Andruxa 945 Nahlásit příspěvěk Odesláno May 19, 2014 Как обычно говорят? Да кому нужен мой роутер? Кому я интересен? И они совершенно правы. Они никому не интересны. Да ладно. Надо быть совсем дебилом, чтобы намеренно открыть свой роутер наружу. Вообще большинство провайдеров, устанавливая комплект "под ключ", ставят и стойкий пароль на вайфай и на роутер. И дают бумажку с ними. Так что у полных дебилов, которые не полезут это менять, все будет хорошо. А вот у прослойки "шаловливые ручки", которые нагуглят, как это все поменять, "ибо я ж не дурак, чтобы такой сложный пароль вводить", будут проблемы. И у тех, кто считает, что "я ж не дебил, я сам сетку построю себе". Буквально вчера был в гостях у знакомого. Пароль на вайфай... да - номер телефона. Самое комичное, что он работает в банке в IT отделе. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno May 19, 2014 Кратко я бы сказал так. Граждане! Будьте бдительны! Но без паники. Уязвимости были, есть и будут. Достаточно понимать какие возможны атаки и последствия. Хотел написать коротко или спрятать в спойлер так почему-то не выходит и спойлер на предпросмотре просто отображается. И как диагностировать наличие/отсутствие уязвимости? Я имею в виду, удаленно-программно.Если Вы хотите руководство к действию чтобы проверить свой роутер тогда нужно искать в интернете все связанные с ним уязвимости. Модель, прошивка, версия платы и т.д. А если желаете понять как это делают другие... Эксплойтом или специально заточенным сканером. Но вы не получите однозначного ответа типа — уязвимости нет можете спать спокойно. Можно говорить только о том, что известные уязвимости не обнаружены. Это так же как и с антивирусами. Они жужжат хрустят дисками снижают производительность системы. Но всё равно находятся вирусы которым пофиг антивирусы. До тех пор пока те не будут научены детекрировать их. В любом случае поиск уязвимости это почти всегда ручной процесс. Находится зацепочка, и вокруг неё начинаются танцы с бубнами. Иногда уязвимость тиражируется в разных версиях прошивок и она кочует с одного китайского девайса на другой.ess верно описал процесс. Есть хакеры, которые следуя кодексу немедленно трубят об уязвимости, а есть крякеры (которых журналисты обозвали хакерами) которые продают информацию об обнаруженной уязвимости на специальных чёрных рынках. И вот когда у вас есть база уязвимостей то можно просто сканировать IP адреса и на каждый подбирать свой "ключик". Роутеры и модемы покупают и про них забывают. Никогда ни у какого end-юзера не возникнет мысли о том что роутер можно и нужно обновлять. С другой стороны цена роутера не высока, и цикл его поддержки очень короткий. Купив роутер через год вы к нему не найдёте свежую прошивку. Тут не будет такой шумной рекламной компании как с Windows XP. Ой! Поддержка закончилась!!! Все немедленно обывать телефоны саппорта и спрашивать, как же жить-то дальше. Уязвимость бесплатной (пожертвования составляли около тысячи долларов в год) библиотечки OpenSSL получившее имя Heartbleed жила своей жизнью c конца 2011 года... При этом она была в составе большинства серверов с поддержкой SSL. И тот кто знал о ней и помалкивал тот мог совершенно незаметно собрать внушительную базу с паролями любых https соединений, в том числе банков. И тут недавняя парочка серьёзных уязвимостей в Linux ядре. Начало 2014 года стало урожайным. Уверен 99.9999% людей не потрудились сменить пароль в интернет банке. Да и банки не сильно пытались информировать своих пользователей. Я к примеру не получил уведомления о необходимости изменить пароль ни из одного банков где имею счета и интернет банкинг. Сертификаты которые могли быть дискридитированы также не отозваны. RB обновил сертификат, а вот KB не меняла (03/12/2013). Там же и FIO 08/24/2011 ZUNO 12/03/2012 CSOB 08/16/2013 AIRBANK 09/12/2013 EQUABANK 08/22/2012 ... из 7-ми проверенных на скороую руку банков только один превентивно позаботился о безопасности и заменил сертификат. Многие скажут что не была доказана возможность получения приватного сертификата. Но с конца 2011 года небыло доказательств что пароли внутри ssl сессий можно было смотреть удалённо. По моему разумению система которая была хоть как-то взломана требует немедленной смены всех важных данных. При этом наблюдается сильное снижение интенсивности