать.
Ну дык, я не поленился и написал. Я говорю, что результата ноль и интересуюсь, есть ли истории успеха. Интересно, был ли хоть один борец с ветряными мельницами, который в такой ситуации как у автора заставил бы машину сдвинутся с места и покарать злоумышленника.
И я говорю, что не было отказа на жалобу. Вообще ни какого ответа не было. Ну и даже если ответ будет, это не обозначает каких-либо реальных санкций против злоумышленника.
Реальный пример который может попробовать каждый. Начинаем скачивать какой-нибудь популярный торрент, смотрим айпишники раздающих и пишем абузы их провайдерам, грозим роскомнадзором и прокуратурой. Противозаконная деятельность со стороны айпишников налицо. Какие по вашему мнению действия предпримет их провайдер? Почему борцы с нелицензионным контентом до сих пор не используют этот метод?
И я говорю, что не было отказа на жалобу. Вообще ни какого ответа не было. Ну и даже если ответ будет, это не обозначает каких-либо реальных санкций против злоумышленника.
Реальный пример который может попробовать каждый. Начинаем скачивать какой-нибудь популярный торрент, смотрим айпишники раздающих и пишем абузы их провайдерам, грозим роскомнадзором и прокуратурой. Противозаконная деятельность со стороны айпишников налицо. Какие по вашему мнению действия предпримет их провайдер? Почему борцы с нелицензионным контентом до сих пор не используют этот метод?
Потому, что нужно ещё доказать, что именно от этого айпишника ты получил и это именно защищённый контент, а не образ убунты в файле «унесённые ветром 2.avi». И это действительно раздавал пользователь, а не злоумышленник, получивший контроль над его компьютером.
Спасибо, кэп. Для того и пример. А в чем принципиальное отличие абузы из примера от случая автора? Как автор говорит
злодейка деятельность прекратил.
Сейчас там расположена ненормативная лексика
злодейка деятельность прекратил.
Случай со списком адресов — это ничего. Список имён, если хотите. Откуда он взялся? Чёрт его знает.
Другое дело — свершившееся событие, которое должно было быть залогировано у провайдеров во всяких СОРМах.
Другое дело — свершившееся событие, которое должно было быть залогировано у провайдеров во всяких СОРМах.
которое должно было быть залогировано у провайдеров во всяких СОРМах
Потому, что нужно ещё доказать, что именно от этого айпишника ты получил и это именно защищённый контент, а не образ убунты в файле «унесённые ветром 2.avi»
Вы уж определитесь. А то так и будем по кругу ходить. Злодейство против автора, неким образом все-же эквивалентно раздаче пиратского контента. И то и то — преступления. Оба они свершились. Почему на жалобу по поводу первого провайдер должен оперативно отреагировать, а жалобу по поводу второго — проигнорировать.
Сижу исключительно через OVPN и с статичными DNS 8.8.8.8/8.8.4.4
176.102.38.39
Как жаль, что я вычЕслен =( =( =(
А вы молодец!
Кстати, что насчёт меня — если нужно настроить роутер для кого-то, кто является моим знакомым и у кого компьютерами занимаюсь только я — ставлю TP-Link WR740N с OpenWRT, причём без LuCI. Затем пару строчек в конфигах — и всё готово =) Не глючит, непрошибаемо (с нормальным паролем, конечно) и недорого.
У меня странный рутер (от провайдера) — он не сохраняет изменения пароля.
Так-то я попытался сразу сменить после установки.
Поныне изменений конфигурации рутера ни разу не обнаруживал, левых клиентов тоже.
Пойду-ка я на пчелайн.
Так-то я попытался сразу сменить после установки.
Поныне изменений конфигурации рутера ни разу не обнаруживал, левых клиентов тоже.
Пойду-ка я на пчелайн.
А там где-то в настройках, есть урл некий, его если изменить то все потом будет хорошо )
Не понял. o_0
Покопайтесь в настройках роутера, там будет параметр с урлом, на какой-то сервер. Не помню точно, как оно звучит). Если его изменить на локалхост, то после этого настройки сбрасываться не будут.
DDNS: ISP=dyndns.org, не редактируется, только выбирается. Другие значения gnudip, tzo, ods
NTP: Time Server=time.nist.gov
Других урл и белых IP в настройках нема.
