saaremaa Опубликовано 9 марта, 2017 · Жалоба What's new in 6.39rc49 (2017-Mar-09 12:33): !) www - fixed http server vulnerability; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 марта, 2017 · Жалоба Написал максимально вежливо и аргументированно на форуме микротика, что нужны тулзы не хуже чем у именитых вендоров - для проверки целостности системы, так понабежало сертифицированных и дипломированных спецов и местных гуру, несущих редкостную и неграмотную ***ту. Имплант у них уже вирусом стал, и прям надо архисложный антивирус под микротик писать, чтоб решить проблему. Что характеризует уровень "икспердов" микротика. Ну подожду - может все таки в микротике прислушаются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 марта, 2017 · Жалоба Даже закрытый менеджмент не поможет, когда парням из АНБ нужен будет доступ.... наверняка они прописали себе доступ, например с 8.8.8.8 А почему АНБ? Можно считать, что их вероятный противник т.е. китайцы, теми же возможностями обладает. И вся эта утечка показывает, что контора как-то не очень по этому поводу волнуется, хотя вроде бы должна защищать собственную страну от подобных же инструментов. Иными словами - проблема не в том, что ломают и слушают (у них работа такая). А в том, что дают это делать другим, не капая на мозги производителям про уязвимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 10 марта, 2017 · Жалоба И вся эта утечка показывает, что контора как-то не очень по этому поводу волнуется, хотя вроде бы должна защищать собственную страну от подобных же инструментов. Микротики лимитрофные космополитичные. у них нет своей страны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 10 марта, 2017 · Жалоба Микротики лимитрофные космополитичные. у них нет своей страны. Зато у агенства на три буквы есть. Теоретически должны бы микротику письмо прислать "Вот дырка, про нее наверняка уже не только мы знаем, так что чините, или нам придется настоятельно рекомендовать не использовать вашу железку на территории нашей страны". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 10 марта, 2017 · Жалоба А вот еще очень интересная подробность всплыла https://forum.mikrotik.com/download/file.php?id=27179.jpg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6o6ep Опубликовано 10 марта, 2017 · Жалоба А вот еще очень интересная подробность всплыла С добрым утром: Автор: <CENSORED>, Отправлено:16:00 03-10-2012 И еще: в микротике есть небольшое "пасхальное яйцо", которое активируется после установки хантертика. Если через терминал/консоль заходить логином devel и паролем от учетки admin то попадаещь в /bin/bash микротика... В принципе штука бесполезная, но может кому-то пригодится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NN----NN Опубликовано 10 марта, 2017 · Жалоба Основатель WikiLeaks Джулиан Ассанж пообещал предоставить технологическим компаниям более подробную информацию о методах работы американской разведки, чтобы те могли устранить лазейки Ассанж заявил, что его организация готова предоставить технологическим компаниям эксклюзивный доступ к деталям документов, чтобы те смогли разработать методы защиты своих устройств от слежки американской разведки. «Мы приняли решение о сотрудничестве с ними, дать им эксклюзивный доступ к техническим деталям, которые у нас есть, чтобы они могли внести необходимые исправления»,— заявил господин Ассанж во время конференции. Как только компании обновят свои устройства и продукцию, WikiLeaks намерен опубликовать весь список инструментов взлома, к которым прибегает ЦРУ. http://www.kommersant.ru/doc/3237395 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 11 марта, 2017 (изменено) · Жалоба Подумаешь Микротик.. С IP камерами вообще ужОс творится - дыра на дыре: https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html 1250 моделей уязвимы: прошит стандартный root, хотя и он не нужен, тк есть дыра в http, хотя если только подсмотреть, то вообще ничего не нужно. Не нашли свою камеру в списке? Ничего, подождите, просто вашу камеру еще не расковыряли. А стоит только копнуть, и вот что находится например у компании с говорящим названием Dahua Technology https://ipvm.com/reports/dahua-backdoor?code=bash Изменено 11 марта, 2017 пользователем DimaM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 11 марта, 2017 · Жалоба С IP камерами вообще ужОс творится - дыра на дыре: И это правильно. Если ставишь системы наблюдения, то нужно сразу исходить из того, что не только у тебя доступ будет. </sarcasm> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 11 марта, 2017 · Жалоба Системы видеонаблюдения вообще преступление вывешивать в инет. Безопасность для продажи вообще не имеет значения, значит нет необходимости ею заниматся от слова вообще. И делать доступ только через очень жесткий firewall, но блин находятся же идиоты (и их клиническое большинство), кто вывешивает свой DVR или камеру всеми портами на публичном IP. Это как та же автоматизация, ну не было никогда у микроконтроллеров ресурсов на шифрование, дай бог на радио все таки привинтят скремблеры, потому нужно правильно шлюзовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 11 марта, 2017 · Жалоба Да не тяните уже кота за все подробности. Сааба будут вешать или расстреливать? Прямая трансляция будет? По какому каналу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 11 марта, 2017 · Жалоба Вот а вы хотите ipv6. Обычный nat сам по себе защищает от кучи проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 12 марта, 2017 · Жалоба Совершенно понятно, что к ipv6 должен прилагаться файрволл. Причем он проще в реализации из за того, что отслеживать соединения, как при nat-е, не надо. Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 12 марта, 2017 · Жалоба Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти. Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт. Ещё вариант - по v6 подключаешься к трекеру. Всё, что дадут - твоё. Почти гарантированно работающее. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 12 марта, 2017 · Жалоба Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт. Ещё вариант - по v6 подключаешься к трекеру. Всё, что дадут - твоё. Почти гарантированно работающее. :-) Как бы сервис, который атаковать можно, совсем не обязан висеть на том же адресе, с которого запросы идут. Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 12 марта, 2017 · Жалоба Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть. Ключевое тут "кажется". :-) В большинстве линуксов временный адрес регулярно генерируется и вешается самой ОС. (См. настройки по этому поводу.) А у анального зонда имени Гугла по этому поводу регулярно батхед случался. ;-)) Ну, и таки "да". Если ОС запустили давно, то шансов, что на адресе сёрфинга будут вкусные сервисы мало. Но интересны как-раз, например, дырявые веб-морды свежезапущенных торрент-клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 12 марта, 2017 · Жалоба Ключевое тут "кажется". :-) Мне лень разбираться было. Я снаружи свой адрес просканировал, убедился, что файрволл вроде бы ничего не пропускает, и забил. Ну, и таки "да". Если ОС запустили давно, то шансов, что на адресе сёрфинга будут вкусные сервисы мало. Но интересны как-раз, например, дырявые веб-морды свежезапущенных торрент-клиентов. Значит, писателей клиентов надо пинать. Чтобы адрес веб-морда и тот адрес, который они для торрента используют, не совпадали. И, я думаю, рано или поздно до этого их допинают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Realwizard Опубликовано 12 марта, 2017 · Жалоба Ну как бы вот и реакция от Mikrotik https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p587512 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 марта, 2017 · Жалоба Вот как я не заметил такой интересный пост? :) Сиречь патологоанатомическое исследование трупа. В обнаружении активного бекдора помощи от анализа сумм на флешке мало. Они, суммы, могут и вообще не измениться - достаточно кода в памяти, за устройством присматривает контроллер, ребутнут - сломает снова, тем же эксплойтом. У циски из-за множества утилит для диагностики признавали - что артефакты в выводе некоторых команд появлялись. Да и в отличии от микротика вообще не увидел репортов, что вот, только память и изменилась. Да, руткит это не шутка, но чем больше утилит для работы с носителем напрямую - тем больше вероятность обнаружить его. Если же утилит ровно ноль, как в микротике, то... шансов тоже ноль. Сломать могут даже полностью опенсорсный (железо и софт) роутер. Поэтому, ежели допотребна защита, то это анализ трафика - IDS, c L2 зондами в разрыве, желательно. И пентесты по расписанию и без расписания. Главная уязвимость, кстати, сам админ устройства. Собственно: Могут. Но в полностью опенсорсном можно самостоятельно его доработать и изменить так, что слишком дорого выйдет его незаметно ломать. По факту в опенсорсный можно встаивать самодельные IDS и в железо и в софт, в цисках и микротиках не особо развернешься. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 марта, 2017 · Жалоба Ну как бы вот и реакция от Mikrotik https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p587512 Я там, и в смежной теме задал вопрос - как насчет тулз, которые в других системах есть. В ответ - молчок. Ну делайте выводы пользователи микротика, вам милостливо сливают черный ящик, в который может быть заложено что угодно, и злонамеренно не дают и не разрабатывают никаких инструментов для проверки безопасности. Как называть после этого администратора устанавливающего микротик - выбирайте на ваше усмотрение. А история встраиваемых зловредов у микротика длинная, помнится туда их еще китайцы встраивали в 2.9, в ломаные версии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 марта, 2017 · Жалоба На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 12 марта, 2017 · Жалоба Для Windows есть масса антивирусов и системных утилит, которые позволяют выявить руткиты. Что такого есть в Mikrotik? Ни утилит от производителя, ни потенциальной возможности сторонним программистам их запилить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 марта, 2017 · Жалоба Вот а вы хотите ipv6. Обычный nat сам по себе защищает от кучи проблем. Мне стоит напоминать что изначально IPv4 использовался без всяких NAT - их просто не было довольно долго. Кроме того это ничем не отличается от простого фаера. Совершенно понятно, что к ipv6 должен прилагаться файрволл. Причем он проще в реализации из за того, что отслеживать соединения, как при nat-е, не надо. Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти. Нет, stateless фаер не юзабелен, это фактически ACL в свичах. Не юзабелен он на простом примере: ты захотел подключится по ssh. Фаер пропустил все пакеты от тебя (ну или не все а только 22 к указанному хосту, не суть)....хост ответил а пакет дропнулся, потому что правила чтобы пустить пакет с порта 22 на внутренний хост порт 1024-65535 нет. Я на этим думал года 3 назад, в начале тоже образовался что всё просто, а потом прикинул и понял что стейты придётся один хер держать. Да, тут проще ибо адреса не надо запоминать для трансляции и переписывать пакеты. Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт. Так временные адреса. Как бы сервис, который атаковать можно, совсем не обязан висеть на том же адресе, с которого запросы идут. Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть. Это ОС. Притом все они. Даже венда. Даже фря. Если специально не отключать. На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются. Там хотя бы диск можно снять и сверить содержимое с эталонным диском или тупо списком хэшей или ещё что то, в тике не судьба. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 12 марта, 2017 · Жалоба На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются. Ты не путай троян/вирус с уязвимостью ос. ROS все дырявые, даже самые новые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...