The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"PoisonTap, простое устройство для атаки на заблокированный ПК"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"PoisonTap, простое устройство для атаки на заблокированный ПК"  +/
Сообщение от opennews (??) on 17-Ноя-16, 11:00 
Сами Камкар (Samy Kamkar (https://en.wikipedia.org/wiki/Samy_Kamkar)), исследователь безопасности, известный созданием (https://samy.pl/) различных замысловатых устройств для проведения атак, таких как кейлоггер в USB-зарядке телефона, представил свою новую разработку - PoisonTap (https://samy.pl/poisontap/). В рамках проекта PoisonTap подготовлена практическая реализация атаки BadUSB (https://www.opennet.ru/opennews/art.shtml?num=40309), позволяющая получить доступ к прокэшированным в  браузере сессионным cookie и параметрам аутентификации при подключении к USB-порту компьютера специального устройства. Атака применима к заблокированным компьютерам и может быть совершена когда владелец на время отлучился от своего ПК, оставив его с заблокированным экраном без присмотра.


Для атаки используется самый дешёвый одноплатный компьютер Raspberry Pi Zero, который продаётся по цене в пять долларов, на котором загружен дистрибутив Linux, настроенный (https://github.com/samyk/poisontap/blob/master/pi_startup.sh) для эмуляции сетевого адаптера по USB и по DHCP объявляющий себя в качестве шлюза для локальной подсети 128.0.0.0. При подключении такого устройства к USB-порту, компьютер жертвы воспринимает его как новую сетевую плату, через которую доступен шлюз для обращения к локальной сети, охватывающей половину адресного пространства (устройство представляется как 1.0.0.1 с сетевой маской 128.0.0.0). Новый сетевой интерфейс менее приоритетен на компьютере жертвы, но так как подсеть задана явно, то подпадающий под эту подсеть трафик уходит через новый сетевой интерфейс независимо от наличия более приоритетного шлюза по умолчанию.


На устройстве запускается подставной DNS-сервер,  выдающий фиктивные ответы для запросов имён хостов, что позволяет переадресовать к PoisonTap все запросы и сохранить в кэше привязку доменов к сторонним адресам, в том числе организовать доступ к внутренним хостам локальной сети при помощи техники DNS rebinding (https://en.wikipedia.org/wiki/DNS_rebinding).


Для сбора данных на устройстве PoisonTap запускается специальное приложение (https://github.com/samyk/poisontap) с реализацией простого http-сервера, который перехватывает все незашифрованные запросы по HTTP с компьютера жертвы. Если на компьютере пользователя остаётся открытым web-браузер, то с большой долей вероятности, некоторые страницы периодически обращаются во вне, например, для обновления рекламных блоков, статистики, AJAX-вставок и т.п. Перехватив такое обращение программа атакущего обрабатывает его и генерирует ответ, в зависимости от запроса содержащий специально оформленный HTML или JavaScript.


Через подстановку в ответ скрытых блоков iframe организуется обращение к списку популярных сайтов из web-браузера жертвы  (используется (https://github.com/samyk/poisontap/blob/master/alexa1m.sh) список из миллиона сайтов от рейтинга Alexa). Если пользователь ранее открывал участвующий в переборе сайт и у него прокэшированы параметры сеанса, то браузер вместе с запросом отправит имеющиеся cookie, а так как трафик контролируется на устройстве атакующего, незашифрованные cookie будут перехвачены. В том числе перехватываются cookie для сайтов, ранее открытых по HTTPS, если данные cookie были установлены без флага Secure (https://www.owasp.org/index.php/SecureFlag), т.е. отправляются и для HTTPS и для HTTP.


Кроме того, в перехваченном трафике выявляются запросы популярных JavaScript-библиотек через типовые сети доставки контента, которые подменяются на варианты с "бэкдором (https://github.com/samyk/poisontap/blob/master/backdoor.html)", который может применяться для продолжения атаки после отсоединения USB-устройства. Так как подменённые JavaScript-библиотеки оседают в кэше, то в дальнейшем,  при открытии пользователем  страниц, запрашивающих JavaScript-библиотеки через CDN, будет запущен подставленный в процессе атаки код, передающий информацию о cookie, установленных для открываемого сайта.