NTP: Time Server=time.nist.gov
Других урл и белых IP в настройках нема.
Есть такая штука — TR-069, которая позволяет провайдеру управлять вашим оборудованием. Теоретически создано это для удобства: вам дают железку, а настраивать вам ничего не надо, в лучшем случае — через панель управления у провайдера (который потом сформирует конфиг для вашей железки и зальёт на неё).
То, что описано в вашем случае — очень похоже, так что ищите настройки в личном кабинете.
То, что описано в вашем случае — очень похоже, так что ищите настройки в личном кабинете.
Подобный косяк наблюдался у D-Link DSL-2640 c одной из версий прошивки «из коробки». Не Ваш случай?
Только что случилось невероятное. Я наконец решил сменить пароль на роутер, но проблема была в том, что когда специалист компании его устанавливал, я не спросил логин с паролем. Так что я запустил чат с техподдержкой и спросил как мне сменить пароль к роутеру. Специалист попросил зайти по адресу 192.168.0.1 и ввести в качестве логина и пароля ввести admin/password. Потом он сказал мне сменить пароль к wifi. Я уточнил, что мне не надо менять пароль к вайфаю и что я хочу сменить пароль именно у роутера. Дальше у нас случился такой диалог.
Marshall Maxton: Are you referring to login password of the router's home page?
ILYA: Yes
Marshall Maxton: I understand your requirement. But trust me, if you do change the password and unfortunately forget it. It will be quite cumbersome to retrieve it. We always recommend our customers to use TWC generated password to access router's home page. This ensures complete security of your wireless Internet set up.
ILYA: You can't be serious :) Time Warner specialist who is recommending to leave admin/password?
Marshall Maxton: Yes, that's correct!!!
ILYA: That's always the first thing to do: change standard password.
В конце он еще добавил, что если я непременно хочу сменить пароль к роутеру, то мне надо позвонить по телефону техподдержки или создать тикет. На этом я с ним уже попрощался.
Marshall Maxton: Are you referring to login password of the router's home page?
ILYA: Yes
Marshall Maxton: I understand your requirement. But trust me, if you do change the password and unfortunately forget it. It will be quite cumbersome to retrieve it. We always recommend our customers to use TWC generated password to access router's home page. This ensures complete security of your wireless Internet set up.
ILYA: You can't be serious :) Time Warner specialist who is recommending to leave admin/password?
Marshall Maxton: Yes, that's correct!!!
ILYA: That's always the first thing to do: change standard password.
В конце он еще добавил, что если я непременно хочу сменить пароль к роутеру, то мне надо позвонить по телефону техподдержки или создать тикет. На этом я с ним уже попрощался.
Не говоря уже о том, что нажатие кнопки reset сбрасывает и пароль и все настройки.
Видимо, товарищам из техподдержки лень ходить к пользователю, забывшему пароль на роутер, поэтому они предпочитают чтоб никто пароли не менял :))
Видимо, товарищам из техподдержки лень ходить к пользователю, забывшему пароль на роутер, поэтому они предпочитают чтоб никто пароли не менял :))
Если вы смените пароль с QNS^at7\ на 111, скорее всего, это понизит степень вашей защищенности. Это я вам объясняю позицию Marshall Maxton.
Я почему-то уверен, что «TWC generated password» не равно admin/admin
Я почему-то уверен, что «TWC generated password» не равно admin/admin
UFO just landed and posted this here
Ну мне на дефолтные сбрасывать не хотелось, я бы кнопкой reset для этого мог воспользоваться. Кстати, как через Google + сбрасывать, я ничего такого не слышал и сам Гугл по такому запросу ничего не выдает.
Я, кстати, сразу после установки попробовал admin/admin как у меня в Москве всегда было, но он не подошел и я решил, что тут устанавливаются сложные пароли и забыл про это.
Я, кстати, сразу после установки попробовал admin/admin как у меня в Москве всегда было, но он не подошел и я решил, что тут устанавливаются сложные пароли и забыл про это.
Спасибо, наконец дошли руки поменять дефолтный пароль к роутеру…
Вы модель роутера не озвучили. Интересно админка светит во внешнюю сеть по умолчанию, или друг так его настроил?
