| 1.1, An (??), 14:28, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
Дожили.
Особенно интересно это "...использовался самоподписанный HTTPS-сертификат,...что не помешало в ходе грубого фишинга украсть..."
| | |
| |
| 2.5, IB (?), 14:44, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
См следующий вопрос.
Весьма вероятен или подкуп сотрудника или взлом его компьютера (с физическим доступом?).
За пару лет куча случаев кражи SSH ключей/паролей с домашних компов админов.
| | |
| |
| 3.15, нах (?), 15:23, 25/04/2018 [^] [^^] [^^^] [ответить] | –5 +/– | если у тебя есть 24276 ETH - тебе не надо ничего взламывать Мне 5000, и пока ме... большой текст свёрнут, показать | | |
| |
| 4.19, Аноним (-), 15:44, 25/04/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> сети у большого магистрального оператора очень сложные
ойли, циска аср9000, чтoле сложная, бгп чтoле сложная, или вариаций железа много? Я скорее поверю что у деревенского админа васи сеть на убиквитях сложнее с фееричными костылями чем у апстримов.
> куда тыкаться и что править.
в таблицу маршрутизации, добавлять приоритет динамическому маршруту, или тупо статику нарисовать.
> тут, блин, при наличии документации и помощи коллег разбираешься месяцами.
А вы с почтой россии не путаете, там мб так и есть, бордер настраивается 20 минут с нуля, ну ацльки порисовать час полтора два.
| | |
| |
| 5.35, нах (?), 18:16, 25/04/2018 [^] [^^] [^^^] [ответить] | –4 +/– | тебя ждут не дождутся в Билайне Говорят - десятого уже собеседуем, а ни кар, ни... большой текст свёрнут, показать | | |
| |
| 6.61, a (??), 23:59, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Больших сетей не видел даже на картинке
Ну так скачай посмотри.
> Бордеры, да еще с сотнями пиров
Тебя от собственной важности прет, или у вас бгп на дсл-модемах? Препенды крутить высшее колдунство, ага.
| | |
| |
| 7.80, нах (?), 11:15, 26/04/2018 [^] [^^] [^^^] [ответить] | –2 +/– | ну так что же ты где, кстати, скачать А то я свои не могу показывать, а иногд... большой текст свёрнут, показать | | |
| |
| 8.88, Аноним (-), 14:04, 26/04/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Да, да, давай расскажи как ты там фотонные коммутаторы в детском саду настраивал... текст свёрнут, показать | | |
| |
| 9.89, Аноним (-), 14:11, 26/04/2018 [^] [^^] [^^^] [ответить] | +/– | кстате о билайне, чувак оттуда на мое место приходил устраивался, там видимо сов... текст свёрнут, показать | | |
| |
| 10.90, нах (?), 14:54, 26/04/2018 [^] [^^] [^^^] [ответить] | +/– | повторяю для непонятливых если чувак назвал тебе в качестве места работы сам Би... большой текст свёрнут, показать | | |
|
|
|
|
| 6.69, sergey (??), 07:55, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Да ну нафиг этот пчелайн, лет несколько назад (4-5) для оптимизации бизнес процессов поувольняли кучу народу с хорошим опытом и сертификатами мурзиковскими по BGP, а управление сеткой и поддержку отдали на аутсорсинг, теперь вот типа народ ищут, кто с ними работал раньше их уже не заманишь к ним, слава богу что ума хватило не трогать те участки сети где нормальные люди строили, ещё пока работает.
| | |
| |
| 7.79, нах (?), 11:06, 26/04/2018 [^] [^^] [^^^] [ответить] | +/– | чувак, ты отстал от жизни - они уволили _всех_ оптимизировать начали еще в 20... большой текст свёрнут, показать | | |
|
|
|
| |
| 5.78, нах (?), 10:58, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Капец ты продажный.
