Агаву на кактус!, уязвимость уровня ДЦ

[kostich]

Немного отхожу от шока, но настроение в целом прибавилось. Собственно в очередной истории с инжектом на один из сайтов был слегка шокированы т.к. возможность кражи их вирусами была исключена. И вот он хит сезона - возможность проведения атак типа arp poisoning cache внутри агавовской 89.108.80.0 - 89.108.95.255.

Т.е. если по русски, то практически любой из подключенных к этой сети может завернуть через свой хост трафик практически любого подключенного к этой сети. Любой из клиентов может убедиться в этом используя утилиту ettercap, которая как раз и предназначеня для проверки качества безопасности сети.

Не долго думая мы попробовали набрать: ettercap -a ./etter.conf -i em0 -T -M arp:remote /89.108.80.1/ /89.108.65.143/ и наши глаза вылезли из орбит.

АГАВУ НА КАКТУС!

И т.к. я не могу доказать, что мои конфиденциальные данные были украдены именно так, то и претензий к Агаве в очередной раз предъявлять не буду. Прошлый раз у них нашли массовый дырявый шаред. Прошу заметить, что атаки уровня arp poisoning cache известны с момента появления первых свичей.

Вис бест регардс,
Константин Ефимович

Сообщение отредактировал kostich - 9.4.2008, 18:47

[Антон Богатов]

А может кто-нибудь перевести пост топикстартера на русский язык?

[martin74]

трафик любого клиента DC агавы можно завернуть на собственный сервер на агаве, проанализировать, отснифить и т.п. Причем доказать это практически невозможно.

[Антон Богатов]

Любопытно. Между прочим, это уголовное преступление по российскому законодательству.

[kostich]

Любопытно. Между прочим, это уголовное преступление по российскому законодательству.

э... мы же взрослые люди... статью назовите пожалуйста?

[Прохожий]

Антон, доказательную базу брать как? Вот в чем основной вопрос :(

Но вообще замечательно. Буду увлеченно следить за развитием ситуации, Ефимыч, пиши еще :)

И, кстати, Антон прав. Кроме птичьего всегда невредно дать комментарии на более гражданском языке :)

[puh]

Любопытно. Между прочим, это уголовное преступление по российскому законодательству.

с какой стати? статья это для тех, кто воспользуется дыркой.

производителей замков не судят ведь, если их замки вскрывают?

p.s. а доказать умысел практически невозможно

Сообщение отредактировал puh - 9.4.2008, 21:09

[Антон Богатов]

статью назовите пожалуйста?

Если не ошибаюсь, то ст. 272 УК и ст. 138 УК (называю по памяти, кодекса под руками нет).
Расследуется только оперативным путем.

Оператор ничего не нарушает.

[kostich]

статью назовите пожалуйста?

Если не ошибаюсь, то ст. 272 УК и ст. 138 УК (называю по памяти, кодекса под руками нет).
Расследуется только оперативным путем.

Ну ст. 138 УК РФ я не нарушал и тем более умышлено. Оператор, прошу заметить, должен более внимательно относиться к п.2 ст. 63 ФЗ "О связи". Ст. 63 упомянутого закона есть его прямая обязанность. А с тем кто там в ДЦ уже который год развлекается пускай они и все заинтерисованные лица разбираются сами. По ст. 272 УК РФ в данном случае так же чист т.к. оператором связи до меня не доведены правила пользования сетью, какую либо информацию я не блокировал, копировал, не модифицировал и работу ЭВМ или их сети не нарушал... тем более умышленно.

Оператор ничего не нарушает.

Оператор должен превентивно принимать меры направленные на сохранность тайны.

ps. более того мои действия направлены на воспрепятствование нарушению тайны связи в сети конкретного оператора... и это обсуждается тут т.к. с оператором уже есть опыт общения и обсуждать это тут для данного оператора в разы эффективнее... абонентам в любом случае во благо.

AGAVA Firewall входит в число самых эффективных файрволов. Файрвол блокирует внешние атаки, утечку информации, действия злоумышленников в локальной сети, предоставляет полный контроль над всей сетевой активностью.

Виды защиты:
[...]
# Защита от ARP атак, позволяющих перехватить любую информацию, передающуюся по сети.

типа они про это не знают...


Сообщение отредактировал kostich - 9.4.2008, 22:33

[kostich]

Причем доказать это практически невозможно.