Была подобная история с локальной машиной, буквально месяц назад, брат пожаловался на инет, как позже выяснилось перед этим была установлена какая-то игруха с торрентов. Быстрая проверка конфигов сети выявила подмену днс, по умолчанию в той сети вместо адреса днс-ов должен быть адрес роутера, так он настроен, а там были левые адреса, которые кстати подменяли страницу вконтакте, остальное не проверял. Все вычистил, игруху удалил, надо бы сказать чтоб пасс вконтакте сменил, хотя что злоумышленники смогут найти на странице семиклассника?!
А зачем менять пароль кроутеру, если админка (по умолчанию) доступна только из локальной сети?
Не везде. Поверь. В последнее время — да, в роутерах админка закрыта для доступа снаружи. Год назад 90% было разрешено.
Открывают админку провайдеры, если им дать настроить роутер. Производитель не настолько опрометчив
Сам покупал роутер (ASUS RT-N10), сам ставил. Настраивать толком ничего не пришлось — роутер заработал с пол-пинка. Только спустя несколько лет поинтересовался темой защиты и ужаснулся, что все это время жил с admin/admin.
Кстати говоря, пароль-то я сменил, а вот стандартный PIN (12345670, кажется) поменять не удалось — пришлось вообще отключить WPS. Так что производитель иногда даже мешает залатать дыры :)
Кстати говоря, пароль-то я сменил, а вот стандартный PIN (12345670, кажется) поменять не удалось — пришлось вообще отключить WPS. Так что производитель иногда даже мешает залатать дыры :)
Прошивку на последнюю то обновляли?
Простите за примитивный вопрос, но сейчас тоже задумался над тем, что никогда сильно не вникал в настройки роутера.
Однако, что такое PIN код для роутера и что он дает?
Однако, что такое PIN код для роутера и что он дает?
PIN-код может использоваться в WPS. Но это небезопасно, а поскольку эта фича обязательна если используется WPS — для безопасности рекомендуется отключать WPS.
Да вообще идея WPS — бред. Какая разница, вводить PIN или WPA PSK, а если разницы нет, каким именно образом и что именно WPS упрощает?
Да вообще идея WPS — бред. Какая разница, вводить PIN или WPA PSK, а если разницы нет, каким именно образом и что именно WPS упрощает?
Как описал merlin-vrn, WPS позволяет подключиться к Wi-Fi при помощи PIN — восьмицифрового ключа.
Что он даёт? Он позволяет взломать Wi-Fi за 10 часов на большинстве роутеров, где включена эта технология :)
Ну или и вовсе за несколько секунд, если у Вас не просто включен WPS, а еще и стоит один из заводских пинов.
Что он даёт? Он позволяет взломать Wi-Fi за 10 часов на большинстве роутеров, где включена эта технология :)
Ну или и вовсе за несколько секунд, если у Вас не просто включен WPS, а еще и стоит один из заводских пинов.
Возможно DNS адрес был изменен с помощью вируса на компьютерах локальной сети
Объясните, пожалуйста, незнающему. Каким образом кто-то извне можно залезть в мой роутер?
Троян, например.
В настройках есть опция, может быть вы её включили.
У роутеров есть функция удалённой настройки. Если она включена, то в web-админку можно зайти не только вам, но и кому угодно, нашедшему внешний ip-адрес вашего роутера. Главное пароль подобрать.
Поэтому, если вам удалённый доступ не нужен, вы отключаете его. Если нужен, меняете логин-пароль с тех, что по умолчанию.
Поэтому, если вам удалённый доступ не нужен, вы отключаете его. Если нужен, меняете логин-пароль с тех, что по умолчанию.
Немного интересовался этим вопросом. Дело в том, что производители недорогих SOHO девайсов, что стоят у большинства пользователей не особо заботятся о безопасности. Если уделить достаточное количество времени и сконцентрироваться на конкретной модели, то получить контроль можно над любым роутером. И всякие DD-WRT и OpenWRT — не панацея. Возможны всякие двухходовки, когда мы сначала получаем доступ к локальной сети роутера через уязвимость на win-машине пользователя. Так-же роутер легче атаковать из внутренней подсети провайдера.
Но я теоретик, мне просто интересно. А тут работают практики. Деньги зарабатывают. Просто админка с паролем по умолчанию на, я так понимаю белом IP. Теоретически, даже если был бы пароль посложнее, его бы сбрутили.