то есть, тебе 5000 предлагать бесполезно, ты хочешь сразу все 24? ;-)
| | |
|
|
|
|
| 1.3, meequz (ok), 14:37, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
| | |
| |
| 2.16, нах (?), 15:25, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
легко. Совершенно беспалевно - за эти-то бабки.
Там, наверное, уже от всего отдела, отвечающего за бордеры, только пустые столы и зажеванная принтером копия билета в какую-то теплую карибскую страну, не выдающую уголовных преступников.
| | |
| |
| |
| 4.20, fi (ok), 15:52, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
 24276 ETH, что составляет более 15 млн долларов США.
| | |
| |
| 5.62, Ordu (ok), 00:22, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Это у них в кошельке 24276, а увели они всего на $137k.
| | |
| |
| 6.87, нах (?), 13:59, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Это у них в кошельке 24276, а увели они всего на $137k.
ага, а остальные 24 тыщи, конечно ж, сами намайнили.
Это они спалились на $137k. (что, кстати, позволит отделатся условным сроком, даже если поймают - и жить припеваючи не в карибской стране, а прямо в US. И даже налогов платить не придется...эх, где мои семнадцать лет...)
| | |
| |
| 7.94, Аноним (-), 03:39, 27/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> эх, где мои семнадцать лет...)
Fort Knox пойдет? :) Американская фемида любит учитывать все! По совокупности там еще какое-нибудь незаконное проникновение в системы найдется и все такое прочее. Как раз и поживешь прямо в US. Может даже не 17 лет а подольше. Во всяком случае, создателю silk road вроде таки на пожизненное по общей сумме достижений набралось.
| | |
|
|
|
| 4.36, нах (?), 18:19, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> $137к? как-то так себе
если они только этим ограничились, то да. На одного индуса, и то впритык. Но раз у ребят два дестятка ТЫЩ eth - они нихрена на этом не остановились ;-) Просто владельцы конкретного сайта начали, видимо, плакаться, а остальные молчат.
| | |
|
|
| 2.70, sergey (??), 08:01, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, как они получили доступ к BGP-маршрутизатору. И насколько беспалевно.
Вполне себе без палева, как говорится лохов надо наказывать, особенно когда мышей не ловят, для тех кто в курсе CVE-2018-017
| | |
|
| 1.7, Аноним (-), 14:53, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +39 +/– |
Если тебе браузер орет "невалидный сертификат", а ты заходишь значит крипта это не твое.
| | |
| 1.21, Аноним (-), 16:01, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | Заранее прежупреждаю, что я в этом не силён, потому и спрашиваю Теоретическа, а... большой текст свёрнут, показать | | |
| |
| |
| |
| 4.81, dss (ok), 11:37, 26/04/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.
| | |
| |
| 5.83, Аноним (-), 13:00, 26/04/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> При чем тут сертификаты? DNSSEC довольно неплохо защищает от самого DNS спуфинга.
А, понял вас.
Да, защищает. Но проверяет ли его LE?
| | |
|
|
|
| 2.37, нах (?), 18:26, 25/04/2018 [^] [^^] [^^^] [ответить] | +/– | а зачем Если у тебя уже перехвачен dns или хост, LE с радостию великой выпустит... большой текст свёрнут, показать | | |
| |
| 3.47, Аноним (-), 19:37, 25/04/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Цель атаки 8211 направить юзеров на фишинговый браузерный кошелёк На сервера... большой текст свёрнут, показать | | |
| |
| 4.49, Аноним (-), 19:40, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> пока каким-то образом ты не направишь к себе траффик того, на чье имя его выдали.
Через анонс как раз это и делается. Трафик _к_ MEW попадёт к атакующему, т.к. запросы об адресе MEW будет отдавать фэйковый NS, к которому будут обращаться все, кого заденет анонс атакующего.
| | |
| 4.50, Аноним (-), 19:41, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
s/общается с настоящим NS, а не зловредным/общается с зловредным NS, а не настоящим/
| | |
| 4.96, Аноним (-), 04:13, 27/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Возвращаясь к моему вопросу: я пытаюсь понять, мог ли злоумышленник получить валидный
> сертификат от LE, если бы LE не знал, что он общается с настоящим NS, а не зловредным.
