Jump to content
Калькуляторы

Mikrotik и ЦРУ

Кстати, я не понимаю, почему Ассандж так растягивает удовольстсвие с публикацией. Это он так себе гарантию неприкосновенности выторговывает или что? Ну допустим - объёмы, подготовка, сортировка, ознакомление и прочее во что слабо верится. Но отсуствие общего списка без деталей всё правращает в дряной спектакль.

Знающие предмет люди(с), по нескольким предыдущим сливам, сравнили "исходники" и то что Ассанж выложил на викиликс. Там во первых выложено менее половины данных, во вторых в версии викиликс данные сильно причесаны и подчищены. При чем подчищено не только в той части, которая могла бы шокировать публику, но и достаточно безобидные детали, тем не менее важные для полноты картины.

 

В общем Ассанж обычный желтый скандальный журналист, добывающий себе пропитание любым способом не конфликтующим с его совестью.

 

Примерно как в газете спид-инфо были откровения "у аллы борисовны пугачовой сиськи!!!" [три фото сисек. разных размеров. в разных ракурсах. разных женщин. женщин разного возраста] "филлип киркоров носит штаны!!!"

Share this post


Link to post
Share on other sites

у микротика есть средство проверки целостности os. Ну и судя по очень малому количеству найденых уязвимостей и их притянутости зауши шайтан коробка довольно безопасна.

 

Этим средством можно подтереться, когда всем микротиком в традициях китайроутеров с вебсервером работающим под рутом - управляется вся железка.

Если бы в микротике http процесс был под правами юзера и достойно изолирован, большинство сплоитов были бы бесполезны. А так - любой демон в мк с портом наружу, при любом баге допускающем запуск нужного кода - приводит к полной компрометации системы.

Share this post


Link to post
Share on other sites
у микротика есть средство проверки целостности os.

Достоверная верификация возможно только при подключении носителя к заведомо доверенной системе.

Если твой тик хакнули то могли и это средство хакнуть, чтобы оно рисовало что надо.

Share this post


Link to post
Share on other sites
у микротика есть средство проверки целостности os.

Достоверная верификация возможно только при подключении носителя к заведомо доверенной системе.

Если твой тик хакнули то могли и это средство хакнуть, чтобы оно рисовало что надо.

Ну убедитесь, что прошивка оригинальная, с дырой, о которой не знаете. Чем это вам поможет?

Share this post


Link to post
Share on other sites

Ну убедитесь, что прошивка оригинальная, с дырой, о которой не знаете. Чем это вам поможет?

Появится спокойствие, что нет широко известных.

 

А неизвестные дыры есть всегда и везде.

Share this post


Link to post
Share on other sites
Ну убедитесь, что прошивка оригинальная, с дырой, о которой не знаете. Чем это вам поможет?

Ну так я не про тики а вообще.

А в реальном мире есть и те кто отвечает репутацией/деньгами/здоровьем за свои прошивки, и если прошивка оригинальная то меньше поводов для беспокойства.

Share this post


Link to post
Share on other sites

А в реальном мире есть и те кто отвечает репутацией/деньгами/здоровьем за свои прошивки, и если прошивка оригинальная то меньше поводов для беспокойства.

Так вроде речь была о том, что ЦРУ эксплуатирует не собственные дыры, а дыры, найденные в оригинальных прошивках "высокотехнологическим" хакингом по поиску стандарных ошибок/ляпов с нестандартой настойчивостью и в неожиданных местах.

Share this post


Link to post
Share on other sites

У них для кошек были импланты.

Те дыра хорошо чтобы пролезть туда, а дальше то чо делать?

Share this post


Link to post
Share on other sites

nuclearcatтак в чем проблема? Самому интересно стало, но просмотр картинок от кулхакера так и не прояснил мне ничего(видео смотрел без звука, там есть на понятном языке что-то?).

Share this post


Link to post
Share on other sites

В том, что микротики банально "проламываются", и я много чего писал выше на эту тему, основная причина - что защиты от кулхацкеров практически нет (дефолтовые настройки просто кошмарны, модель безопасности внутри микротика ужасна, проверка целостности которую вендор считает достаточной - просто смешна). Ну и еще дофига всего, в т.ч. насколько часто выпускается софт, как делаются stable релизы и т.п.

Все это ведет к тому, что например даже при релизе версий с патчем, куча админов чесала репу и боялась апгрейдится на версии которые включают в себя нужный патч. Т.к. в каждой версии, даже называемой stable, у микротика свои косяки.

Share this post


Link to post
Share on other sites

Народ а что делать то? ip services www off ?

в этой версии пофиксили уже ?

 

changelogs

 

Release 6.38.5 2017-03-09

 

What's new in 6.38.5 (2017-Mar-09 11:32):

 

!) www - fixed http server vulnerability;

Edited by Илья Дмитриевич

Share this post


Link to post
Share on other sites
Народ а что делать то?

Обновляться, и только "белый" список на админские соединения. Еще часто neighbor забывают ограничить, в крупном БЦ роутеры абонентов светятся на внешних интерфейсах как новогодние елки, пять-шесть экранов в винбоксе можно пролистать.

Share this post


Link to post
Share on other sites

В том, что микротики банально "проламываются", и я много чего писал выше на эту тему, основная причина - что защиты от кулхацкеров практически нет (дефолтовые настройки просто кошмарны, модель безопасности внутри микротика ужасна, проверка целостности которую вендор считает достаточной - просто смешна). Ну и еще дофига всего, в т.ч. насколько часто выпускается софт, как делаются stable релизы и т.п.