Странно, что ребята просто подменяют ДНС. Я бы поделил роутеры по моделям и налил бы в них свою модифицированную прошивку. Тут уже бы автор меня не заметил и возможностей с руткитом побольше.
Но я теоретик, мне просто интересно. А тут работают практики. Деньги зарабатывают. Просто админка с паролем по умолчанию на, я так понимаю белом IP. Теоретически, даже если был бы пароль посложнее, его бы сбрутили.
Странно, что ребята просто подменяют ДНС. Я бы поделил роутеры по моделям и налил бы в них свою модифицированную прошивку. Тут уже бы автор меня не заметил и возможностей с руткитом побольше.
Господа минусующие, в чем я не прав?
Дело в том, что производители недорогих SOHO девайсов, что стоят у большинства пользователей не особо заботятся о безопасности. Если уделить достаточное количество времени и сконцентрироваться на конкретной модели, то получить контроль можно над любым роутером. И всякие DD-WRT и OpenWRT — не панацея.Описываемое в статье не касается целенаправленных атак, но только массовых атак на наиболее легкие цели.
Возможны всякие двухходовки, когда мы сначала получаем доступ к локальной сети роутера через уязвимость на win-машине пользователя.Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?
Просто админка с паролем по умолчанию на, я так понимаю белом IP.По умолчанию — только на проводном подключении к LAN-порту. К цвету IP-адресов это не имеет никакого отношения. В нормальных домашних и SOHO роутерах даже доступ к админке роутера по WiFi необходимо включать явно. Не говоря уже про доступ с WAN-порта.
Я бы поделил роутеры по моделям и налил бы в них свою модифицированную прошивку.Представляете трудозатраты на изготовление кастомной прошивки? Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?
Описываемое в статье не касается целенаправленных атак
Вообще-то в ветке спросили
Объясните, пожалуйста, незнающему. Каким образом кто-то извне можно залезть в мой роутер?
И ответ подразумевал более общий вопрос, а не контекст конкретной статьи.
Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?
Роутер включен 24 часа в сутки. На нем нет ативируса. Через него идет весь трафик пользователя. Закрепившись на нем один раз получаем знатную ноду для ботнета и попутно данные пользователя. И опять-же вопрос был о способе залезть в роутер. Имея годную защиту от внешней атаки они менее защищены из внутренней сети ( тот-же брут админки).
К цвету IP-адресов это не имеет никакого отношения.
В случае серого IP, порт админки должен быть проброшен за NAT на роутер. Чего провайдер делать не будет.
Представляете трудозатраты на изготовление кастомной прошивки? Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?
Представляю. Развернуть, впихнуть руткит, свернуть. Зависит от того, сколько моделей роутеров хочется охватить. Но возможно и займет не очень много времени.
Зачем это делать, если подмена DNS для выдачи фишинг-страницы делается щелчком пальцев?
Маленькая черная коробочка, знатная цель однако.
Отвечал теоретически, на теоретический вопрос… понятно, что в реальной жизни все проще и злодей себя особо не утруждает — у него другие цели.
Роутер включен 24 часа в сутки. На нем нет ативируса. Через него идет весь трафик пользователя. Закрепившись на нем один раз получаем знатную ноду для ботнета и попутно данные пользователя. И опять-же вопрос был о способе залезть в роутер. Имея годную защиту от внешней атаки они менее защищены из внутренней сети ( тот-же брут админки).Сильно ли антивирусы помогают машинам с установленным руткитом или, тем более, буткитом?
Почти весь «интересный» траффик шифруется ещё на хосте пользователя.
Полноценная атака на роутер, с подменой прошивки, является слишком дорогой для сколь-нибудь массового использования. Т. к. требует охвата большого количества прошивок, которые далеко не всегда легко «разворачиваются», как вы выразились. Кроме того, у пользователя могут возникнуть подозрения при сбросе настроек роутера.
В случае серого IP, порт админки должен быть проброшен за NAT на роутер.Атака может вестись из той же сети или с использованием hole punching из сети провайдера.
Чтобы не потерять нить беседы: вы утверждаете, что выраженная мной точка зрения, глупа, несостоятельна и не имеет право быть высказана ибо…
Может, но вы меня не правильно поняли. Это была небольшая часть моего комментария, где я говорил по поводу случая описанного в статье.
Но мне нравится ваш ход мысли. Более общий. Теоретический.