На самом деле все иначе - у оператора отсутствуют технические средства или приборы, которые могли бы превентивно блокировать данную документированную возможность и в последствии сформировать доказательную базу. Данная возможность описана в т.ч. и в документации на СЕРТИФИЦИРОВАННЫЕ устройства использующиеся в обеспечении функционирования сети лицензированных операторов связи -> cisco arp cache poisoning

Сообщение отредактировал kostich - 9.4.2008, 21:53

[kostich]

Кроме птичьего всегда невредно дать комментарии на более гражданском языке :)

Если всем популярно объяснять, то фобии развиваться будут.

[Тимур]

Кроме птичьего всегда невредно дать комментарии на более гражданском языке :)

Если всем популярно объяснять, то фобии развиваться будут.

Слушай...

Как хорошо, что теперь на форуме появился человек, который рубит в вирусах....

В общем, давным давно у меня возникла такая идея.

Должны же быть какие-нибудь такие сервисы, чтобы клиент мог бы зайти на сайт, там бы на нем протестили разные уязвимости, и выдали бы отчет что-нибудь типа
- вас можно подломить так так и так. Ставьте вот такие патчи

Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили.

Бред? Или есть такое?

[kostich]

Слушай...

Как хорошо, что теперь на форуме появился человек, который рубит в вирусах....

расковырять инжект на жабаскрипт это самое элементарное с чем сталкиваются современные ИБшники. все остальное по моей части уже network и local unix security, что к виндовым вирусам отношения не имеет.

Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили.

Бред? Или есть такое?

конечно есть -> http://www.windowhaxor.net/2007/09/25/list...ility-scanners/ и есть даже отечественный -> http://ptsecurity.ru/

ps. но arp cache poisoning это боян десятилетней давности на который уже как сто лет не сканируют...

[lugoblin]

Должны же быть какие-нибудь такие сервисы, чтобы клиент мог бы зайти на сайт, там бы на нем протестили разные уязвимости, и выдали бы отчет что-нибудь типа
- вас можно подломить так так и так. Ставьте вот такие патчи

Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили.

Про публичный сервис не знаю, но вот если в локалке, то рекомендую Nessus, очень себе на уровне утилита.
Достаточно хитрого трояна она вриад-ли найдет, но более или менее тривиальные ляпы конфигурации и распостраненные дыры отслеживает влет. Можно и не в локалке, но боюсь что легко параноидальный триггер кому-нибудь сорвать.

[nuclearcat]

Такие сервисы есть.
По поводу вирья - у Касперского есть сканнер, кажется через ActiveX работает.
По поводу устаревшего софта - http://secunia.com/software_inspector/

Я использую пассивные детекторы, пока самописные на самые распространенные ситуации, но скоро видимо попробую как-то прикрутить SNORT.

[mikevlz]

SNORT-inline? Но это на выход с сетки. Внутри в принципе тоже можно... пока потоки летают небольшие... А то захлебнется...
А сервис проверки надежности компа видел... а то и не один, года три назад еще лазил по ним... Проверял надежность в том числе фаеров.
Сама по себе боянистая статья вот тут: http://securityvulns.ru/advisories/bypassing.asp
Сервисы проверки фаерволов тут: http://www.firewallleaktester.com/ Отсюда же можно пройтись по другим тестам безопасности.

Сообщение отредактировал mikevlz - 10.4.2008, 11:49

[kostich]

интересно, а они пофикся это когда нибудь или нет...

[AlexBT]

Нет. Им некогда. Кактус из интересного места выковыривают... ;-)

[kostich]

Нет. Им некогда. Кактус из интересного места выковыривают... ;-)

По ходу на большом LAN радость только в доме тех кто с arp access-list на 35тых.... на 48 портах вполне кошерно стоит.. да и на патчпанели разводить удобно. И BGP с OSPF заразо умеет.

Причины сие массштабов более или менее понятны. Фишки с arp и многое другое были очень популярны в 90х, а т.к. то поколение уже нос в дела молодых инженеров не сует, а те тех перлов просто не застали, то следовательно для начальства это как-то в порядке вещей, а для подчиненных это как америка какая-то... бугагагага.. представляю это "ковровое" шоу и фразу "а с какого х... у нас тоже так?".

ps. Больше всех пострадают буржуины т.к. рашин пионеры воют за право заворота на свою стошку очередной вкусняшки из /18.

Сообщение отредактировал kostich - 12.4.2008, 3:13