Настоящий NS послал бы LE на настоящий сервер и злоумышленник вероятно получил бы дырку от бублика. По идее для успеха такой атаки злоумышленнику надо как-то обмануть еще и LE, так чтобы тот сходил на именно сервер злоумышленника. Насколько это получится - вопрос.
| | |
| |
| 5.101, Аноним (101), 17:52, 02/07/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да-да, я это и имел в виду. Если зловредный анонс задевает крупнейших провайдеров, то он мог задеть и провайдеров, которыми пользуется Let's Encrypt, и LE стал бы общаться с DNSом атакующего, через него проверил бы контрольную строку в TXT для выдачи сертификата, и выдал бы сертификат. Либо с того же DNSа атакующего взял A/CNAME сервера атакующего и сходил бы по http на well-known адрес, через который производится проверка.
| | |
| |
| 6.102, Аноним (101), 17:55, 02/07/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Кажется, тут помогло бы только следующее:
1) HPKP (HTTP Public Key Pinning);
2) сайт, на котрый производится атака, должен использовать другой CA, которым не пользуется злоумышленник.
| | |
|
|
|
|
|
| |
| 2.38, нах (?), 18:30, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Интеррреееесно, а у этого самого eNet скомпрометированные роутеры не на джуниках
если у них принимаются bgp пакеты от кого попало, без фильтрации - пофиг, на чем там роутеры.
(кстати, у магистралов бывает, им вечно некогда нормально политики настроить)
| | |
|
| 1.26, Аноним (-), 17:00, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Ну хорошо, переправили трафик на MyEtherWallet.com,
а откуда они взяли сертификат для него? Или у MyEtherWallet.com нет https?
| | |
| 1.27, Аноним (-), 17:07, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> самоподписанный HTTPS-сертификат
Раз уж завернули на себя DNS, могли бы заодно получить letsencrypt сертификат по
DNS проверке, например. Ленивые злоумышленники
| | |
| |
| 2.28, Аноним (-), 17:12, 25/04/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
точняк.
значит все-таки https - мусор, и никакой пупер-секурности не дает. а так натягивают его, натягивают всем :)
| | |
| |
| |
| 4.39, Аноним84701 (ok), 18:38, 25/04/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Просто policy не поставили правильно. Если стоит, то тогда например Chrome вообще не пускает никак.
С помощью какой именно policy можно запретить хрому заходить на хайджекнутые сайты, где для атакующего принципиально не проблема раздобыть валидный LЕ сертификат?
| | |
|
| 3.34, dss (ok), 18:05, 25/04/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> точняк.
> значит все-таки https - мусор, и никакой пупер-секурности не дает. а так
> натягивают его, натягивают всем :)
на то hpkp и придуман
| | |
| |
| 4.45, Адноним (?), 19:26, 25/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
hpkp не спасет отца русской демократии, ведь проблема во всех 3х местах - изначально strict BGP (bgpsec, rpki режимы работы пиров только по согласованию обоих сторон), HTTPS ocsp, DNS тоже по дефолта кефира не секрет и не подписан
| | |
| 4.53, Аноним (-), 20:32, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> на то hpkp и придуман
Ага, только? во-первых, ни одним клиентом ACME он не поддерживается, а во-вторых, гугл сказал, что HPKP не нужен, так что жить ему осталось всего ничего.
| | |
| |
| 5.82, dss (ok), 11:41, 26/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
А зачем его должны поддерживать клиенты ACME?
ACME занимается получением сертификатов. А ротацией ключей ему не надо заниматься.
| | |
|
|
| 3.44, нах (?), 19:19, 25/04/2018 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> значит все-таки https - мусор, и никакой пупер-секурности не дает.