На самом деле, чтобы что-то утверждать, надо сначала провести исследование и говорить о процентном соотношении определенных моделей роутеров. Утверждать не могу, но думаю можно выделить десяток наиболее распространенных.
И ведь можно атаковать определенные модели. Т.е. подойти к вопросу не со стороны «есть множество роутеров, хочу подменить в них прошивку», а со стороны «есть прошивка, которую могу подменить, атаковать все модели с этой прошивкой». Тех же Dir300 сколько можно найти на просторах сети? 10-50-100 тыс.?
Вы прям объявляете невозможной атаку MITM! Согласен, как с множеством роутеров, в общем случае сложная задача, но есть частности.
Честно, не знаю. Я пользуюсь Linux. Я умею проверить целостность бинарников в системе. Если я найду у себя руткит, я обрадуюсь и это будет маленьким праздником реверсинженеринга. Но мы говорим не обо мне, а о среднем пользователе, который чаще покупает новые компьютеры, чем роутер, не говоря о соотношении смена прошивки роутера к переустановка виндоус. И думаю зря вы так об антивирусах. Есть от них хоть небольшая, но польза.
И повторюсь, я говорил теоретически о возможности атаки на роутеры. Да, они сложны и дороги. Да, есть множество машин с ZverCD WindowsXP. Да, есть человеческий фактор. Да, есть люди использующие элементарные уязвимости для наживы. Они так зарабатывают деньги, и не ищут сложных путей. Пускай. Я в своем комментарии пытался рассказать о том, что интересно мне. О возможных атаках, а не о том, что реально делают скриптошкольники. Если вы думаете что это глупости, прошу прощения.
Атака может вестись из той же сети или с использованием hole punching из сети провайдера.
Может, но вы меня не правильно поняли. Это была небольшая часть моего комментария, где я говорил по поводу случая описанного в статье.
Но мне нравится ваш ход мысли. Более общий. Теоретический.
Полноценная атака на роутер, с подменой прошивки, является слишком дорогой для сколь-нибудь массового использования.
На самом деле, чтобы что-то утверждать, надо сначала провести исследование и говорить о процентном соотношении определенных моделей роутеров. Утверждать не могу, но думаю можно выделить десяток наиболее распространенных.
И ведь можно атаковать определенные модели. Т.е. подойти к вопросу не со стороны «есть множество роутеров, хочу подменить в них прошивку», а со стороны «есть прошивка, которую могу подменить, атаковать все модели с этой прошивкой». Тех же Dir300 сколько можно найти на просторах сети? 10-50-100 тыс.?
Почти весь «интересный» траффик шифруется ещё на хосте пользователя.
Вы прям объявляете невозможной атаку MITM! Согласен, как с множеством роутеров, в общем случае сложная задача, но есть частности.
Сильно ли антивирусы помогают машинам с установленным руткитом или, тем более, буткитом?
Честно, не знаю. Я пользуюсь Linux. Я умею проверить целостность бинарников в системе. Если я найду у себя руткит, я обрадуюсь и это будет маленьким праздником реверсинженеринга. Но мы говорим не обо мне, а о среднем пользователе, который чаще покупает новые компьютеры, чем роутер, не говоря о соотношении смена прошивки роутера к переустановка виндоус. И думаю зря вы так об антивирусах. Есть от них хоть небольшая, но польза.
И повторюсь, я говорил теоретически о возможности атаки на роутеры. Да, они сложны и дороги. Да, есть множество машин с ZverCD WindowsXP. Да, есть человеческий фактор. Да, есть люди использующие элементарные уязвимости для наживы. Они так зарабатывают деньги, и не ищут сложных путей. Пускай. Я в своем комментарии пытался рассказать о том, что интересно мне. О возможных атаках, а не о том, что реально делают скриптошкольники. Если вы думаете что это глупости, прошу прощения.
Этот вектор выглядит, мягко говоря, притянутым за уши. Какой смысл атаковать роутер при наличии успешно реализованной атаки на хост пользователя, позволяющей получить пользователя с потрохами?
Ну, например, пользователь не пользуется веб-интерфейсом интернет-банкинга, но пользуется мобильным приложением. Или использует дуал-бут и система, к которой получилось получить доступ, используется крайне редко или в неинтересных случаях (запуск тех же игр). Или, банально, заразить получилось детский компьютер, а есть ещё папин и мамин.