URL: https://samy.pl/poisontap/
Новость: https://www.opennet.ru/opennews/art.shtml?num=45510

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "PoisonTap, простое устройство для атаки на заблокированный П..."  +42 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:00 
Это просто праздник какой-то
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "PoisonTap, простое устройство для атаки на заблокированный П..."  +19 +/
Сообщение от YetAnotherOnanym (ok) on 17-Ноя-16, 11:08 
Силён шельмец!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "PoisonTap, простое устройство для атаки на заблокированный П..."  +6 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:09 
Молодец, нечего разработчикам ОС делать вид, что всё до сих пор ок
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

116. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 19-Ноя-16, 06:37 
Линуксоиды пока заняты попытками заткнуть rowhammer в софте. Хоть это и похоже на "ты что. сбил автомобилем вертолет?!", но эти чего доброго еще и смогут.

А так на самом деле легко лечится. Не ставишь себе udev в пингвине, а IP настраиваешь статикой. И у тебя нет плагнплея. Нет сетевого интерфейса. И вообще - если у тебя не было usb-сетевок то даже модуль придется вручную сначала вгрузить. На чем атака и встрянет. Ну в общем безопасность и удобство порой таки оказываются по разную сторону баррикад. В том плане что удобно может оказаться не только пользователю но и атакующим.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

144. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от pavlinux (ok) on 25-Ноя-16, 18:49 
У самого небось дефолтная бубунта стоит?
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

4. "PoisonTap, простое устройство для атаки на заблокированный П..."  –4 +/
Сообщение от A.Stahl (ok) on 17-Ноя-16, 11:10 
>но так как подсеть задана явно, то подпадающий под эту подсеть трафик уходит через новый сетевой интерфейс независимо от наличия более приоритетного шлюза

Т.е. настройки приоритета недостаточно приоритетны при выборе шлюза? Это, скорее всего, баг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "PoisonTap, простое устройство для атаки на заблокированный П..."  +6 +/
Сообщение от Moomintroll (ok) on 17-Ноя-16, 11:35 
> Т.е. настройки приоритета недостаточно приоритетны при выборе шлюза? Это, скорее всего, баг.

Настройки приоритета влияют только на одинакове префиксы. Именно поэтому он не пытается подменить умолчательный шлюз, а замахивается только на половину IPv4.

Т.е. если бы он пытался подменить дефолтный шлюз, то у него бы не получилось из-за приоритета.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "PoisonTap, простое устройство для атаки на заблокированный П..."  +9 +/
Сообщение от Ivan_83 email(ok) on 17-Ноя-16, 11:17 
У меня на фре такое точно не проканает: адаптер то оно подхватит но дхцп клиента на нём не запустит и он будет висеть не сконфигуреный дальше.
Собственно тоже самое было когда я недавно USB сетевуху подключал посмотреть что оно из себя представляет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:28 
Да, такого не будет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "PoisonTap, простое устройство для атаки на заблокированный П..."  +14 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:42 
Это если оно его хотя бы опознает.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

86. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Ivan_83 email(ok) on 17-Ноя-16, 21:11 
Скорее всего как ueХ будет.
Там стандартный драйвер для юзби, оно много где так. Такой же драйвер для всяких 4г модемов в ndis режиме.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "PoisonTap, простое устройство для атаки на заблокированный П..."  –4 +/
Сообщение от MPEG LA (ok) on 17-Ноя-16, 13:00 
тебе на фре надо надеяться панику не поймать от USB-внезапности
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

67. "PoisonTap, простое устройство для атаки на заблокированный П..."  +6 +/
Сообщение от vantoo (ok) on 17-Ноя-16, 16:26 
Уже лет 5-7 как пофиксили, а красноглазики все плачут.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

56. "PoisonTap, простое устройство для атаки на заблокированный П..."  +5 +/
Сообщение от Аноним (??) on 17-Ноя-16, 14:58 
Я тебя наверное удивлю, но у меня в линухе тоже самое.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

62. "PoisonTap, простое устройство для атаки на заблокированный П..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 17-Ноя-16, 15:21 
> Я тебя наверное удивлю, но у меня в линухе тоже самое.

...ибо нефиг.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

119. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 19-Ноя-16, 06:47 
> ...ибо нефиг.