ну как же не дает? Если бы не https - любой васян сосед по подъезду мог бы по дороге спереть твой кошелечек. А так - только хорошие парни, админы крупной сети.
| | |
| 3.55, Аноним (-), 21:12, 25/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Чтобы это был не мусор надо понимать различие сертификатов. Как написали выше DV сертификат тебе не гарантирует что сайт принадлежит этой организации.
| | |
|
| 2.40, Аноним (-), 18:42, 25/04/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> После BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту.
Они подменили MyEtherWallet.com только для ограниченного числа интернет пользователей, а именно тех, кто поверил их ложному анонсу (несколько довольно крупных провайдеров). Не факт, что Let'sEncrypt был среди их числа (а значит, при попытке получить сертификат, LE общался бы с настоящим сайтом). По сути они устроили anycast - для небольшой части интернета был один MyEtherWallet.com, для другой части - настоящий MyEtherWallet.com.
| | |
| |
| 3.42, нах (?), 19:18, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
вам же сказали - этот оператор апстримит амазон. "Поверили" все, может даже включая сам амазон, если ему тоже прилетело. Ни фильтрация не спасет от такого, ни multihome.
Поскольку анонсили они /24, а амазон (лень проверять, но почти наверняка) анонсится гораздо более крупными блоками - не пострадали только те, кто был непосредственными клиентами других амазонских апстримов (и то если анонсилось именно от имени амазоновской as, а, собственно, зачем им?) ну и те, до кого анонс просто не успел добраться, и они продолжали общаться с агрегатом.
| | |
|
|
| |
| 2.54, Аноним (-), 20:34, 25/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Let's Encrypt надули?
Нет, лоханулись. В следующий раз обещали исправиться.
| | |
|
| |
| |
| 3.56, ыы (?), 21:20, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Ютуб не волнует что там с население Пакистана будет.
Ютуб законопослушный. Очень. Как ему скажут дяди в погонах -так и сделает.
| | |
| |
| 4.75, Аноним (-), 10:30, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
Но гугл не выгнал телеграм со своих айпишников, пуши не отключил, из российского маркета не удалил.
| | |
|
|
|
| 1.58, Аноним (-), 22:42, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>на котором использовался самоподписанный HTTPS-сертификат
А если бы юзали let's encrypt, то сертификат был бы настоящий.
| | |
| |
| 2.59, YetAnotherOnanym (ok), 23:06, 25/04/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Да, в этом вся суть LE - исполни спуфинг один раз для их сервера, и можешь потом исполнять его для всех остальных уже с валидным сертификатом, выданным столь любимым опенсорсниками УЦ.
| | |
| |
| 3.76, нах (?), 10:55, 26/04/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Да, в этом вся суть LE
в этом суть dv (digital validation)
le просто во-первых выполняют ее наихудшим образом, или были пиoнерами в этом, во-вторых, те кто за ними стоит, старательно уничтожили более вменяемых конкурентов и частично нивелировали технические средства защиты (pkp). Товарищу майору ж неудобно...
| | |
|
|
| 1.60, Dmitry77 (ok), 23:43, 25/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вообще текущая архитектура http довольно уязвимая.
По хорошему MEW должен распологаться в столь любимом криптовалютчиками IPFS.
Вообще таким же успехом владельцы MEW могли сами подзарабработать свалив это на BGP
| | |
| |
| 2.73, Аноним (-), 09:17, 26/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
MEW должен располагаться на компе пользователя, и подключаться к локальной ноде.
А если по-хорошему, то он вообще не нужен
| | |
| |
| 3.86, Dmitry77 (ok), 13:52, 26/04/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
это следствие кривости интернета, который "держится благодаря милиции".
| | |
|
|
| 1.71, Аноним (-), 08:55, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Какие-то они странные. Амазон взломали, а валидный сертификат не сделали.
| | |
| 1.74, Аноним (-), 09:41, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
дык, как можно получить валид сертификат на домен не имея к нему доступ ?
разве что на момент атаки сделать запрос в letsencrypt на получение, но на сколько такое возможно.
| | |
|