UFO just landed and posted this here
Эксперимента ради, просканировал свою подсеть. Нашел 8 роутеров, на 3х из которых стандартный пароль.Не надо подбирать пароль от вафли, потому что админка роутера открыта из WAN.
Кажется, что kos1nus имеет ввиду, что потенциальный злоумышленник должен сначала попасть в эту самую сеть.
А я думаю, что он просто не понял, что потенциальный злоумышленник в эту самую сеть уже потенциально попал. Если человек просканировал свою подсеть — и нашел там роутеры, то точно так же на его месте мог быть нехороший человек, который затем эти самые роутеры взломал.
Думаю речь идет о локальной сети провайдера и на роутерах на WAN-портах включен доступ к админке. Увы, такое сплошь и рядом бывает на предоставляемых провайдером роутерах. Производители, как правило, по умолчанию запрещают такое поведение, а вот провайдеры на своих девайсах включают, чтобы удаленно диагностировать и устранять проблемы, но забывают/ленятся менять пароли.
Возможно просканирован диапазон адресов, к которому принадлежит айпи автора. То есть не физическая подсеть, а логическая, класса C например.
deleted
Просмотрел комментарии по диагонали, но не увидел ответа на вопрос — сообщили ли вы в службу безопасности QIWI и предоставили ли им список скомпрометированных логинов? Они, как минимум, могли бы сделать рассылку по списку с просьбой сменить пароль.
В этой ветке обсуждают абузы.
И из нее всё равно не понятно отписал ли автор или нет после того как ему на это указали :)
Так что я на всякий случай прову абузу на почту скинул (так и не нашел у них на сайте ни одной почты, написал наобум саппорт@домен и продублировал звонком). Сказали в течении суток разберутся. Хотя конечно бесполезно это. Не верю что кто-то всерьез будет разбираться.
Так что я на всякий случай прову абузу на почту скинул (так и не нашел у них на сайте ни одной почты, написал наобум саппорт@домен и продублировал звонком). Сказали в течении суток разберутся. Хотя конечно бесполезно это. Не верю что кто-то всерьез будет разбираться.
Сайт по IP уже не открывается, походу просто заблочили.
Хотя я бы на их месте поставил заглушку с информацией о случившимся.
Хотя я бы на их месте поставил заглушку с информацией о случившимся.
От заглушки толку не будет ведь НС то тоже не работает, так что всё уйдет на 8.8.8.8
С другой стороны ответа на абузу я пока не получил, саппорт провайдера тут тоже не отписался (хотя ссылку я давал им).
Скорее всего конечно как всегда всё будет: «сделаем минимум необходимого чтобы отстали и забьем». Мелкому местячковому провайдеру качественный сервис и геморрой с расследованиями или ментами не нужен. Раз уж они даже на круглосуточную поддержку не удосужились раскошелиться… Если даже хабр не особо заморачивается (к примеру полгода назад грозились «расмотреть возможность» добавить две строчки чтобы отрицательным персонажам вроде меня
Но надежда всё равно остается :)
С другой стороны ответа на абузу я пока не получил, саппорт провайдера тут тоже не отписался (хотя ссылку я давал им).
Скорее всего конечно как всегда всё будет: «сделаем минимум необходимого чтобы отстали и забьем». Мелкому местячковому провайдеру качественный сервис и геморрой с расследованиями или ментами не нужен. Раз уж они даже на круглосуточную поддержку не удосужились раскошелиться… Если даже хабр не особо заморачивается (к примеру полгода назад грозились «расмотреть возможность» добавить две строчки чтобы отрицательным персонажам вроде меня
Но надежда всё равно остается :)
DNS можно было бы поднять с теми же записями, что и фишинговый отдавал.
Если даже хабр не особо заморачивается (к примеру полгода назад грозились «расмотреть возможность» добавить две строчки чтобы отрицательным персонажам вроде меня
Недописанная фраза?
Есть такое :)
Я хотел сказать про сообщение «вы не можете комментировать чаще чем раз в 1 час».
Я просил администрацию добавить в это сообщение «осталось хх минут».
Аналогия здесь в том, что сделать это просто — займет минуты три времени разработчика.
Саппорт мне написал что мол интересно, рассмотрим. И естественно «забил».
Так же и здесь — вроде просто, вроде реально всё. Но НИКОМУ оно не нужно, и будет выкинуто в унитаз.
