Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (https://openvpn.fox-it.com/) (вариант OpenVPN с усиленной защитой), раскрыла (https://www.fox-it.com/en/insights/blogs/blog/fox-hit-cyber-.../) информацию о произошедшей в сентябре компрометации своей инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфактоной аутентификации появилась у регистратора относительно недавно).
Получив контроль за доменом, атакующие не несколько минут перенаправили электронную почту на свой сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.
URL: https://www.fox-it.com/en/insights/blogs/blog/fox-hit-cyber-.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47764
>Специализирующаяся на компьютерной безопасности компания
>по недосмотру на сайте регистратора не была включена двухфакторная аутентификацияEpic win. И смех, и грех.
Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.
Привет многим.
> Привет многим.Приветы криптопро и прочим. У датчан вот конторка делающая что-то для правительства по крайней мере публикует сорец и отчитывается о продолбах. А о том что разломали криптопро - никто и не узнает, да и сорц не покажут.
>А о том что разломали криптопро - никто и не узнаетИ даже пруф уважаемый Аноним может предоставить?
А кто Вам должен рассказать, если само крипто-про. то они косвенно это сделали, выпустив версию 3.6.777, удалив все другие, и выпустив рекомендацию от себя и ФСБ о переходе на вышеуказанную версию.
И что? Это говорит максимум о закрытии опасной уязвимости, а не о загадочном взломе, скрываемом спецслужбами.
>они косвенно это сделалиА власти скрывают... на самом деле через дыру в крипте утекло пять тыщ миллионов личных данных жителей, просто этот факт упорно скрывается ФСБ и криптой...
"пять тыщ миллионов", это пять миллиардов что-ли? А личные данные в чем выражаются, что это? То что у них случился фейл, факт подтвержденный, но что это за фейл, и как его использовали, действительно интересно.
Никаких дыр не надо, сервер с личными данными *всех* госусликов светит в интернет базу с рутом и без паролей
> И даже пруф уважаемый Аноним может предоставить?Сорца нет. Для обладателей мозга это пруф намерений и подходов. Но вы можете верить джентльменам из криптопро на слово.
> А о том что разломали криптопро - никто и не узнает, да и сорц не покажут.зависть - смертный грех.
(ибо зачем ЕЩЕ тебе могут понадобиться исходники? Ах, ну конечно же, чтоб быстренько исправить там все ошибки и отдать обратно криптопре, как я не догадался!)ну а кто-то, видишь, не ждал милостей от природы, сп-л их самостоятельно. Ну или обошелся идопрой, но эт вряд ли. И вот он теперь в монтекарле проматывает выручку, а ты - неудачник.
> зависть - смертный грех.а тупость и лоховство - чего?
> (ибо зачем ЕЩЕ тебе могут понадобиться исходники? Ах, ну конечно же, чтоб
> быстренько исправить там все ошибки и отдать обратно криптопре, как я не догадался!)для начала чтобы проверить что все честно, а потом может и баги найдутся
> ну а кто-то, видишь, не ждал милостей от природы, сп-л их самостоятельно.
да чур меня тырить сорцы мутной проприетари
> Ну или обошелся идопрой, но эт вряд ли.
пусть маклауды упражнаются, я ей уже наигрался
> И вот он теперь в монтекарле проматывает выручку, а ты - неудачник.
маклауд чтоли? проматывать выручку он будет лет через 20, а пока сидит в норке и реверсит
Датчан с голландцами не путаем?Что из похожего сделали датчане?
имянно. Как правило, это совершенно бесполезный лишний геморрой. Часто еще и опасный, сводит всю защиту ко второму фактору, симку спер - тебе без всяких проверок на нее высылают "восстановление пароля". Причем если уж включена - то на каждый чих.Правильно - не позволять менять ns'ы, primary-контакты и registrar lock через "интуитивно-приятные" интерфейсы вообще. Как в домене at - любое действие кроме безобидных требует факса nic.at (не регистратору, что характерно), с подписью владельца.
> симку спердаже не обязательно симку переть, достаточно перехватить sms, не так давно была новость - в германщине взломали оператора и перехватывали смски для воровства денег.