установки патчей против этой напасти. Я не удивлюсь, что ещё можно будет найти хотя бы один банк с этой проблемой на каком-то из серверов. Не стоит обольщаться и тем у кого стоит какой-то брэндовый роутер, например Cisco. К сожалению домашние роутеры все почти одинаковы. Уязвимости публикуются и для Cisco и для Belkin и для DLink с ZyXEL. последнее время я использую "самопальные" роутеры (перешитые открытыми прошивками). Использую конечно ради нестандартных функций которые туда добавляю. Зато тут не стоит ждать милости от производителя и прошивку можно пересобрать самостоятельно. Благо сообщество развивает их очень активно. Да ладно. Надо быть совсем дебилом, чтобы намеренно открыть свой роутер наружу.Точно! Дебилом быть не нужно. Достаточно быть умным аналитиком и подумать: да нахрен я кому-то нужен! И чтобы пуще убедить себя нужно провести рассчёт вероятности того что может кому-то всё-таки нужен? Буквально вчера был в гостях у знакомого. Пароль на вайфай... да - номер телефона. Самое комичное, что он работает в банке в IT отделе.Предыдещей репликой Вы уже назвали его. Так может Вы подскажете в какой банк нам не стоит идти? Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
ess 1233 Nahlásit příspěvěk Odesláno May 19, 2014 Упустил конечно. Если DNS левый, то при чём тут домен? Нет там никакого домена на этом адресе, чисто поддельная страница, копирующая нормальную, которую перед этим запросила. Потому и сертификация с родным вполне сертификатом пройдёт "на ура". Они просто как бы сидят на канале и слушают все переговоры. не, ДНС это ДНС, он лишь поможешь заставить браузер поверить что домен fio.cz находится по адресу 1.2.3.4, после чего браузер постучится туда, и получит в ответ сертификат, который будет валидировать. вот тут и порылась собака - сертификат валидный, вопрос - откуда. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Kotig 313 Nahlásit příspěvěk Odesláno May 19, 2014 не, ДНС это ДНС, он лишь поможешь заставить браузер поверить что домен fio.cz находится по адресу 1.2.3.4, после чего браузер постучится туда, и получит в ответ сертификат, который будет валидировать. вот тут и порылась собака - сертификат валидный, вопрос - откуда. А валидировать броузер пойдёт по ИП или всёж по ДНС? ДНС его пошлёт туда же, где его уже ждут с подтверждением что всё ОК. На тот же 1.2.3.4 Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
ess 1233 Nahlásit příspěvěk Odesláno May 19, 2014 А валидировать броузер пойдёт по ИП или всёж по ДНС? ДНС его пошлёт туда же, где его уже ждут с подтверждением что всё ОК. На тот же 1.2.3.4 валидирует браузер используя доверенные сертификаты, которые входят в поставку браузера/ос либо установленны юзером вручную. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno May 19, 2014 А валидировать броузер пойдёт по ИП или всёж по ДНС? ДНС его пошлёт туда же, где его уже ждут с подтверждением что всё ОК. На тот же 1.2.3.4В интернет полезет браузер только за списком отозванных сертификатов (OCSP и CRL). Хотя гугл заявлял, что хочет отойти от проверки отзывов сертификатов в онлайн режиме, так как это добавляет лишнее время в отклик сайта. К тому же сервер CRL может быть недоступен из-за политики ограничений провайдера или злонамеренных крякеров. Кстати это легко выполняется в рамках той самой подмены настройки dns. Отозванный сертификат вдруг станет валидным. Так что на мой взгляд гугл зрит в корень. валидирует браузер используя доверенные сертификаты, которые входят в поставку браузера/ос либо установленны юзером вручную.Совершенно верно. Но это произойдёт только для https. Подмену же проще всего сделать "раздев" https до http. Отсутствие одной маленько буковки s не так сильно бросается в глаза. Ну и не очень бдительным пользователям можно подсунуть "липовый" сертификат и сообщить, что его обязательно нужно установить (называется это социальным инжинирингом). Выуживание телефона у доверчивого пользователя — тот же инжиниринг. Чего же ожидать от обывателя если даже многие технические специалисты "плавают" в принципах работы системы сертификации доверия. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