Что, rowhammer(.js) до вас еще не добрался? :)

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

73. "PoisonTap, простое устройство для атаки на заблокированный П..."  –4 +/
Сообщение от анон on 17-Ноя-16, 18:04 
тссссс. зачем ты просвещаешь просвещенного адепта фрях научившегося отключать dhcp
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

87. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Ivan_83 email(ok) on 17-Ноя-16, 21:12 
Так дистров линуха дохера, указывай конкретно в каком оно не подхватится дхцп клиентом автоматом.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

91. "PoisonTap, простое устройство для атаки на заблокированный П..."  +1 +/
Сообщение от angra (ok) on 17-Ноя-16, 23:41 
В любом, где это не настроено. Или ты не в курсе, что любой дистр линукса можно настраивать и dhcp клиент вообще не запускать? И даже если говорить о дефолтной инсталляции какого-нибудь user friendly дистра, то на этапе установки обычно задается вопрос о настройках сети, где можно указать статический ip без всякого dhcp.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

111. "PoisonTap, простое устройство для атаки на заблокированный П..."  –1 +/
Сообщение от Ivan_83 email(ok) on 18-Ноя-16, 15:11 
Тут всё не однозначно.
На этапе установки ты настраиваешь имеющиеся адаптеры, а во время работы настроенной системы у тебя появляется новый адаптер, который ты не настраивал.
Вот на этом моменте я хз как поведут себя разные дистры.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

100. "PoisonTap, простое устройство для атаки на заблокированный П..."  –1 +/
Сообщение от Аноним (??) on 18-Ноя-16, 09:40 
Во всех номральных осможно отключить dhcp клиент, и что?
Речь о дефолтном состоянии системы. Скорее всего, дефолт на компе у жертвы - вообще не линукс и т д.
ЗЫ: припоминается, что проблема незначительная (и фиксить незачем), т к в реале трудно эксплуатировать. НПусть парень запустит кампанию на кикстартере, может и мотивация у разработчиков ОС появится. Хотя, достаточно слить свои наработки в сеть.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

104. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 18-Ноя-16, 12:55 
Вы таки совершенно ничего не понимаете в тролинге адептов FreeBSD.

А если серьёзно то просто поставил на место адепта Бзди. Алсо, в венде это тоже всё отключается, просто через одно место. За Вендоз 10 не скажу.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

112. "PoisonTap, простое устройство для атаки на заблокированный П..."  –1 +/
Сообщение от Ivan_83 email(ok) on 18-Ноя-16, 15:22 
Что то я сильно сомневаюсь что там можно отключить использование дхцп клиента на всех новых интерфейсах, только отключить дхцп клиента целиком, что не практично.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

120. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 19-Ноя-16, 09:43 
> Что то я сильно сомневаюсь что там можно отключить использование дхцп клиента на всех новых интерфейсах, только отключить дхцп клиента целиком, что не практично.

А зачем он нужен, если можно просто "поднять" интерфейс ifup. Или вы так часто суёте в машину новые устройства?

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

69. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 17-Ноя-16, 16:33 
> У меня на фре такое точно не проканает: адаптер то оно подхватит
> но дхцп клиента на нём не запустит и он будет висеть
> не сконфигуреный дальше.

Wow. Such годный вброс! So many отзывов-подгораний у лапчатых )


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "PoisonTap, простое устройство для атаки на заблокированный ПК"  +2 +/
Сообщение от Ананас on 17-Ноя-16, 11:18 
Чем это лучше просто подключения к сетевухе? Или это нужно только для устройств с вайфаем?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "PoisonTap, простое устройство для атаки на заблокированный ПК"  +/
Сообщение от DmA (??) on 17-Ноя-16, 20:36 
действительно, воткнул вместо  родного эзернет какой-нибудь ноутбук с 3g и dhcp  и пустил через него весь трафик с компа. Когда теперь все знают про такие флехи-компьютеры, то подключение другого кабеля более опасная штука. Заблокировать экран мало теперь прежде, чем выйти из комнаты: нужно ещё usb  и сетевые порты отключить, а комп опечатать. Биос думаю у всех давно запаролен и в качестве единственного boot устройства стоит  нужный жёсткий диск.
В общем 152 инструкцию фсб-фапси пора расширять...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

118. "PoisonTap, простое устройство для атаки на заблокированный ПК"  +/
Сообщение от Аноним (??) on 19-Ноя-16, 06:44 
> Заблокировать экран мало теперь прежде, чем выйти из комнаты:

Оптимисты еще не прочитали про чтение экрана даже без его видимости по излучению. А реалисты сделали из бага фичу - какой-то чувак додумался транслировать эпловским монитором AM-радиопередачу, во как.

