В воскресенье ночью несколько крупнейших сетевых ресурсов, среди которых (http://www.zone-h.org/archive/notifier=turkguvenligi.info/pa...) Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register, оказались (http://www.guardian.co.uk/technology/2011/sep/05/turkish-hac...) подменены злоумышленниками, которым благодаря атаке на регистраторов доменов Netnames.co.uk (http://Netnames.co.uk) и Ascio (http://www.ascio.com/) удалось подменить записи в DNS. После атаки, домены жертв были перенаправлены на новый IP, на котором выводилась заставка с уведомлением о взломе, который был совершен турецкой группой Turk Guvenligi (http://twitter.com/#!/Turkguvenligi).
<center><img src="http://www.opennet.me/opennews/pics_base/31671_1315202097.jp... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>
Это первый в истории крупный взлом регистраторов, который повлек за собой публично заметное изменение DNS. Наст...URL: http://www.guardian.co.uk/technology/2011/sep/05/turkish-hac...
Новость: http://www.opennet.me/opennews/art.shtml?num=31671
А почему копирайт на 2005 год?
Салам алейкум, Гитлер-ага. А почему вопрос не по существу - "Как получилось, что у крупнейших регистраров админы - лохи?". А ты о каком-то копирайте.
> А почему копирайт на 2005 год?они с 2005 ломают. Вот список их работ: http://www.zone-h.org/archive/notifier=turkguvenligi.info/pa...
Самое старая запись там 2008 года
Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений. Про то, что некоторые регистраторы дают входить в личный кабинет без HTTPS я вообще молчу.
Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как показала практика последних дней, HTTPS как волосы на лобке - прикрывает, но ни черта не защищает.
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.Welcome to the Real_Web_2.0!
> Собссно, весьма многие социалки пропускают через процедуру логина без HTTPS. И, как
> показала практика последних дней, HTTPS как волосы на лобке - прикрывает,
> но ни черта не защищает.защищают, но не от спецслужб
Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.вот пришел ананиим и тупо умыл всех шифровальшиков )))
>> Не только спецслужбы располагают вычислительными кластерами и соответствующими методиками.
> вот пришел ананиим и тупо умыл всех шифровальшиков )))Их умыла та пресловутая рашкина компашка, которая взломала iPhone 4. Которая passwords.ru держит :)
>> но ни черта не защищает.
> защищают, но не от спецслужбЕсли не защищает хоть от кого-то, то будем считать что не защищает ни от кого. Спецслужбы всего лишь группа людей. Не факт что самая многочисленная и технически хорошо оснащенная. Какие-нибудь кардеры подпольно ворочающие миллионами могут запросто набрать больше ресурсов. Во всяком случае, гарантий обратного никто не даст.
Поясните этот бред, пожалуйста.
Это не поможет.
Скрипту на perl никакие sms не помешают поправить файлы зон.
> Это не поможет.
> Скрипту на perl никакие sms не помешают поправить файлы зон.В подавляющем большинстве случаев ломают web-интерфейс через методы социальной инжинерии. Проще говоря снифят пароли и внедряют трояны на машины персонала.
> Банки давно додумались отправлять SMS с кодом подтверждения операции. А у регистраторов
> до сих пор можно поменять через web-интерфейс параметры без каких-либо подтверждений.
> Про то, что некоторые регистраторы дают входить в личный кабинет без
> HTTPS я вообще молчу.Как я понял поломали не учётки владельцев доменов, а самих регистраторов. Или ты предлагаешь админам при логине вводить код из SMS?
Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей нужны далеко не всегда и должны быть опциональными.
> Как я понял поломали не учётки владельцев доменов, а самих регистраторов.Судя по скриншотам на которых web-интерфейс, использовался аккаунт одного из администраторов. Скорее всего сломали рабочую машину, поставили троян и отследили параметры входа.
> Или ты предлагаешь админам при логине вводить код из SMS?
Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения от владельца.
> Вообще все эти заморочки с привязкой к мобильному телефону и прочей паранойей
> нужны далеко не всегда и должны быть опциональными.Про опциональность согласен, еще до появление SMS мы клиентам давали возможность запретить некоторые операции через web и проводить изменения только при личном присутствии в офисе с официальным запросом.
> Я предлагаю перед любым изменением параметров домена требовать по независимому каналу подтверждения
> от владельца.Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в базы, в обход стандартной морды и нотификаций?
