На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил (http://www.esecurityplanet.com/news/article.php/3895851/Mill...) простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind (http://code.google.com/p/rebind/).
Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на к...URL: http://www.esecurityplanet.com/news/article.php/3895851/Mill...
Новость: http://www.opennet.me/opennews/art.shtml?num=27533
Мнда. Все гениальное обычно просто как 3 рубля :))) За простоту идеи - зачет.
PS: Да, как по всей видимости всем я думаю очевидно, это будет прекрасно работать и в случае, если пользователь сидит не только под дырявой и глючной виндой но и под железобетонным и стабильным как скала линуксом ;)
вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)
> вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне зависимости от используемой десктопной OS..
Многие.
А ж целых 2 человека :)
Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли ?:)
>А ж целых 2 человека :)
>Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли
>?:)А там не к веб морде доступ был, а к консоли.
А в большинстве роутеров консольный рутовый пароль из веб морды не поменяешь.
>А в большинстве роутеров консольный рутовый пароль из веб морды не поменяешь.Обычно рутовый пароль SOHO маршрутизаторов совпадает с тем что задано как административный в вебморде и меняется синхронно с этим паролем. Потому что юзеру удобно 1 пароль на все. А греть мозг кучей разных паролей - неудобно.
>А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне >зависимости от используемой десктопной OS..Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)
> Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и им подобные? Они по самому факту покупки нетбука тоже автоматически переходят в разряд advanced? :)
>> Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)
>
>Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и
>им подобные? Они по самому факту покупки нетбука тоже автоматически переходят
>в разряд advanced? :)Такие приглашают домой "мастера", и дальше все зависит исключительно от его криворукости в настройке модема/роутера.
Они по самому факту покупки нетбука автоматически переходят в разряд покупателей коробочной версии винды.
У меня около десяти знакомых с Linux не меняли дефолтный пароль на ADSL-рутерах, мотивируя тем, что интерфейс доступен только через intranet-порт. Похоже те кто пароль меняют скорее исключение из правил, так как большинство ADSL-рутеров пробрасывают PPPoE в дефолтовой конфигурации, простые пользователи даже не догадываются, что на ADSL-рутер можно через web/telnet зайти.
> А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :)Ты удивишься.
> Ты удивишься.Мсье желает поделиться конкретной статистикой? Просим просим. Было бы очень любопытно.
К чему это было сказано?
JFYI
не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно? Нахрена его разрешать с помощью внешнего днс? Или просто новость так неясно изложена.
"Просто вшить", это делать XMLHttpRequest на другой домен, для чего нужны дополнительные телодвижения, которые можно и пресечь. А тут все происходит в пределах одного доменного имени. Самый обычный раундробин, ничего незаконного. Разве что TTL сильно короткий.
Для того что бы получать команды и отправлять обратно аттакеру полученные данные.
XMLHttpRequest позволяет отправлять обращения только к домену на котором крутится текущая страница.
>не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно?
>Нахрена его разрешать с помощью внешнего днс? Или просто новость так
>неясно изложена.А у меня роутер имеет адрес 192.168.245.1 =)
А вообще - если ты зашел на xxx.com, то запрос на 192.168.0.1 не пройдет.
Пройдет запрос на img.xxx.com (который и надо биндить на 192.168.0.1).
Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.В NoScript по той же логике заблочено.
Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
Rebind has been successfully tested against the following browsers:IE6 Windows XP SP2
IE7 Windows XP SP3
IE8 Windows XP SP3
IE8 Windows 7
FF 3.0.15 Windows XP SP3
FF 3.0.17 Ubuntu Linux 9.04
FF 3.5.6 Ubuntu Linux 9.10
FF 3.5.7 Windows XP SP3
FF 3.6 Windows XP SP3
FF 3.6 Windows 7
FF 3.6 OSX 10.6.2
Chrome 4.1 Windows XP SP3
Opera 10.10 Windows XP SP3
Opera 10.54 Windows XP SP3
Safari 4.0.4 Windows XP SP3
Safari 4.0.4 OSX 10.6.2
Никто и не сомневался.
> Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.а там нету редиректа на адреса из RFC1918. читайте внимательно.
Ключевой момент: "...открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет". Короче, не пользуйте это, ибо, как только Вы даете выполнятся любому исполняемому коду со стороны, так вероятность проникновения всякой дряни на ваш компьютер резко возрастатет.
NoScript в фирефоксе - рулит :-)
>Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W
>выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.Трояны давно через обычные сайты распространяются, особенно часто такое встречается на сайтах разных средней руки фирм и гос. структур. Был случай даже когда вредоносный код появился в клиентском личном кабинете местного Ethernet-провайдера. У нас на хостинге процентов 10 клиентов подхватывали заразу которая по FTP на их сайт вставляла вредоносный код. Заражаются либо подхватывая на виндовой машине троян либо когда пользуются нешифрованным FTP, а в локальной сети кто-то подхватил снифящий пароли троян. То что зараза подхватывается только на разных хакерских, порно и прочих неблагонадежных сайтах - давно миф.
В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.
> В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.Вся Сеть просто завалена горами подставного мусора, которые тем не менее генерят дикий трафик. Так что сделать и, что немаловажно, раскрутить систему, которая бы работала по указанному принципу и направить в неё стройную колонну жертв - дело лишь техники. Сравнительно несложной, замечу.
> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких - подавляющее большинство.
Да, кстати. Это ж ведь только тупая попытка войти админом на рутер. Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту включен и через который точно так же можно сделать массу интересных вещей.
>> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
>
>Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких
>- подавляющее большинство.
>
>Да, кстати. Это ж ведь только тупая попытка войти админом на рутер.
>Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту
>включен и через который точно так же можно сделать массу интересных
>вещей.Да, кстати.
UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.
Для этого даже не нужно пароля к роутеру.
> Для этого даже не нужно пароля к роутеру.Именно...
PS: Конечно, если UPnP на маршрутизаторе не запрещен. Обычно по дефолту он там разрешен. И существенно меньшая часть 'гуру' которые крутят их для SOHO вообще знает, что такое UPnP и с чем его едят. Как следствие - даже и не задумываются на тему 'А не выключить ли мне его?'.
>UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.
> А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.На, сходи, расширь свой кругозор. Пойдет только на пользу.
т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.
> т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.Да, конечно. По крайней мере в той версии, что описана в новости. Но если сделать скрипт чуть поумнее и научить его, допустим, открывать снаружи вовнутрь порты на маршрутизаторе через UPnP (что не сложно), то в случае успеха потом уже можно и напрямую шуровать. Что куда как интереснее. Все-таки скрипт by design сильно ограничен в своих возможностях.
В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...
>В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...а разница какая? от этого он становится меньше уязвим?
На интерфейсе, который торчит в модем нет ипы - до него просто не доберёшься)