The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлен инструмент для проведения атак 'DNS rebinding'"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен инструмент для проведения атак 'DNS rebinding'"  +/
Сообщение от opennews on 06-Авг-10, 00:04 
На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил (http://www.esecurityplanet.com/news/article.php/3895851/Mill...) простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind (http://code.google.com/p/rebind/).


Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на к...

URL: http://www.esecurityplanet.com/news/article.php/3895851/Mill...
Новость: http://www.opennet.dev/opennews/art.shtml?num=27533

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен инструмент для проведения атак DNS rebinding"  –2 +/
Сообщение от klalafuda on 06-Авг-10, 00:04 
Мнда. Все гениальное обычно просто как 3 рубля :))) За простоту идеи - зачет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Представлен инструмент для проведения атак DNS rebinding"  –5 +/
Сообщение от klalafuda on 06-Авг-10, 00:14 

PS: Да, как по всей видимости всем я думаю очевидно, это будет прекрасно работать и в случае, если пользователь сидит не только под дырявой и глючной виндой но и под железобетонным и стабильным как скала линуксом ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Представлен инструмент для проведения атак DNS rebinding"  +4 +/
Сообщение от alen (??) on 06-Авг-10, 01:14 
вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Представлен инструмент для проведения атак DNS rebinding"  –3 +/
Сообщение от klalafuda on 06-Авг-10, 01:20 
> вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)

А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне зависимости от используемой десктопной OS..

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Представлен инструмент для проведения атак DNS rebinding"  +3 +/
Сообщение от Поросеночек on 06-Авг-10, 03:26 
Многие.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Представлен инструмент для проведения атак DNS rebinding"  –3 +/
Сообщение от Аноним (??) on 06-Авг-10, 08:46 
А ж целых 2 человека :)
Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли ?:)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Представлен инструмент для проведения атак DNS rebinding"  +1 +/
Сообщение от XoRe (ok) on 06-Авг-10, 09:42 
>А ж целых 2 человека :)
>Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли
>?:)

А там не к веб морде доступ был, а к консоли.
А в большинстве роутеров консольный рутовый пароль из веб морды не поменяешь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от User294 (ok) on 06-Авг-10, 17:48 
>А в большинстве роутеров консольный рутовый пароль из веб морды не поменяешь.

Обычно рутовый пароль SOHO маршрутизаторов совпадает с тем что задано как административный в вебморде и меняется синхронно с этим паролем. Потому что юзеру удобно 1  пароль на все. А греть мозг кучей разных паролей - неудобно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от sHaggY_caT (ok) on 06-Авг-10, 10:09 
>А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне >зависимости от используемой десктопной OS..

Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Представлен инструмент для проведения атак DNS rebinding"  –2 +/
Сообщение от klalafuda on 06-Авг-10, 10:14 
> Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)

Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и им подобные? Они по самому факту покупки нетбука тоже автоматически переходят в разряд advanced? :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от sHaggY_caT (ok) on 06-Авг-10, 10:18 
>> Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)
>
>Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и
>им подобные? Они по самому факту покупки нетбука тоже автоматически переходят
>в разряд advanced? :)

Такие приглашают домой "мастера", и дальше все зависит исключительно от его криворукости в настройке модема/роутера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Аноним (??) on 06-Авг-10, 10:31 
Они по самому факту покупки нетбука автоматически переходят в разряд покупателей коробочной версии винды.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Аноним (??) on 06-Авг-10, 12:52 
У меня около десяти знакомых с Linux не меняли дефолтный пароль на ADSL-рутерах, мотивируя тем, что интерфейс доступен только через intranet-порт. Похоже те кто пароль меняют скорее исключение из правил, так как большинство ADSL-рутеров пробрасывают PPPoE в дефолтовой конфигурации, простые пользователи даже не догадываются, что на ADSL-рутер можно через web/telnet зайти.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от xv (??) on 06-Авг-10, 17:42 
> А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :)

Ты удивишься.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 17:43 
> Ты удивишься.

Мсье желает поделиться конкретной статистикой? Просим просим. Было бы очень любопытно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от аноним on 06-Авг-10, 01:29 
К чему это было сказано?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Представлен инструмент для проведения атак DNS rebinding"  –1 +/
Сообщение от klalafuda on 06-Авг-10, 01:46 

JFYI
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Представлен инструмент для проведения атак DNS rebinding"  –1 +/
Сообщение от Trend on 06-Авг-10, 00:59 
не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно? Нахрена его разрешать с помощью внешнего днс? Или просто новость так неясно изложена.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Представлен инструмент для проведения атак DNS rebinding"  +2 +/
Сообщение от Ананимуз on 06-Авг-10, 01:49 
"Просто вшить", это делать XMLHttpRequest на другой домен, для чего нужны дополнительные телодвижения, которые можно и пресечь. А тут все происходит в пределах одного доменного имени. Самый обычный раундробин, ничего незаконного. Разве что TTL сильно короткий.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Представлен инструмент для проведения атак DNS rebinding"  +1 +/
Сообщение от smail01 on 06-Авг-10, 01:50 
Для того что бы получать команды и отправлять обратно аттакеру полученные данные.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Представлен инструмент для проведения атак DNS rebinding"  +1 +/
Сообщение от Аноним (??) on 06-Авг-10, 09:06 
XMLHttpRequest позволяет отправлять обращения только к домену на котором крутится текущая страница.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Представлен инструмент для проведения атак DNS rebinding"  –1 +/
Сообщение от XoRe (ok) on 06-Авг-10, 09:45 
>не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно?
>Нахрена его разрешать с помощью внешнего днс? Или просто новость так
>неясно изложена.

