kostich Posted April 9, 2008 Posted April 9, 2008 (edited) Немного отхожу от шока, но настроение в целом прибавилось. Собственно в очередной истории с инжектом на один из сайтов был слегка шокированы т.к. возможность кражи их вирусами была исключена. И вот он хит сезона - возможность проведения атак типа arp poisoning cache внутри агавовской 89.108.80.0 - 89.108.95.255. Т.е. если по русски, то практически любой из подключенных к этой сети может завернуть через свой хост трафик практически любого подключенного к этой сети. Любой из клиентов может убедиться в этом используя утилиту ettercap, которая как раз и предназначеня для проверки качества безопасности сети. Не долго думая мы попробовали набрать: ettercap -a ./etter.conf -i em0 -T -M arp:remote /89.108.80.1/ /89.108.65.143/ и наши глаза вылезли из орбит. АГАВУ НА КАКТУС! И т.к. я не могу доказать, что мои конфиденциальные данные были украдены именно так, то и претензий к Агаве в очередной раз предъявлять не буду. Прошлый раз у них нашли массовый дырявый шаред. Прошу заметить, что атаки уровня arp poisoning cache известны с момента появления первых свичей. Вис бест регардс, Константин Ефимович Edited April 9, 2008 by kostich Вставить ник Quote
Антон Богатов Posted April 9, 2008 Posted April 9, 2008 А может кто-нибудь перевести пост топикстартера на русский язык? Вставить ник Quote
martin74 Posted April 9, 2008 Posted April 9, 2008 трафик любого клиента DC агавы можно завернуть на собственный сервер на агаве, проанализировать, отснифить и т.п. Причем доказать это практически невозможно. Вставить ник Quote
Антон Богатов Posted April 9, 2008 Posted April 9, 2008 Любопытно. Между прочим, это уголовное преступление по российскому законодательству. Вставить ник Quote
kostich Posted April 9, 2008 Author Posted April 9, 2008 Любопытно. Между прочим, это уголовное преступление по российскому законодательству. э... мы же взрослые люди... статью назовите пожалуйста? Вставить ник Quote
Прохожий Posted April 9, 2008 Posted April 9, 2008 Антон, доказательную базу брать как? Вот в чем основной вопрос :( Но вообще замечательно. Буду увлеченно следить за развитием ситуации, Ефимыч, пиши еще :) И, кстати, Антон прав. Кроме птичьего всегда невредно дать комментарии на более гражданском языке :) Вставить ник Quote
puh Posted April 9, 2008 Posted April 9, 2008 (edited) Любопытно. Между прочим, это уголовное преступление по российскому законодательству.с какой стати? статья это для тех, кто воспользуется дыркой. производителей замков не судят ведь, если их замки вскрывают? p.s. а доказать умысел практически невозможно Edited April 9, 2008 by puh Вставить ник Quote
Антон Богатов Posted April 9, 2008 Posted April 9, 2008 статью назовите пожалуйста? Если не ошибаюсь, то ст. 272 УК и ст. 138 УК (называю по памяти, кодекса под руками нет). Расследуется только оперативным путем. Оператор ничего не нарушает. Вставить ник Quote
kostich Posted April 9, 2008 Author Posted April 9, 2008 (edited) статью назовите пожалуйста? Если не ошибаюсь, то ст. 272 УК и ст. 138 УК (называю по памяти, кодекса под руками нет). Расследуется только оперативным путем. Ну ст. 138 УК РФ я не нарушал и тем более умышлено. Оператор, прошу заметить, должен более внимательно относиться к п.2 ст. 63 ФЗ "О связи". Ст. 63 упомянутого закона есть его прямая обязанность. А с тем кто там в ДЦ уже который год развлекается пускай они и все заинтерисованные лица разбираются сами. По ст. 272 УК РФ в данном случае так же чист т.к. оператором связи до меня не доведены правила пользования сетью, какую либо информацию я не блокировал, копировал, не модифицировал и работу ЭВМ или их сети не нарушал... тем более умышленно. Оператор ничего не нарушает. Оператор должен превентивно принимать меры направленные на сохранность тайны. ps. более того мои действия направлены на воспрепятствование нарушению тайны связи в сети конкретного оператора... и это обсуждается тут т.к. с оператором уже есть опыт общения и обсуждать это тут для данного оператора в разы эффективнее... абонентам в любом случае во благо. AGAVA Firewall входит в число самых эффективных файрволов. Файрвол блокирует внешние атаки, утечку информации, действия злоумышленников в локальной сети, предоставляет полный контроль над всей сетевой активностью. Виды защиты: [...] # Защита от ARP атак, позволяющих перехватить любую информацию, передающуюся по сети. типа они про это не знают... Edited April 9, 2008 by kostich Вставить ник Quote
kostich Posted April 9, 2008 Author Posted April 9, 2008 (edited) Причем доказать это практически невозможно. На самом деле все иначе - у оператора отсутствуют технические средства или приборы, которые могли бы превентивно блокировать данную документированную возможность и в последствии сформировать доказательную базу. Данная возможность описана в т.ч. и в документации на СЕРТИФИЦИРОВАННЫЕ устройства использующиеся в обеспечении функционирования сети лицензированных операторов связи -> cisco arp cache poisoning Edited April 9, 2008 by kostich Вставить ник Quote
kostich Posted April 9, 2008 Author Posted April 9, 2008 Кроме птичьего всегда невредно дать комментарии на более гражданском языке :) Если всем популярно объяснять, то фобии развиваться будут. Вставить ник Quote
Тимур Posted April 9, 2008 Posted April 9, 2008 Кроме птичьего всегда невредно дать комментарии на более гражданском языке :) Если всем популярно объяснять, то фобии развиваться будут. Слушай... Как хорошо, что теперь на форуме появился человек, который рубит в вирусах.... В общем, давным давно у меня возникла такая идея. Должны же быть какие-нибудь такие сервисы, чтобы клиент мог бы зайти на сайт, там бы на нем протестили разные уязвимости, и выдали бы отчет что-нибудь типа - вас можно подломить так так и так. Ставьте вот такие патчи Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили. Бред? Или есть такое? Вставить ник Quote
kostich Posted April 9, 2008 Author Posted April 9, 2008 Слушай... Как хорошо, что теперь на форуме появился человек, который рубит в вирусах.... расковырять инжект на жабаскрипт это самое элементарное с чем сталкиваются современные ИБшники. все остальное по моей части уже network и local unix security, что к виндовым вирусам отношения не имеет. Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили. Бред? Или есть такое? конечно есть -> http://www.windowhaxor.net/2007/09/25/list...ility-scanners/ и есть даже отечественный -> http://ptsecurity.ru/ ps. но arp cache poisoning это боян десятилетней давности на который уже как сто лет не сканируют... Вставить ник Quote
lugoblin Posted April 10, 2008 Posted April 10, 2008 Должны же быть какие-нибудь такие сервисы, чтобы клиент мог бы зайти на сайт, там бы на нем протестили разные уязвимости, и выдали бы отчет что-нибудь типа- вас можно подломить так так и так. Ставьте вот такие патчи Можно было бы поставить такой сервис в локалке и его всячески пиарить, чтобы юзера заходили и сами бы себя тестили. Про публичный сервис не знаю, но вот если в локалке, то рекомендую Nessus, очень себе на уровне утилита.Достаточно хитрого трояна она вриад-ли найдет, но более или менее тривиальные ляпы конфигурации и распостраненные дыры отслеживает влет. Можно и не в локалке, но боюсь что легко параноидальный триггер кому-нибудь сорвать. Вставить ник Quote
nuclearcat Posted April 10, 2008 Posted April 10, 2008 Такие сервисы есть. По поводу вирья - у Касперского есть сканнер, кажется через ActiveX работает. По поводу устаревшего софта - http://secunia.com/software_inspector/ Я использую пассивные детекторы, пока самописные на самые распространенные ситуации, но скоро видимо попробую как-то прикрутить SNORT. Вставить ник Quote
mikevlz Posted April 10, 2008 Posted April 10, 2008 (edited) SNORT-inline? Но это на выход с сетки. Внутри в принципе тоже можно... пока потоки летают небольшие... А то захлебнется... А сервис проверки надежности компа видел... а то и не один, года три назад еще лазил по ним... Проверял надежность в том числе фаеров. Сама по себе боянистая статья вот тут: http://securityvulns.ru/advisories/bypassing.asp Сервисы проверки фаерволов тут: http://www.firewallleaktester.com/ Отсюда же можно пройтись по другим тестам безопасности. Edited April 10, 2008 by mikevlz Вставить ник Quote
kostich Posted April 11, 2008 Author Posted April 11, 2008 интересно, а они пофикся это когда нибудь или нет... Вставить ник Quote
AlexBT Posted April 11, 2008 Posted April 11, 2008 Нет. Им некогда. Кактус из интересного места выковыривают... ;-) Вставить ник Quote
kostich Posted April 12, 2008 Author Posted April 12, 2008 (edited) Нет. Им некогда. Кактус из интересного места выковыривают... ;-) По ходу на большом LAN радость только в доме тех кто с arp access-list на 35тых.... на 48 портах вполне кошерно стоит.. да и на патчпанели разводить удобно. И BGP с OSPF заразо умеет. Причины сие массштабов более или менее понятны. Фишки с arp и многое другое были очень популярны в 90х, а т.к. то поколение уже нос в дела молодых инженеров не сует, а те тех перлов просто не застали, то следовательно для начальства это как-то в порядке вещей, а для подчиненных это как америка какая-то... бугагагага.. представляю это "ковровое" шоу и фразу "а с какого х... у нас тоже так?". ps. Больше всех пострадают буржуины т.к. рашин пионеры воют за право заворота на свою стошку очередной вкусняшки из /18. Edited April 12, 2008 by kostich Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.