Я хотел сказать про сообщение «вы не можете комментировать чаще чем раз в 1 час».
Я просил администрацию добавить в это сообщение «осталось хх минут».
Аналогия здесь в том, что сделать это просто — займет минуты три времени разработчика.
Саппорт мне написал что мол интересно, рассмотрим. И естественно «забил».
Так же и здесь — вроде просто, вроде реально всё. Но НИКОМУ оно не нужно, и будет выкинуто в унитаз.
Данная проблема была не только на роутерах. Столкнулся что в планировщике прописывается задание по подмене DNS на компьютере. хотя ты и исправил DNS сервера в настройках подключения через время они опять подменялись.
UFO just landed and posted this here
Ни одному сервису, который для меня значим или который оперирует деньгами, подмена dns не страшна (ssl во все поля). Про ssh даже и говорить не буду.
А если будет самоподписанный сертификат?
Как раз с самоподписанными (если они подписаны на совесть, а не абы-как) сертификатами ситуация сейчас лучше, чем с «фабричными».
Когда вместо сертификата гугла (который выписан гугловым intermediate CA и подписан GeoTrust CA) нам подсунут сертификат для *.google.com, выписанный каким-нибудь турктелекомом, браузер молча съест. А вот если добавленный в «исключения» самоподписанный сертификат поменяется — нам про это скажут.
Когда вместо сертификата гугла (который выписан гугловым intermediate CA и подписан GeoTrust CA) нам подсунут сертификат для *.google.com, выписанный каким-нибудь турктелекомом, браузер молча съест. А вот если добавленный в «исключения» самоподписанный сертификат поменяется — нам про это скажут.
Я вот не устаю говорить: доверять можно только тем ЦС, которые ты установил в браузер сам (осознавая все возможные последствия этого).
а съест ли?
вот зачем то же в preloaded HSTS списке для гуглодоменов (да и не только гуглодоменов) (http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json ) стоит поле pin?
такое впечатление что это как раз чтобы указать какие CA могут подписывать
вот зачем то же в preloaded HSTS списке для гуглодоменов (да и не только гуглодоменов) (http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json ) стоит поле pin?
такое впечатление что это как раз чтобы указать какие CA могут подписывать
Быстрое гугление по ip нашло темку на форуме Касперского.
От 16 ноября. Там еще и другие фейковые украинские днс-сервера проскакивают. Неплохо ребята развернулись.
От 16 ноября. Там еще и другие фейковые украинские днс-сервера проскакивают. Неплохо ребята развернулись.
Я с таким сталкивался еще год или два назад. Только в том случае, фейковый DNS применялся для того, что бы демонстрировать рекламу.
[offtopic]
Кстати, шарики, которые играют, — это новогодние бубенцы от Яндекса. Они висели на странице входа в Яндекс.Почту в этот и прошлый Новые годы (вроде, и раньше, но не уверен).
Где-то в комментариях к странице они предлагали поставить такие же себе на сайт.
Я пробовал: http://sijeko.ru/news/happy-new-year-2013.
[/offtopic]
Кстати, шарики, которые играют, — это новогодние бубенцы от Яндекса. Они висели на странице входа в Яндекс.Почту в этот и прошлый Новые годы (вроде, и раньше, но не уверен).
Где-то в комментариях к странице они предлагали поставить такие же себе на сайт.
Я пробовал: http://sijeko.ru/news/happy-new-year-2013.
[/offtopic]
А как они заразили ~10`000 роутеров?
Если считать в среднем 7 человек на роутере
Если считать в среднем 7 человек на роутере
вы просто погуглите — безопасность роутеров, даже по хабру — бэкдор там, бэкдор тут
плюс есть специализированные поисковики типа www.shodanhq.com/
плюс есть специализированные поисковики типа www.shodanhq.com/
Да это понятно, про бекдоры и т п. Физически как?
Что значит физически? Если вы про реальную близость с роутером, то WPS много где включен.
Есть еще такая вещь, как CSRF, которая нередко встречается в админках www.defcon-russia.ru/16/routerz.pptx
Есть еще такая вещь, как CSRF, которая нередко встречается в админках www.defcon-russia.ru/16/routerz.pptx
Sign up to leave a comment.
Подмена DNS сервера. Будьте осторожны