А у меня роутер имеет адрес 192.168.245.1 =)
А вообще - если ты зашел на xxx.com, то запрос на 192.168.0.1 не пройдет.
Пройдет запрос на img.xxx.com (который и надо биндить на 192.168.0.1).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Представлен инструмент для проведения атак DNS rebinding"  –1 +/
Сообщение от Аноним (??) on 06-Авг-10, 10:20 
Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.

В NoScript по той же логике заблочено.

Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Представлен инструмент для проведения атак DNS rebinding"  +1 +/
Сообщение от God on 06-Авг-10, 10:59 
Rebind has been successfully tested against the following browsers:

IE6        Windows XP SP2  
IE7        Windows XP SP3  
IE8        Windows XP SP3  
IE8        Windows 7        
FF 3.0.15    Windows XP SP3  
FF 3.0.17    Ubuntu Linux 9.04
FF 3.5.6             Ubuntu Linux 9.10
FF 3.5.7     Windows XP SP3  
FF 3.6        Windows XP SP3  
FF 3.6        Windows 7        
FF 3.6        OSX 10.6.2      
Chrome 4.1    Windows XP SP3  
Opera 10.10    Windows XP SP3  
Opera 10.54    Windows XP SP3  
Safari 4.0.4    Windows XP SP3  
Safari 4.0.4    OSX 10.6.2      

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Аноним (??) on 08-Авг-10, 08:42 
Никто и не сомневался.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Представлен инструмент для проведения атак DNS rebinding"  +1 +/
Сообщение от ig0r (??) on 06-Авг-10, 11:10 
> Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.

а там нету редиректа на адреса из RFC1918. читайте внимательно.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от AAF on 06-Авг-10, 12:26 
Ключевой момент: "...открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет". Короче, не пользуйте это, ибо, как только Вы даете выполнятся любому исполняемому коду со стороны, так вероятность проникновения всякой дряни на ваш компьютер резко возрастатет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от User294 (ok) on 06-Авг-10, 18:22 
NoScript в фирефоксе - рулит :-)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Антон (??) on 06-Авг-10, 13:00 
>Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W
>выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

Трояны давно через обычные сайты распространяются, особенно часто такое встречается на сайтах разных средней руки фирм и гос. структур. Был случай даже когда вредоносный код появился в клиентском личном кабинете местного Ethernet-провайдера. У нас на хостинге процентов 10 клиентов подхватывали заразу которая по FTP на их сайт вставляла вредоносный код. Заражаются либо подхватывая на виндовой машине троян либо когда пользуются нешифрованным FTP, а в локальной сети кто-то подхватил снифящий пароли троян. То что зараза подхватывается только на разных хакерских, порно и прочих неблагонадежных сайтах - давно миф.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от KOL (ok) on 06-Авг-10, 16:15 
В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 16:32 
> В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.

Вся Сеть просто завалена горами подставного мусора, которые тем не менее генерят дикий трафик. Так что сделать и, что немаловажно, раскрутить систему, которая бы работала по указанному принципу и направить в неё стройную колонну жертв - дело лишь техники. Сравнительно несложной, замечу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 13:20 
> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких - подавляющее большинство.

Да, кстати. Это ж ведь только тупая попытка войти админом на рутер. Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту включен и через который точно так же можно сделать массу интересных вещей.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от XoRe (ok) on 06-Авг-10, 14:37 
>> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
>
>Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких
>- подавляющее большинство.
>
>Да, кстати. Это ж ведь только тупая попытка войти админом на рутер.
>Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту
>включен и через который точно так же можно сделать массу интересных
>вещей.

Да, кстати.
UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.
Для этого даже не нужно пароля к роутеру.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 14:46 
> Для этого даже не нужно пароля к роутеру.

Именно...

PS: Конечно, если UPnP на маршрутизаторе не запрещен. Обычно по дефолту он там разрешен. И существенно меньшая часть 'гуру' которые крутят их для SOHO вообще знает, что такое UPnP и с чем его едят. Как следствие - даже и не задумываются на тему 'А не выключить ли мне его?'.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от User294 (ok) on 06-Авг-10, 18:24 
>UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.

А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 19:27 
> А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

На, сходи, расширь свой кругозор. Пойдет только на пользу.

http://upnp.org/sdcps-and-certification/standards/

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от йййй on 06-Авг-10, 22:06 
т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от klalafuda on 06-Авг-10, 22:36 
> т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.

Да, конечно. По крайней мере в той версии, что описана в новости. Но если сделать скрипт чуть поумнее и научить его, допустим, открывать снаружи вовнутрь порты на маршрутизаторе через UPnP (что не сложно), то в случае успеха потом уже можно и напрямую шуровать. Что куда как интереснее. Все-таки скрипт by design сильно ограничен в своих возможностях.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Аноним (??) on 07-Авг-10, 00:39 
В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от CoolKid on 07-Авг-10, 13:11 
>В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...

а разница какая? от этого он становится меньше уязвим?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Представлен инструмент для проведения атак DNS rebinding"  +/
Сообщение от Аноним (??) on 07-Авг-10, 15:04 
На интерфейсе, который торчит в модем нет ипы - до него просто не доберёшься)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру