Jump to content
Калькуляторы

Mikrotik и ЦРУ

What's new in 6.39rc49 (2017-Mar-09 12:33):

 

!) www - fixed http server vulnerability;

Share this post


Link to post
Share on other sites

Написал максимально вежливо и аргументированно на форуме микротика, что нужны тулзы не хуже чем у именитых вендоров - для проверки целостности системы, так понабежало сертифицированных и дипломированных спецов и местных гуру, несущих редкостную и неграмотную хуету. Имплант у них уже вирусом стал, и прям надо архисложный антивирус под микротик писать, чтоб решить проблему. Что характеризует уровень "икспердов" микротика.

Ну подожду - может все таки в микротике прислушаются.

Share this post


Link to post
Share on other sites

Даже закрытый менеджмент не поможет, когда парням из АНБ нужен будет доступ.... наверняка они прописали себе доступ, например с 8.8.8.8

А почему АНБ? Можно считать, что их вероятный противник т.е. китайцы, теми же возможностями обладает. И вся эта утечка показывает, что контора как-то не очень по этому поводу волнуется, хотя вроде бы должна защищать собственную страну от подобных же инструментов.

 

Иными словами - проблема не в том, что ломают и слушают (у них работа такая). А в том, что дают это делать другим, не капая на мозги производителям про уязвимости.

Share this post


Link to post
Share on other sites

И вся эта утечка показывает, что контора как-то не очень по этому поводу волнуется, хотя вроде бы должна защищать собственную страну от подобных же инструментов.

Микротики лимитрофные космополитичные. у них нет своей страны.

Share this post


Link to post
Share on other sites

Микротики лимитрофные космополитичные. у них нет своей страны.

Зато у агенства на три буквы есть.

Теоретически должны бы микротику письмо прислать "Вот дырка, про нее наверняка уже не только мы знаем, так что чините, или нам придется настоятельно рекомендовать не использовать вашу железку на территории нашей страны".

Share this post


Link to post
Share on other sites
А вот еще очень интересная подробность всплыла

С добрым утром:

Автор: <CENSORED>, Отправлено:16:00 03-10-2012

И еще: в микротике есть небольшое "пасхальное яйцо", которое активируется после установки хантертика. Если через терминал/консоль заходить логином devel и паролем от учетки admin то попадаещь в /bin/bash микротика...

В принципе штука бесполезная, но может кому-то пригодится...

Share this post


Link to post
Share on other sites

Основатель WikiLeaks Джулиан Ассанж пообещал предоставить технологическим компаниям более подробную информацию о методах работы американской разведки, чтобы те могли устранить лазейки

 

Ассанж заявил, что его организация готова предоставить технологическим компаниям эксклюзивный доступ к деталям документов, чтобы те смогли разработать методы защиты своих устройств от слежки американской разведки.

 

«Мы приняли решение о сотрудничестве с ними, дать им эксклюзивный доступ к техническим деталям, которые у нас есть, чтобы они могли внести необходимые исправления»,— заявил господин Ассанж во время конференции. Как только компании обновят свои устройства и продукцию, WikiLeaks намерен опубликовать весь список инструментов взлома, к которым прибегает ЦРУ.

http://www.kommersant.ru/doc/3237395

Share this post


Link to post
Share on other sites

Подумаешь Микротик..

 

С IP камерами вообще ужОс творится - дыра на дыре:

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

1250 моделей уязвимы: прошит стандартный root, хотя и он не нужен, тк

есть дыра в http, хотя если только подсмотреть, то вообще ничего не нужно.

 

Не нашли свою камеру в списке? Ничего, подождите, просто вашу камеру еще не расковыряли.

А стоит только копнуть, и вот что находится например у компании с говорящим названием Dahua Technology

https://ipvm.com/reports/dahua-backdoor?code=bash

Edited by DimaM

Share this post


Link to post
Share on other sites

С IP камерами вообще ужОс творится - дыра на дыре:

И это правильно. Если ставишь системы наблюдения, то нужно сразу исходить из того, что не только у тебя доступ будет. </sarcasm>

Share this post


Link to post
Share on other sites

Системы видеонаблюдения вообще преступление вывешивать в инет. Безопасность для продажи вообще не имеет значения, значит нет необходимости ею заниматся от слова вообще.

И делать доступ только через очень жесткий firewall, но блин находятся же идиоты (и их клиническое большинство), кто вывешивает свой DVR или камеру всеми портами на публичном IP.

Это как та же автоматизация, ну не было никогда у микроконтроллеров ресурсов на шифрование, дай бог на радио все таки привинтят скремблеры, потому нужно правильно шлюзовать.

Share this post


Link to post
Share on other sites

Да не тяните уже кота за все подробности. Сааба будут вешать или расстреливать? Прямая трансляция будет? По какому каналу?

Share this post


Link to post
Share on other sites

Вот а вы хотите ipv6. Обычный nat сам по себе защищает от кучи проблем.

Share this post


Link to post
Share on other sites

Совершенно понятно, что к ipv6 должен прилагаться файрволл. Причем он проще в реализации из за того, что отслеживать соединения, как при nat-е, не надо. Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти.

Share this post


Link to post
Share on other sites

Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти.

Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт.

 

Ещё вариант - по v6 подключаешься к трекеру. Всё, что дадут - твоё. Почти гарантированно работающее. :-)

Share this post


Link to post
Share on other sites

Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт.

 

Ещё вариант - по v6 подключаешься к трекеру. Всё, что дадут - твоё. Почти гарантированно работающее. :-)

Как бы сервис, который атаковать можно, совсем не обязан висеть на том же адресе, с которого запросы идут. Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть.

Share this post


Link to post
Share on other sites

Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть.