// заодно програмер теоретически может утащить инфо с любого компа если ему там можно программы запускать, если он достаточно креативен :)

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

117. "PoisonTap, простое устройство для атаки на заблокированный ПК"  +/
Сообщение от Аноним (??) on 19-Ноя-16, 06:42 
> Чем это лучше просто подключения к сетевухе?

Тем что это потенциально может сделать вообще любое юсб устройство. Тем более что в большинстве их них есть микроконтроллер и прошивка и оно на самом деле может изображать из себя что угодно. Захочет твоя usb сетевка стать клавиатурой - и станет. И если у тебя был рутовый терминал открыт, а клава подцепилась - ну это залет. PoC нагревающие винду этим методом уже даже были - фэйк клава пытается ребутнуть систему а потом в bios сменить настройки на загрузку. С флешки. Которую после этого и изображает. И вот уже система грузится с клавы, которая уже флешка. В общем, такой себе автомобиль-самолет как у фантомаса.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "PoisonTap, простое устройство для атаки на заблокированный П..."  +2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:22 
Пора в xscreensaver добавлять блокировку всех новых девайсов при залоченном сеансе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "PoisonTap, простое устройство для атаки на заблокированный П..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:34 
Какой скринсейвер? Купил китайскую флеху — прощай пароли.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

93. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от lamer (??) on 18-Ноя-16, 00:04 
> Пора в xscreensaver добавлять блокировку всех новых девайсов при залоченном сеансе

То ли дело взять не дешманско-лоховскую флеху в которой сэкономили на всем чем можно, а фирменную какую. Крутую. С эмблемой ХайСекурности. В идеале чтоб вендор было Microsoft или Intel. Им то уж можно доверять, не то что китайским ноунеймам

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

97. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 18-Ноя-16, 05:54 
Проблема в том, что приведённое в статье устройство собрано из натурального мусора за три копейки. То есть грань между "купить китайскую флеху за 300р." и "купить брендовую флеху с ПРЕМИУМ троянами от Sony" теперь практически отсутствует. А на компонентах всегда можно сэкономить взвинчивая заявленный объём в 50 раз и сжимая данные каким-нибудь gzip.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

126. "PoisonTap, простое устройство для атаки на заблокированный П..."  +/
Сообщение от Аноним (??) on 19-Ноя-16, 23:42 
> объём в 50 раз и сжимая данные каким-нибудь gzip.

На пути этого хитрого плана есть загвоздка: видео, аудио и прочие фоты - не очень жмутся gzip-ом, поэтому на#$ка довольно быстро спалится :)

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

10. "Атака на заблокированный ПК через USB"  +12 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:29 
Слабак. Вот на выключенный ПК - это да.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

127. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 19-Ноя-16, 23:45 
> Слабак. Вот на выключенный ПК - это да.

Intel ME может писюк и включить. И вообще, жил был компьютер. При уходе в suspend to ram - он засыпал. Но иногда ктулху все-таки просыпался. Включая ATX power supply. Сам. Исследование показало что PCI-e нынче бывает под напругой даже в дежурке, поэтому даже китайская сетевка может взять и врубить комп. Чтобы было больше лулзов, в куске китая WOL активен по дефолту и срабатывает на любой уникаст пакет, даже без magic.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Атака на заблокированный ПК через USB"  –6 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:34 
> компьютер жертвы воспринимает его как новую сетевую плату,

Даже на Винде это не прокатит. Или он через usb еще и драйвер скармливает системе?
И с какой стати, сетевой адаптер должен сбросить текущее сетевое соединение и подключится к это сети?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Атака на заблокированный ПК через USB"  +5 +/
Сообщение от Moomintroll (ok) on 17-Ноя-16, 11:42 
> И с какой стати, сетевой адаптер должен сбросить текущее сетевое соединение и подключится к это сети?

Во-первых, не сетевой адаптер, а ОС. А во-вторых, речь-то о HTTP - где там "текущие соединения"?...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Атака на заблокированный ПК через USB"  –2 +/
Сообщение от Костик (??) on 17-Ноя-16, 11:48 
О-о, батенька. Так ведь HTTP 1.1 уже устареть успел, а не все, как оказывается, знают...
Именно, именно соединения.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

38. "Атака на заблокированный ПК через USB"  +/
Сообщение от Moomintroll (ok) on 17-Ноя-16, 13:45 
> Так ведь HTTP 1.1 уже устареть успел, а не все, как оказывается, знают...
> Именно, именно соединения.

Я подозреваю, что Вы намекаете на keep-alive aka переиспользование соединения с сервером для загрузки нескольких компонентов страницы... В таком случае Вы заблуждаетесь, если считаете, что эти соединения живут вечно. Там таймаут от десятков секунд до считанных минут.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

92. "Атака на заблокированный ПК через USB"  +/
Сообщение от adminlocalhost (ok) on 17-Ноя-16, 23:51 
а что такое тайм аут?
точнее, при каких условиях он наступает?
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

103. "Атака на заблокированный ПК через USB"  +/
Сообщение от Moomintroll (ok) on 18-Ноя-16, 12:45 
> а что такое тайм аут?
> точнее, при каких условиях он наступает?

При отсутствии передачи данных в соединении в течение определённого времени, соединение закрывается.

Википедия интереснее пишет про keep-alive: https://en.wikipedia.org/wiki/HTTP_persistent_connection

HTTP 1.0

This will continue until either the client or the server decides that the conversation is over, and one of them drops the connection.

Вообще не представляю эту логику. Таймауты логичнее, как в HTTP 1.1:

the default connection timeout of Apache httpd 1.3 and 2.0 is as little as 15 seconds[2][3] and just 5 seconds for Apache httpd 2.2 and above

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

18. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:44 
Уже есть USB<->Eth девайсы драйвера для которых предустановлены в шиндофсе.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:51 
Ага. Вот и попробуйте.
С драйверами иногда танцевать приходится.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

125. "Атака на заблокированный ПК через USB"  +/
Сообщение от The User on 19-Ноя-16, 21:53 
Сами попробуйте, Windows начиная с 7ки RNDIS подхватывает без всяких драйверов и вопросов.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

128. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 19-Ноя-16, 23:47 
> С драйверами иногда танцевать приходится.

Для большинства сетевок подходит стандартный драйвер стандартного класса устройств. На самом деле эти драйверы есть в большинстве ОС.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

19. "Атака на заблокированный ПК через USB"  +/
Сообщение от Mikk (??) on 17-Ноя-16, 11:48 
Там же сказано - сеть задаётся явно.
У более специфичных сетей приоритет выше, чем у дефолта. Так в ip сетях работает маршрутизация.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

136. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:21 
> драйвер скармливает системе?

Стандартный класс устройств - дрова в систему встроены почти везде много лет.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 11:43 
Мутный способ, нет 100% уверености что удастся что-то полезное вытащить. Ну и selfdestroy coockies - наше все.
И в зоне риска только адреса:
HostMin:   0.0.0.1              0 0000000.00000000.00000000.00000001
HostMax:   127.255.255.254      0 1111111.11111111.11111111.11111110

Хотя никто не мешает поменять диапазон.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Necrogrinder (ok) on 17-Ноя-16, 11:50 
Есть же китайские фейковые флешки с конденсаторами внутри которые сжигают железо разрядом. От таких приколистов ни один софт не поможет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 15:01 
> Есть же китайские фейковые флешки с конденсаторами внутри которые сжигают железо разрядом.
> От таких приколистов ни один софт не поможет.

А смысл? После этого шина сгорает и предположительно даже мосты умирают вкупе со всякими другими устройствами. Так то ты сможешь вытащить оттуда после этого? Ничего? А какой тогда смысл? Насолить разве что?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

129. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 19-Ноя-16, 23:51 
> А смысл? После этого шина сгорает и предположительно даже мосты умирают вкупе
> со всякими другими устройствами. Так то ты сможешь вытащить оттуда после
> этого? Ничего? А какой тогда смысл? Насолить разве что?

На хабре даже пример такого usb-destructor'а был. Идея проста как тапок: девайс накачивает батарею кондеров от 5V питания. Бах разрядом по линиям данных. Пациент готов.