ess 1233 Nahlásit příspěvěk Odesláno May 20, 2014 Совершенно верно. Но это произойдёт только для https. Подмену же проще всего сделать "раздев" https до http. Отсутствие одной маленько буковки s не так сильно бросается в глаза. Ну и не очень бдительным пользователям можно подсунуть "липовый" сертификат и сообщить, что его обязательно нужно установить (называется это социальным инжинирингом). Выуживание телефона у доверчивого пользователя — тот же инжиниринг. Чего же ожидать от обывателя если даже многие технические специалисты "плавают" в принципах работы системы сертификации доверия. вся соль в том, что на приведенных тобой скриншотах именно https с правильным сертом. соответственно, либо кто-то ранее установил левый серт как доверенный, либо у них кошерный серт... Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno May 20, 2014 вся соль в том, что на приведенных тобой скриншотах именно https с правильным сертом. соответственно, либо кто-то ранее установил левый серт как доверенный, либо у них кошерный серт...Во-первых, скриншоты для первого сообщения взяты из предупреждения банка. Вполне может быть что они их нарисовали, или взяли с компа с подменным сертификатом. Во-вторых, пользователя можно задурить вынудив поставить предложенный сертификат. В-третьих, имея контроль над DNS можно сказать что ты имеешь контроль над компьютером пользователя. Рано либо поздно пользователь стянет какой либо исполняемый файл с сайта который не защищён подписанным валидным сертификатом. А это значит что на прокси, куда перенаправляет пользователя фальшивый DNS, можно подменить файл. Пользователь запустит его и получит доверенный центр сертификации в систему и во все браузеры. Ну и напоследок. Сертификационных центров если не ошибаюсь что-то около 1200 штук. Не все их них белые и пушистые. Сертификат выданный любым центром сертификации будет определяться браузером как валидный. Тоесть на домен *.FIO.CZ можно получить сертификат любого центра сертификации и браузер воспримет его как валидный. (гугл пытается это решить но пока насколько я знаю ничего не вышло). Мозилла пару лет назад обсуждала вопрос выкинуть из своих продуктов один из центров сертификации который продал дополнительный корневой сертификат третьему лицу. Плюс к этому центры сертификации периодически ломают и генерят произвольные ключи которые браузеры потом принимают как валидные. В общих чертах как-то так. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
ess 1233 Nahlásit příspěvěk Odesláno May 20, 2014 Во-первых, скриншоты для первого сообщения взяты из предупреждения банка. Вполне может быть что они их нарисовали, или взяли с компа с подменным сертификатом. а, я уж думал, что все по серьезному В-третьих, имея контроль над DNS можно сказать что ты имеешь контроль над компьютером пользователя. Рано либо поздно пользователь стянет какой либо исполняемый файл с сайта который не защищён подписанным валидным сертификатом. А это значит что на прокси, куда перенаправляет пользователя фальшивый DNS, можно подменить файл. Пользователь запустит его и получит доверенный центр сертификации в систему и во все браузеры. слишком громоздко и ОЧЕНЬ палевно. переварить трафик тысяч зараженных роутеров - это очень тяжело, будет адски тормозить и все вскроется моментально. Ну и напоследок. Сертификационных центров если не ошибаюсь что-то около 1200 штук. Не все их них белые и пушистые. Сертификат выданный любым центром сертификации будет определяться браузером как валидный. если мой склероз мне не изменяет, то трастедов меньше сотни. Тоесть на домен *.FIO.CZ можно получить сертификат любого центра сертификации и браузер воспримет его как валидный. (гугл пытается это решить но пока насколько я знаю ничего не вышло). Мозилла пару лет назад обсуждала вопрос выкинуть из своих продуктов один из центров сертификации который продал дополнительный корневой сертификат третьему лицу. я думаю, что не все так радужно, иначе кто и зачем бы покупал дорогие серты ? Плюс к этому центры сертификации периодически ломают и генерят произвольные ключи которые браузеры потом принимают как валидные. пруфы ? ни разу не слышал ни первого ни второго. из ломалок помню багу с кривой обработкой нулевого символа и непонятно как уплывший риалтековый серт. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