> Если инфраструктура взломана то что помешает просто прописать нужные данные втихаря в
> базы, в обход стандартной морды и нотификаций?Инфраструктуру пока достоверно не ломали ни разу. Если сломают, то уже ничего не поможет. Пока методами социальной инженерии воруют аккаунты, как работников регистраторов, так и клиентов. При этом воровство параметров клиентов уже вошло в привычку и не вызывает удивления. Вспомните случай, когда отсниффили пароль сотрудника eBay, сколько было шуму. Сейчас это уже обычное явление, рутинное разгребание инцидентов.
ИМХО если админ не может сохранить свои пароли - гнать надо такого админа, который логинится своими логинами где попало и/или не в состоянии администрировать даже свой рабочий компьютер.
> ИМХО если админ не может сохранить свои пароли - гнать надо такого
> админа, который логинится своими логинами где попало и/или не в состоянии
> администрировать даже свой рабочий компьютер.Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта имеют доступ? Все правки профилей по запросам клиентов и прочую рутину делают низкоквалифицированные операторы, которых обдурить раз плюнуть.
как это оправдывает админов — я не понимаю. раз известно, что персонал низкоквалифицированый, админы должны бдить втройне, за то им и деньги платят.
> Неужели вы думайте, что только админы в web-интерфейс правки параметров аккаунта имеют
> доступ? Все правки профилей по запросам клиентов и прочую рутину делают
> низкоквалифицированные операторы, которых обдурить раз плюнуть.В тупорылости своего стаффа виноват ... наниматель. Ему по этому поводу скидок не полагается.
почти. one time пароли с token в кармане еще никто не отменял.
как и карточки с одноразовыми паролями - у одного известного банка.
Можно подумать, в SMS обратные номера нельзя спуфить.
Вот когда появится SMSs... :)
> Можно подумать, в SMS обратные номера нельзя спуфить.Можно. Адрес отправителя может быть даже текстом. Вы на него отвтить вообще не сможете, но отображаться - будет :)))
> нет технологий, которые могли бы свидетельствовать о том, что замена IP произведена злоумышленникамиАх если бы только кто-нибудь изобрёл такой способ, его можно было бы назвать например как-нибудь типа "DNSSEC".
Да, и совершенно случайно, его рекомендовали бы внедрять _именно_ регистраторам доменов
Ну насколько я понимаю в данном случае (взломе регистратора) DNSSEC не поможет.
давно уже читал про DNSSEC, там вроде просто подпись зон и апдейтов.
что мешает украсть ключ?
сложнее конечно, но тоже реализовать можно.
http://www.ascio.com/ - крутится на винде.
http://netnames.co.uk/ - на Linux Debian.
Выходит ломали гламурные маководы.Шутка. :)
> крутится на винде.
> на Linux Debian.Одмины там точно гламурные.
Скорее всего рабочие компы админов, с которых тырили пароли, крутятся либо на винде, либо на маке (трояны поддерживаются только в этих двух осях, причем в макоси их еще надо купить).И мы опять плавно подходим к вопросу о запрете винды в любых более-менее критичных по безопасности работах.
Отлично! Пусть это собьет спесь и гордыню с наивных "финских мальчиков".
Лично я - рад )
"Виноват не вор, а тот, кто позволяет украсть" (C)(s)
Может все таки обойдемся без блатных самоуспокаивающих религиозных заклинаний?
Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный ход. Чем больше таких акций, тем лучше будет защита и быстрее будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает - не трогай".
> Молодцы ребята, показать регистраторам несовершенство защиты и расшевелить их очень правильный
> ход. Чем больше таких акций, тем лучше будет защита и быстрее
> будут закрываться дыры, сам неоднократно наблюдал в крупных компаниях сервера, не
> обновлявшие безопасность с начала века, а админы открещиваются известной фразой: "Работает
> - не трогай".Это повсеместно происходит. И очень часто связано с тем, что обновления _небезопасны_ сами по себе или могут привести к феерическому простою. Не каждая ось имеет технологию LiveUpgrade (более того - мне известна только ОДНА такая ось).
Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматов работающего в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade? Вы - лично вы - свою задницу подставите под персональную ответственность при апгрейде такого сервера? Я так не думаю.
> Как вы себе представляете, коллега, регулярное обновление сервера, ну скажем, банкоматовУ нас в Израиле банкоматы спокойно уходят на шабат.
По субботам я уже и не пытаюсь получить наличные.