А зачем? Ну например - отличный пранк над "клептоманами". Вот так оставишь флешку, у нее отрастут ноги. В этом случае - приделавший ноги потом будет очень не рад что взял чужое, потому что выбитый чипсет обходится значительно дороже флешки.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

23. "Атака на заблокированный ПК через USB"  –10 +/
Сообщение от Меломан1 on 17-Ноя-16, 11:51 
Ну насобирал он печенюшек и урлы, все равно у всех 2-х факторная авторизация настроена, хрен он что получит.
Считаю, что уровень опасности минимальный.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 15:02 
> Ну насобирал он печенюшек и урлы, все равно у всех 2-х факторная
> авторизация настроена, хрен он что получит.
> Считаю, что уровень опасности минимальный.

Ты забыл про хомячков? Некоторые даже, о ужас, записывают все пароли на стикерах, которые потом крепят к монитору... Тут даже ничего подключать не надо.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

74. "Атака на заблокированный ПК через USB"  +/
Сообщение от Crazy Alex (ok) on 17-Ноя-16, 18:56 
Вот чем дальше - тем больше у меня подозрение, что обеспечить физическую защиту железки и пользоваться стикерами - довольно надёжный и беспроблемный вариант. Во всяком случае, пока речь о всяких шпиёнах не идёт.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

95. "Атака на заблокированный ПК через USB"  +/
Сообщение от Астролог on 18-Ноя-16, 03:24 
ПК использовать как терминал, а сервачок спрятать под замок
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

105. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 18-Ноя-16, 12:58 
> Вот чем дальше - тем больше у меня подозрение, что обеспечить физическую
> защиту железки и пользоваться стикерами - довольно надёжный и беспроблемный вариант.
> Во всяком случае, пока речь о всяких шпиёнах не идёт.

В принципе да, я частично согласен. Но опять же - если ни у кого нет прямого доступа к вашему компьютеру. Иначе всё это бесполезно. Лучше уж тогда носить с собой блокнотик в нагрудном кармане.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

24. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Костик (??) on 17-Ноя-16, 11:51 
Не очень понятно, как он там что из себя будет изображать при повальном переходе на HTTPS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Атака на заблокированный ПК через USB"  –2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:07 
а если у меня драйверов на эту хрень нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Атака на заблокированный ПК через USB"  +/
Сообщение от DmA (??) on 17-Ноя-16, 20:45 
> а если у меня драйверов на эту хрень нет?

так в винде(vista+) по умолчанию стоит искать все драйвера на сайте Микрософт. Вы даже не нужны за компьютером. Проверьте свою политику установки драйверов: Пуск -Устройста и принтеры-в Устройствах найдите имя своего компьютера и правой кнопкой мыши на нём щёлкните и выберите "Параметры установки устройств". Скорей всего автоматически идёт поиск драйверов у Микрософта. Другое дело, что есть такой драйвер уже...
Интересно, поможет в таком случае отключение службы Plug and Play или нет. Как вообще бороться с новыми подключениями... Тор конечно выход от таких вещей, но не во всяких корпоративных вещах тор достаточен для работы


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

88. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 21:48 
А если у анонима Linux
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

122. "Атака на заблокированный ПК через USB"  –2 +/
Сообщение от Аноним (??) on 19-Ноя-16, 14:17 
gpedit.msc > Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions > Prevent installation of devices not described by other policy settings.

А голожопикам не повезло, да.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

123. "Атака на заблокированный ПК через USB"  +/
Сообщение от Michael Shigorin email(ok) on 19-Ноя-16, 14:49 
> gpedit.msc >>>>>> Prevent installation of devices not described by other policy settings.
> А голожопикам не повезло, да.

Это был привет из самой глубины этсамой? ;-)

Так-то http://git.altlinux.org/gears/a/alterator-ports-access.git (желающие могут адаптировать правила для своего udev).