Andruxa 945 Nahlásit příspěvěk Odesláno May 20, 2014 если мой склероз мне не изменяет, то трастедов меньше сотни. В винде я насчитал 23 Trusted Root-а. Легко проверить: Internet Explorer -> Internet Options -> Content -> Certificates -> Trusted Root. В Mac OS примерно то же самое, только еще CA Apple добавлена. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
kaa 49 Nahlásit příspěvěk Odesláno May 20, 2014 пруфы ? ни разу не слышал ни первого ни второго. Google: comodo certificate case diginotar story Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno May 20, 2014 пруфы ? ни разу не слышал ни первого ни второго. из ломалок помню багу с кривой обработкой нулевого символа и непонятно как уплывший риалтековый серт. Уф.... Одно сообщение: позволила злоумышленникам зарегистрировать мошеннические сертификаты для веб-сайтов с интенсивным сетевым трафиком, включая Google Mail, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com и принадлежащий Microsoft login.live.com. Другое: VeriSign. В 2002 была взломана система DNS, что привело к массовой подмене титульных страниц доменов. В 2010 году снова была взломана о чём призналась только в 2011. Третье: Взлом центра сертификации DigiNotar позволил хакерам подделать сертификаты ресурсов Yahoo, Tor и Baladin Четвёртое: (год 2012) В последнее время становятся обычной практикой случаи генерации вторичных корневых сертификатов для обеспечения работы систем, направленных на транзитный перехват и расшифровку SSL-трафика, например, систем корпоративного отслеживания утечек данных. Генерируемые для подобных систем вторичные корневые сертификаты позволяют создать корректный и не вызывающий подозрения сертификат для любого сайта в сети, без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций. Было и такое: (год 2010) В составе web-браузера Firefox обнаружены корневые сертификаты удостоверяющего центра (CA), владельца которых не удалось выявить. Гугл не забанил? Там всё есть. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
ess 1233 Nahlásit příspěvěk Odesláno May 20, 2014 Одно сообщение: Третье: итого два случая. да, прошло мимо. но и на "периодически ломают" оно тоже тянет с сильным натягом. всякие левые серты для црушников и корпорейтовых DLP в расчет не берем, взлом днс тоже к сертам слабое отношение имеет Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
kaa 49 Nahlásit příspěvěk Odesláno May 20, 2014 VeriSign. В 2002 была взломана система DNS, что привело к массовой подмене титульных страниц доменов. В 2010 году снова была взломана о чём призналась только в 2011. Цитируете в основном по делу, но это - херня какая-то. DNS от корня не ломали. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky
younghacker 7 Nahlásit příspěvěk Odesláno May 20, 2014 итого два случая. да, прошло мимо. но и на "периодически ломают" оно тоже тянет с сильным натягом. всякие левые серты для црушников и корпорейтовых DLP в расчет не берем, взлом днс тоже к сертам слабое отношение имеет Достаточно одного взлома и тысячи "пенсионеров" которые никогда не обновляют свои браузеры не смогут отличить поддельный сертификат. Но я же говорил одна из атак раздеть https. Многие это поймут? Не пытайтесь судить со своей колокольни IT спеца. Многие не заметят разницы. Цитируете в основном по делу, но это - херня какая-то. DNS от корня не ломали.Йоперынй бабай. Моя твоя не понимайт. Мы слишком углубились в детали. Тему я начинал чтобы предостеречь, а свалилась она в технические подробности которые обывателю не под силу осмыслить. Тем не менее ещё раз повторюсь нужно ломать никакой корневой DNS. Хотя случай с верисайном как раз такой. Такие вещи вычисляются быстро и также быстро и квалифицированно лечатся. А вот если на вашем роутере меняют настройку DNS то до реального корня вы никогда не доберётесь. И вычислить такое и вернуть обратно "як було" значительно сложнее так как точек таких миллионы, а их владельцы никак не администраторы и ни сном ни духом. Речь идёт о том что подмена настройки DNS в роутере конечного пользователя легко переводит все его соединения на символические имена в руки злоумышленника. А дальше дело техники и социальной инженерии. Буквально на днях мой знакомый, обратился ко мне с вопросом что у него в офисе проблема с интернетом. Как потом выяснилось кто-то залез в его роутер и поменял настройки DNS. Вот так вот. На этой мажорной ноте я хотел бы закончить. Quote Sdílet tento příspěvek Odkaz na příspěvek Sdílet na ostatní stránky