Ключевое тут "кажется". :-)

 

В большинстве линуксов временный адрес регулярно генерируется и вешается самой ОС. (См. настройки по этому поводу.) А у анального зонда имени Гугла по этому поводу регулярно батхед случался. ;-))

 

Ну, и таки "да". Если ОС запустили давно, то шансов, что на адресе сёрфинга будут вкусные сервисы мало. Но интересны как-раз, например, дырявые веб-морды свежезапущенных торрент-клиентов.

Share this post


Link to post
Share on other sites

Ключевое тут "кажется". :-)

Мне лень разбираться было. Я снаружи свой адрес просканировал, убедился, что файрволл вроде бы ничего не пропускает, и забил.

 

Ну, и таки "да". Если ОС запустили давно, то шансов, что на адресе сёрфинга будут вкусные сервисы мало. Но интересны как-раз, например, дырявые веб-морды свежезапущенных торрент-клиентов.

Значит, писателей клиентов надо пинать. Чтобы адрес веб-морда и тот адрес, который они для торрента используют, не совпадали. И, я думаю, рано или поздно до этого их допинают.

Share this post


Link to post
Share on other sites

Вот как я не заметил такой интересный пост? :)

 

Сиречь патологоанатомическое исследование трупа. В обнаружении активного бекдора помощи от анализа сумм на флешке мало. Они, суммы, могут и вообще не измениться - достаточно кода в памяти, за устройством присматривает контроллер, ребутнут - сломает снова, тем же эксплойтом.

У циски из-за множества утилит для диагностики признавали - что артефакты в выводе некоторых команд появлялись. Да и в отличии от микротика вообще не увидел репортов, что вот, только память и изменилась.

Да, руткит это не шутка, но чем больше утилит для работы с носителем напрямую - тем больше вероятность обнаружить его. Если же утилит ровно ноль, как в микротике, то... шансов тоже ноль.

 

Сломать могут даже полностью опенсорсный (железо и софт) роутер. Поэтому, ежели допотребна защита, то это анализ трафика - IDS, c L2 зондами в разрыве, желательно. И пентесты по расписанию и без расписания. Главная уязвимость, кстати, сам админ устройства. Собственно:

Могут. Но в полностью опенсорсном можно самостоятельно его доработать и изменить так, что слишком дорого выйдет его незаметно ломать. По факту в опенсорсный можно встаивать самодельные IDS и в железо и в софт, в цисках и микротиках не особо развернешься.

Share this post


Link to post
Share on other sites

Ну как бы вот и реакция от Mikrotik

https://forum.mikrotik.com/viewtopic.php?f=21&t=119308&p=587512#p587512

Я там, и в смежной теме задал вопрос - как насчет тулз, которые в других системах есть. В ответ - молчок.

Ну делайте выводы пользователи микротика, вам милостливо сливают черный ящик, в который может быть заложено что угодно, и злонамеренно не дают и не разрабатывают никаких инструментов для проверки безопасности.

Как называть после этого администратора устанавливающего микротик - выбирайте на ваше усмотрение. А история встраиваемых зловредов у микротика длинная, помнится туда их еще китайцы встраивали в 2.9, в ломаные версии.

Share this post


Link to post
Share on other sites

На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются.

Share this post


Link to post
Share on other sites

Для Windows есть масса антивирусов и системных утилит, которые позволяют выявить руткиты.

Что такого есть в Mikrotik? Ни утилит от производителя, ни потенциальной возможности сторонним программистам их запилить.

Share this post


Link to post
Share on other sites
Вот а вы хотите ipv6. Обычный nat сам по себе защищает от кучи проблем.

Мне стоит напоминать что изначально IPv4 использовался без всяких NAT - их просто не было довольно долго.

Кроме того это ничем не отличается от простого фаера.

 

Совершенно понятно, что к ipv6 должен прилагаться файрволл. Причем он проще в реализации из за того, что отслеживать соединения, как при nat-е, не надо. Опять же на ipv6 тупым перебором адресов железку для атаки чуточку сложнее найти.

Нет, stateless фаер не юзабелен, это фактически ACL в свичах.

Не юзабелен он на простом примере: ты захотел подключится по ssh. Фаер пропустил все пакеты от тебя (ну или не все а только 22 к указанному хосту, не суть)....хост ответил а пакет дропнулся, потому что правила чтобы пустить пакет с порта 22 на внутренний хост порт 1024-65535 нет.

Я на этим думал года 3 назад, в начале тоже образовался что всё просто, а потом прикинул и понял что стейты придётся один хер держать.

Да, тут проще ибо адреса не надо запоминать для трансляции и переписывать пакеты.

 

 

Зато снифом или публичной статистикой посещений ресурса (а такой ой как дофига...) - как два пальца об асфальт.

Так временные адреса.

 

 

Как бы сервис, который атаковать можно, совсем не обязан висеть на том же адресе, с которого запросы идут. Вон Хром, кажется, персонально себе адрес на интерфейс вешает. Или что-то другое в том же смысле работает. Во всяком случае, адрес, которым он используется и который серверы видят - совсем не тот, что в конфигурации интерфейса прописан. И всякие флаги вида temporary на адресе висят, если посмотреть.

Это ОС. Притом все они. Даже венда. Даже фря. Если специально не отключать.

 

 

На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются.

Там хотя бы диск можно снять и сверить содержимое с эталонным диском или тупо списком хэшей или ещё что то, в тике не судьба.

Share this post


Link to post
Share on other sites

На windows тоже много троянов, вирусов и прочих программ, однако люди пользуются и особо не жалуются.

Ты не путай троян/вирус с уязвимостью ос. ROS все дырявые, даже самые новые.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this