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

124. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 19-Ноя-16, 17:18 
> Это был привет из самой глубины этсамой? ;-)

Как скажите. Это относилось ко всякого рода "шарашкиным" конторам, где нету настроенных групповых политик/всем плевать на безопасность. Не сомневаюсь что у онтопика это тоже можно сделать/настроить. Мой комментарий относился к 2.83, про шутки с pnp и прочим. Как оно работает по-умолчанию мало интересно, если это можно поменять штатными средствами.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

130. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 19-Ноя-16, 23:56 
Чтоб ты знал - групповые политики довольно неэффективная и мягкотелая штука. Локальный юзер млжет без проблем на них забить, если они ему не нравятся. И наверное чтобы упомянутый гаджет сработал - локальный юзер должен его притащить и подключить.
Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

131. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:00 
> Так-то http://git.altlinux.org/gears/a/alterator-ports-access.git (желающие могут
> адаптировать правила для своего udev).

Кстати кто там Поттеринга ругал за /sys прибитый? Вот в альте оказывается /sys тоже на гвозди прибит вот прямо к этой локации. А хотя-бы и в скрипте :).

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

26. "Атака на заблокированный ПК через USB"  +4 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:09 
Независимо от используемой ОС? Серьёзно?
Я не знаю ни одной приличной ОСи, которая при подключении нового сетевого адаптера бросилась бы поднимать его и настраивать без явной команды пользователя.

А неприличные оси, которые могут такое делать, и бинари с обычной флэшки "автозапускают"...

Вообще не вижу, в чем проблема.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:41 
Ubuntu автоматом поднимает через Network Manager.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

110. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Онанимус on 18-Ноя-16, 14:15 
> Ubuntu автоматом поднимает через Network Manager.

С этим легко побороться. Достаточно в соединениях Network Manager создать сеть с настройками:
1. на закладке "Параметры IPv4" - способ настройки "Автоматически (DHCP)"
2. на закладке "Ethernet" не был указан MAC адрес
3. на закладке "Общие" снята галочка "автоматически подключаться к этой сети"
4. дать имя соединения, к примеру "DHCP"
Тогда при втыкании RJ45 или usb модема соединение автоматически не устанавливается и него нужно ткнуть мышью под именем сетевой карты.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Атака на заблокированный ПК через USB"  +/
Сообщение от Admino (ok) on 17-Ноя-16, 13:07 
> Независимо от используемой ОС? Серьёзно?
> Я не знаю ни одной приличной ОСи, которая при подключении нового сетевого
> адаптера бросилась бы поднимать его и настраивать без явной команды пользователя.
> А неприличные оси, которые могут такое делать, и бинари с обычной флэшки
> "автозапускают"...
> Вообще не вижу, в чем проблема.

Для тебя приличная ОС это DOS. надо понимать.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

84. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от DmA (??) on 17-Ноя-16, 20:48 
>> Независимо от используемой ОС? Серьёзно?
>> Я не знаю ни одной приличной ОСи, которая при подключении нового сетевого
>> адаптера бросилась бы поднимать его и настраивать без явной команды пользователя.
>> А неприличные оси, которые могут такое делать, и бинари с обычной флэшки
>> "автозапускают"...
>> Вообще не вижу, в чем проблема.
> Для тебя приличная ОС это DOS. надо понимать.

просто dhcp зло, всё нужно статиком прописать, не прописал, не работает, а служба dhcp должно быть отключена. правда если используется VPN соединение, то без dhcp оно работать не будет скорей всего.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

132. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:05 
> просто dhcp зло,

Автомобили тоже зло - на них в ДТП попасть можно.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

60. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 15:10 
> А неприличные оси, которые могут такое делать, и бинари с обычной флэшки "автозапускают"...

Wendoz, если не настраивать. Не все же в этом мире компьютерные гики, подумай об обычных пользователях. Для нас с тобой проблем нет, конечно. А вот например для моей бабушки, которая активно пользуется компьютером, проблема есть.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

75. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от Crazy Alex (ok) on 17-Ноя-16, 18:56 
Вряд ли бабушке угрожает эта атака
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

133. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:07 
> Вряд ли бабушке угрожает эта атака

А тут сильно завсит от. Бабушки могут запросто таскать через 5 рук непонятные флешки и кликать на всякую фигню. И компьютер с виндой потом получается довольно загаженным, кстати.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

140. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 21-Ноя-16, 06:59 
Угу, как прихожу к ней - 20 вирусов одним AVZ собираю. Причём вирусы то смешные и даже не запускаются, ибо работают только в режиме DOS. Но всё же.
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

29. "Атака на заблокированный ПК через USB"  +4 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:41 
Во первых не уверен, что у меня гента сама подхватит эту "сетевуху".