 

Ага, а роутеры на линуксе, будто не ломают. И дефолтные настройки линукса тоже позволяют его сломать за пару минут. Если ограничить доступ на оборудование и правильно все закрыть - проблем не возникает.

Share this post


Link to post
Share on other sites

Вобщем, недолго ждали...

В Йемене массовые взломы микротиков, всего прова массово ломают, потом требуют выкуп.

https://forum.mikrotik.com/viewtopic.php?t=120753

Попробую разузнать побольше.

 

Да всем насрать на страны типа Йемена и прочих около-ИГИЛ страны

Share this post


Link to post
Share on other sites

Да всем насрать на страны типа Йемена и прочих около-ИГИЛ страны

Вообще-то я вел речь о сугубо техническом аспекте, что уязвимости, известные или же старые - уже активно используются.

 

P.S. У меня была пара коллег из Йемена на контрактном заказе в 6 мес, когда там еще было неплохо - люди как люди, как и везде. Угощали блюдами из своей национальной кухни, весьма здоровски было приготовлено, выручали на работе.

А насчет насрать - в мире достаточно много людей, которые ничего не хотят видеть дальше своего мирка ограниченного их задним двором, работой, и полянкой для шашлыка. Но земля круглая, беда она рано или поздно стучится к каждому, иногда даже в очень маленьком масштабе, и насральщик может погибая от какой-то беды типа ДТП, тоскливо смотреть, смотреть как прохожие, такие же насральщики, равнодушно проходят рядом. Потому, не надо так, не будьте равнодушными к чужим бедам.

Share this post


Link to post
Share on other sites
Народ а что делать то?

Вон попроси ядерного кота чтобы он тебе OpenBSD роутер собрал :)

 

 

Ага, а роутеры на линуксе, будто не ломают.

Нет, они же никому не нужны :)

 

И дефолтные настройки линукса тоже позволяют его сломать за пару минут.

Так дефолтные настройки линукса для взрослых людей, а микротик для школия и недоадминов, если там что то не разрешить они же будут ныть что он сломался и побегут сдавать обратно.

Share this post


Link to post
Share on other sites

Вон попроси ядерного кота

Учитывая прошлые заслуги и будущий вклад пора бы его повысить до термоядерного кота.

Share this post


Link to post
Share on other sites

Ну вот и я на сети нашел клиентский некротик, тихой сапой взломанный. Радостно проксировал, сканировал, вообще всякой фигней занимался.

Вообще, хорошая железка: при 10-30 мегабитах паразитного трафика еще и клиенту умудрялась до 50-ти отдавать.

Share this post


Link to post
Share on other sites

Ну вот и я на сети нашел клиентский некротик, тихой сапой взломанный. Радостно проксировал, сканировал, вообще всякой фигней занимался.

Вообще, хорошая железка: при 10-30 мегабитах паразитного трафика еще и клиенту умудрялась до 50-ти отдавать.

Да ладно, некротиков у моих клиентов мизерное количество, проруленный ntpddos и dnsaml видел только один. А вот реально проруленных видеорегистраторов - каждый второй :(

Share this post


Link to post
Share on other sites

реально проруленных видеорегистраторов - каждый второй

А у меня мальчик по вызову нашел у клиента реально проруленный кассовый терминал на андроиде. Спалился причем просто: кассир решила поставить PIN на включение, утром приходит - кода нет. Раз десять повторила, и догадалась обратиться за помощью. Троян честно ждал открытия банк-клиента, но так и не дождался...ну еще накручивал счетчики паре десяткой сайтов между делом. Источник тоже оригинальностью не блещет - apk с игрушкой, кто притащил - выяснить не удалось, игрушка все равно не работала.

Share this post


Link to post
Share on other sites

реально проруленных видеорегистраторов - каждый второй

А у меня мальчик по вызову нашел у клиента реально проруленный кассовый терминал на андроиде. С

В древние времена и это видел, платежный терминал просто валил всю свою лвс за маршрутизатором, в салоне тату :)

Сейчас еще хужее - мальчики по установке новых фискальных касс с инетом нихрена об интернете на знают :( Нет чтобы позвонить и уточнить - неа, берут договор у клиента, и реально настраивают за роутером ip-адреса роутера. Роутер уходит в кому, у него и на wan и на lan одно и то-же.

Share this post


Link to post
Share on other sites

Сейчас еще хужее - мальчики по установке новых фискальных касс с инетом нихрена об интернете на знают :(

Здравый смысл подсказывает, что им особо и не не надо. Они должны в локалку свою железку втыкать и на ней сразу интернет появляться должен. Автонастройкой.

 

Роутер уходит в кому, у него и на wan и на lan одно и то-же.

Это что за роутер такой? По идее, адреса из какой-то другой подсети, не совпадающей с тем, что на LAN интерфейсе стоит, должны просто молча игнорироваться. Как не подающие под маску и маршруты.

Share this post


Link to post
Share on other sites

Они должны в локалку свою железку втыкать и на ней сразу интернет появляться должен. Автонастройкой.

Плохо, плохо вы думаете об отечественном производителе. Предварительные ласки аппликухой настройки кассы на Java не желаете?

Share this post


Link to post
Share on other sites

Они должны в локалку свою железку втыкать и на ней сразу интернет появляться должен. Автонастройкой.

Плохо, плохо вы думаете об отечественном производителе. Предварительные ласки аппликухой настройки кассы на Java не желаете?

Типа но некоторым наблюдениям - это нечто типа планшета с вин10. Мацать пальцАми по сенсорному экрану - не очень удобно. Нонешний вариант - комп дохлый с ХР, с общим доступом и парой сетевых. Понятно - что dhcp в xp нету.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this