Нон-стоп 24x7x365 может быть имеет значение в высокотехнологичных странах. А в обычных, с жителями, проживающими на пальмах или ёлках сервак может хоть неделю обновляться.
Неделю? Суровая у вас страна.
В Москве сбербанковская инфраструктура тоже с трудом справляется с внезапно возросшим количеством владельцев карточек (несколько лет назад, кажется, всех работодателей обязали платить ЗП сотрудникам на банковские карточки). Банкоматы частенько не работают, помнится один раз во всей Москве (или во всяком случае во всём районе) банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.
> банкоматы взяли отгул на денб. Но не регулярно-же и не на неделю.На многих из них стоит нелицензионный ХРендовс, поэтому иногда можно встретить прикольное сообщение на десктопе рассказываюшее о том что активации - хана.
на многих? не верю.
Вы случаем с терминалом не перепутали?банкомат - это такой гробик, ценой зачастую в несколько миллионов. экономить там на лицензии смысла нет.
Да хрена там. В Банке Москвы - винда. ХР. Сегодня видел, как техник ее переставлял на банкомате. Гробик, да. Только и толку, что физически защищен хорошо. От взлома денежного ящика, да...
> Да хрена там. В Банке Москвы - винда. ХР.я не спорю, что винда. только вот 99%, что лицензионная
> Да хрена там. В Банке Москвы — винда. ХР. Сегодня видел, как
> техник ее переставлял на банкомате. Гробик, да. Только и толку, что
> физически защищен хорошо. От взлома денежного ящика, да…не так уж хорошо, кстати. я бы сказал «защищен от дурака. немножко.»
Очень просто: один из серверов кластера обслуживающего банкоматы…
Если простой сервера недопустим то у этого сервера должен быть дублёр который прозрачно возьмёт на себя его обязанности в случае чего (как минимум железо может сбойнуть в любой момент).
Банкоматы не critical-time. даже если ребутиться 10 минут будут - не страшно. Дать только юзерам завершить операции и подождать например 2 минуты - убедиться, что прямо сейчас он не нужен. Ну и не ребутить все разом, чтобы не перегрузить основные сервера.
А так - я постоянно вижу зависшие банкоматы, того же альфа-банка.. Как висли, так и виснут. Пока там инкассаторы доедут, пока ребутнут.. Даже работники банка не могут. Маразм.
Поправка - мы говорим не о банкоматах, а о СЕРВЕРАХ БАНКОМАТОВ. Смекаешь, анон?Далее. Ты знаешь способ обновить ВЕНДУ полностью - скажем, версию сменить - без полного увода машин в оффлайн на час-два?
И далее. В банановых странах может, и пофигу, что банкомат или POS-терминал в крупном супермаркете сутки не работает, но в _нормальных_ странах владелец супермаркета и банк поимеют крупный баттхерт и потеряют клиентов. Совсем потеряют. Смекаешь? Это не СПО - когда "Хочу - работаю, хочу не работаю". Невидимая рука рынка сжимается на горлышке - и привет!
И совсем далее. Обновление может и УБИТЬ сервер. И что тогда? Сутки простоя? Двое? А если нет имиджей? А если там БД реляционная? Опаньки? Ты попадал в такую ситацию, анон, в качестве админа mission critical сервера?
Венда, какие проблемы? обновите ось на левом компе и образ раскидайте по серверам, а потом просто ребутните в желаемом порядке, разумеется используя НЕ стандартный загрузчик, а тот, что определит более новый образ венды и загрузит его, либо с сети как-то загрузится, короче логика какая угодно может быть, проблем сделать не вижу..А невидимая рука рынка заставляет повышать эффективность бизнеса любой ценой, и за счет безопасности в том числе, не только информационной, но и биологической - когда вам ГМО пихают, и тд и тп, это проблема системы - "капитализма с человеческим лицом", подумайте когда на выборы пойдете.
> когда вам ГМО пихаюта казался нормальным…
да он - то как раз нормальный, а ты хто? представитель зaлотоxо миллиaрtа?
> да он — то как раз нормальный, а ты хто? представитель зaлотоxо
> миллиaрtа?а я просто хорошо в школе учился и от аббревиатуры «ГМО» не впадаю в панику.
Чем тебя ГМО не устраивают? Еще один...
Если сможешь назвать хоть один не-ГМО растительный продукт (из тех, что выращивается в промышленных масштабах) - мы вернемся к этому разговору. Подсказка - гуглить все про полиплоиды, колхицин и сортовую работу, это если навскидку.