> даже не обязательно симку переть, достаточно перехватить sms, не так давно была
> новость - в германщине взломали оператора и перехватывали смски для воровства денег.Только там вначале жертвы получали в дар коняшку деревянную, которая тырила логины с паролями к банковскому аккаунту и сами мобильные номера.
Так сказать "классика" – только до этого cпециалисты по нечестному отъему денег заказывали у оператора вторую симку (и тут как повезет), а теперь вот решили наказать тех операторов, кто еще в 2014 хвалился устранить "самые-самые" дыры в SS7, но … языком маркетологов и пиарщиков молоть, это совсем не мешки денег на модернизацию выкладывать.
> не позволять менять ns'ы, primary-контакты и registrar lock через "интуитивно-приятные" интерфейсы вообщеВаш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быстро и удобно.
> Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быстро и
> удобно.а им-то зачем? Они сайт купили вместе с регистрацией и всей фигней.
В далекие времена, когда я имел отношение к регистрациям сайтов для клиентов, у нас была невидимая клиентам галочка, суть которой сводилась к "не идиот ли это". При ее установке домен регистрировался на нас. Потому что укажут почту на мэйлсру, от которой через пять минут забудут пароль, а через десять - что она у них вообще существовала, читать то что туда присылают ни в коем случае не будут, оплату пропустят, и вообще, меньше знают, крепче спят.за все время не нашлось ни одного достаточно ушлого, чтобы при этом хотя бы поинтересоваться, а его ли это теперь вообще домен.
> Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.Более того, SS7 никогда не делался с прицелом на безопасность и там можно вытворять что угодно. Если зимбабвийский хакер сообщит что номер роумится в его сети - ему поверят на слово. Мало ли почему вас в Зимбабве занесло.
Для тебя двухфакторная аутентификация — это только SMS?
Там виден SPC, с которого приходили IAM'ы. А так как это CONS, то отправитель может быть идентифицирован однозначно, в отличие от IP.
> Там виден SPC, с которого приходили IAM'ы. А так как это CONS,
> то отправитель может быть идентифицирован однозначно, в отличие от IP.ну идентифицировал - и что мне теперь делать с этим неудачником, владельцем взломанного гейта?
он уже, конечно, признался в том что взломал foxit, сервера Ватикана и АНБ и готовил покушение на президента (неизвестно, пока, какой страны), но пользы от этого, к сожалению, никакой.
> Там виден SPC, с которого приходили IAM'ы. А так как это CONS,
> то отправитель может быть идентифицирован однозначно, в отличие от IP.Ну узнаешь ты что это из какого-то зимбабвийского оператора или с какого-нибудь гейта. И дальше чего? Постепенно раздолбаи попадут в блеклисты, но за это время появятся новые и история повторится.
>Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору.от инсайда или от взлома регистратора не спасёт ничего.
конечно же, ни словом ни обмолвились о том, кто именно этот расп-яй регистратор.(сейчас их домен ведет на cloudflare,и это,наверняка, не те, кто проcрали credentials своих пользователей)
И в чем виноват регистратор?
> И в чем виноват регистратор?конечно же, ни в чем. Мне просто очень интересно, кто бы это мог быть.
И именно по этой причине его имя останется тайной навеки. Потому что на месте любого вменяемого пользователя (ты к ним не относишься) сменить его надо немедленно.
P.S. впрочем, "тоже мне, бином ньютона" - "18 лет назад", домен com, угадайте с одной попытки. Именно эти ребята пару лет назад попытались у меня сп..ть домен. Сами, без всяких ужасных хакеров. (нет, ничего такого - наверняка продали бы мне его тут же обратно - по хорошей цене)
>"18 лет назад", домен com, угадайте с одной попыткиОчевидный Enom очевиден.
> И в чем виноват регистратор?Может быть, тем, что у стороннего лица есть возможность "получить доступ к интерфейсу регистратора"?
> перейти к регистратору, не допускающему смену параметров домена через web-интерфейс.А как? Заказные письма слать с нотариально заверенной подписью?
уже обычный факс или даже скан подписанного документа весьма резко уменьшит количество желающих поиграть в эту игру.