ты с ума сошёл? люди, у которых трясучка от букв «ГМО» — патентованые идиоты. а ты с ними пытаешься разговаривать как с разумными.нет, я честно проверял. статистика за несколько сотен перевалила. идиоты. все.
Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии LiveUpgrade, не одинок в своем кластере.
> Сервер банкоматов, работающий в режиме нон-стоп 24x7x365 под операционкой, не имеющей технологии
> LiveUpgrade, не одинок в своем кластере.Кластер не является полноценным HA-решением. Дисковая система ОДНА. Общая. Единая точка отказа. Петь про аппаратную репликацию не стоит, ибо НЕ РАБОТАЕТ она под реляционными БД. Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.Речь идет о серверах обслуживающих систему банкоматов?
Нелязя ли поподробнее, про транзакции которые не откатываются?
>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
> Речь идет о серверах обслуживающих систему банкоматов?
> Нелязя ли поподробнее, про транзакции которые не откатываются?Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным либкез никто устраивать не обязан.
>>>Не поднимаются БД на реплицированных СХД. Транзакции не откатываются.
>> Речь идет о серверах обслуживающих систему банкоматов?
>> Нелязя ли поподробнее, про транзакции которые не откатываются?
> Нельзя. Кто работал с кластерами, СУБД и аппаратной репликацией - понимает. Остальным
> либкез никто устраивать не обязан.Очень в духе местного менталитета.
> Кластер не является полноценным HA-решением. Дисковая система ОДНАА не надо делать HA, делайте SFT III. Будет две дисковых системы и настанет вам щасте.
В пингвине кстати реализовано уже.
А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то как раз взломать сравнительно сложно, проще админский пароль с админского десктопа стырить.
Вот запрет винды на десктопах админов - это да, сильно ударит по хаксорам и значительно усложнит им жизнь.Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть куда более простой, но не менее эффективный rm -rf /
> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.работал под виндой 5 лет, ни одного пароля не стырили. ЧЯДНТ?
ты никому не был нужен. Некоторые и до сих пор на WinXP SP2 сидят и все нормально, но это не значит, что на сегодняшний день она является безопасной системой.
> А кто сказал, что в первую очередь защищать нужно именно сервера? Их-то
> как раз взломать сравнительно сложно, проще админский пароль с админского десктопа
> стырить.
> Вот запрет винды на десктопах админов - это да, сильно ударит по
> хаксорам и значительно усложнит им жизнь.
> Насчет LiveUpgrade - это не киллер-фича солярки, во всех остальных юниксах есть
> куда более простой, но не менее эффективный rm -rf /Анон, ты ничего не перепутал, не? Ты хоть где-нибудь можешь обновить ось в мультиюзере, с одним рестартом? При чем тут патч Бармина? (крутит пальцем у виска) Отсыпь травы?
unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают, то всё будет ок
если регистратор взломан, то изменения от него будут подписаны честь по чести и DNSSEC не спасёт. лично мне вот так видится...
> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
> то всё будет окDNSSEC и использование TCP приводят только к понижению безопасности. В былые времена основанный на UDP протокол был верх простоты и надежности, пока Камински не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC. Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги в DNSSEC затмевают все остальное.
>> unbound нужно использовать с форсированным dnssec, тогда если корневые dns не взломают,
>> то всё будет ок
> DNSSEC и использование TCP приводят только к понижению безопасности. В былые времена
> основанный на UDP протокол был верх простоты и надежности, пока Камински
> не расшевелил осиное гнездо и не родили свехусложненный и неочевидный DNSSEC.
> Посмотрите ченджлоги bind, за последние несколько лет проблемы безопасности и баги
> в DNSSEC затмевают все остальное.это потому что старый код успешно был изучен за десятки лет спецслужбами, "демократические антитеррористические" бэкдоры установлены и все жили спокойно. Новый бинд поиходится терзать, так как он сволочь хуже поддается взлому. Но работы ведутся, все под контролем.
http://www.veteranstoday.com/2011/06/07/going-rogue-natos-wa.../
>остается HTTPS, при котором при обращении к подставному домену будет выведено предупреждение для скрытия которого атакующим требуется заполучить серверные SSL-сертификаты.получить бесплатный сертификат let's encrypt займет минуту 1... или любой другой бесплатный сертификат