Потому что во-первых, ты не захочешь снабдить полицию образцом своего почерка, во-вторых, взлом регистратора в странах пятого и шестого мира может быть расценен как невинная детская игра в крысу. А вот за подделку документа закроют всерьез и надолго.
>уже обычный факс или даже скан подписанного документа весьма резко уменьшит количество желающих поиграть в эту игру.Потому что ломы? Да может быть...
>Потому что во-первых, ты не захочешь снабдить полицию образцом своего почерка,Пох ... при уровне развития печатного дела на Западе (С) :-) Ну увидят они что Путен подписал, дальше что? Исполнят с особым рвением :-)
>во-вторых, взлом регистратора в странах пятого и шестого мира может быть расценен как невинная детская игра в крысу. А вот за подделку документа закроют всерьез и надолго.Это да. Правда как то так получается что в странах где за взлом регистратора не дрючат, то и факс за _документ_ не считается. Вот в России - уже считается или нет?
> Это да. Правда как то так получается что в странах где за
> взлом регистратора не дрючат, то и факс за _документ_ не считается.
> Вот в России - уже считается или нет?а это как повернуть. Если ты пытаешься на основании такого документа чего-то доказать - то чаще всего хрен там, а если мы тебя за него привлекли - то очень даже документ, потому что вот он - с подписью и всем прочим, и неважно, что родился на выходе из принтера ;-)
понимаешь, майор, в результате такого гопацкого подхода к жизни у тебя будет вместо стартапов только всякое пилково, с которых взять нечего кроме беглых манагеров, а как ты будешь на свою пенсию жить никого не колышет... но ты можешь попытаться наворовать, но будучи майором врядли сопрешь достаточно для того чтобы спать спокойно
> а как ты будешь на свою пенсию жить никого не колышет...А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street и тяжелейшие проблемы пенсионных фондов в пупе демократии.
> А-аа, так вот как связаны разогнанный по камерам Occupy Wall StreetДада, и еще они негров линчуют. А почему вы считаете что это для вас оправдание? Почему вы вообще стремитесь из всех выбирать только самое мерзкое и нехорошее?
> и тяжелейшие проблемы пенсионных фондов в пупе демократии.
Не помню чтобы тамошний пенсионный фонд позволял себе "замораживать" что либо как некоторые и пытаться менять правила игры постоянно, устраивая пенсионерам лохотрон. Проигравшие лохотрон уже окучивают помойки супермаркетов, собственно. Нет, не в сша. В многих городах РФ. Я такое в столице видел. Такая вот империя, перепихнувшая проблемы имперского п-нта на пенсионеров. Молодцы, так держать. Знаете, вы вполне заслуживаете то будущее которое строите. Это чертовски честно.
RIPE так и делает, и это почему-то никого не смущает.
Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.
> Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.А ты можешь свою обеспечить? Вот допустим у тебя ведро. И тебя постоянно ломают, потому что ведро никто не обновляет, потому что дрова специально статически слинкованы с ядром, чтобы никто не посмел обновить ядро в обход вендора, чтобы вендор всех послал покупать новый телефон, чтобы от этого был спрос на новые телефоны, чтобы со стороны вендоров был спрос на новые чипы. Вот допустим у тебя гейфон - и тогда ты уже на анальном крючке эппла.
А что делать то?
> А что делать то?Звонилок засолить про запас, например. А не складывать в заведомо недоверенную платформу вообще всё своими руками.
- Специализирующаяся на компьютерной безопасности компания
- По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
- Компрометации инфраструктуры/0
> - Специализирующаяся на компьютерной безопасности компания
> - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
> - Компрометации инфраструктуры
> /0Не ошибаются только Анонимы сопенета. </успех>
Они в большом долгу перед компобезопасностью. </стыд>
Л - Логика. </таг>
Понимаешь ли в чём дело. Я могу подобным образом ошибаться, сколько мне влезет - я не позиционирую себя, как IT Security Company, не провожу аудитов по безопасности и т.п.Но как только начну - такой факап с собственной инфраструктурой "по недосмотру" станет мне непростителен. Ты доверишь Security Audit и Threat Management компании, которая только что про***ла своё собственное хозяйство. Да ещё "по недосмотру"? Вот и я нет.