а во вторых - раз есть физический доступ к компу, кто запрещает воткнуться между кабелем и сетевухой? да, у малинки только 1 сетевой порт, но вроде ж были одноплатники с двумя... накрайняк можно и на ардуинке такое запилить - ethernet шилды копеечные, ничего особо делать не нужно - тупо дампить трафик (хоть весь, хоть с простейшим фильтром по порту) на SD карту... думаю, ардуинка справится

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Атака на заблокированный ПК через USB"  +/
Сообщение от Онофрий on 17-Ноя-16, 14:26 
Думаю, смысл в том, что такую штуку можно замаскировать под флешку/внешний жёсткий диск.
Хреновина на витой паре подозрительна.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

50. "Атака на заблокированный ПК через USB"  +4 +/
Сообщение от Khariton (ok) on 17-Ноя-16, 14:34 
> Думаю, смысл в том, что такую штуку можно замаскировать под флешку/внешний жёсткий
> диск.
> Хреновина на витой паре подозрительна.

машина, к которой есть физический доступ для посторонних, не может хранить тайны.
я подошел и вынял винт, подменил машину и т.д.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

71. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 17:42 
Никто  к тебе не будет подходить — ты сам купишь девайс в соседнем DNS (куда его привезут от первого попавшегося китайского перекупщика, который меньше попросит).
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

76. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Crazy Alex (ok) on 17-Ноя-16, 19:00 
угу, великий заговор производителей флэшек. По факту именно всякая дешёвая дрянь в этом плане наиболее безопасна - там сэкономлено на всём, а масштабы производства таковы, что если приплачивать производителю за то, чтобы ещё что-то напихал - то и Крез разорится.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

98. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 18-Ноя-16, 06:04 
Бизнес по производству физических благ — самый низкоприбыльный. Если уж Microsoft переключился с корпоративного рэкета на торговлю задницей пользователя…
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

134. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:08 
> угу, великий заговор производителей флэшек. По факту именно всякая дешёвая дрянь в
> этом плане наиболее безопасна - там сэкономлено на всём,

С другой стороны, недружелюбной фирмвари много то и не надо.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

31. "Атака на заблокированный ПК через USB"  +5 +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:44 
Отсюда вывод -- активные страницы, регулярно подгружающие рекламу -- зло, и подлежат уничтожению. Как, впрочем, и джаваскрипт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Атака на заблокированный ПК через USB"  +5 +/
Сообщение от deadfood (ok) on 17-Ноя-16, 12:49 
Тю, это же обычный mitm. Ничего нового, кроме необходимости физического подключения к компу, не изобрели.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 12:52 
нужно на активацию скринсейвера вписать команду killall -SIGSTOP <browsername>
а на деактивацию соответственно killall -SIGCONT
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Атака на заблокированный ПК через USB"  +/
Сообщение от Admino (ok) on 17-Ноя-16, 13:08 
> нужно на активацию скринсейвера вписать команду killall -SIGSTOP <browsername>
> а на деактивацию соответственно killall -SIGCONT

Найдут ещё дырку. Надо делать SIGSTOP на вообще все процессы пользователя.

Только тогда пользователь будет ругаться, что музыка заткнулась, но безопасность превыше всего!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

53. "Атака на заблокированный ПК через USB"  +3 +/
Сообщение от Аноним (??) on 17-Ноя-16, 14:47 
> Только тогда пользователь будет ругаться, что музыка заткнулась

...и торренты встали.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

115. "Атака на заблокированный ПК через USB"  +/
Сообщение от Анонимный Алкоголик (??) on 18-Ноя-16, 21:44 
>> нужно на активацию скринсейвера вписать команду killall -SIGSTOP <browsername>
>> а на деактивацию соответственно killall -SIGCONT
> Найдут ещё дырку. Надо делать SIGSTOP на вообще все процессы пользователя.
> Только тогда пользователь будет ругаться, что музыка заткнулась, но безопасность превыше
> всего!

Вот как раз ругаться на продолжающуюся музыку

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

63. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от ryoken (ok) on 17-Ноя-16, 15:33 
> нужно на активацию скринсейвера вписать команду killall -SIGSTOP <browsername>
> а на деактивацию соответственно killall -SIGCONT

Проще. Отполз от компа - логофф.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

39. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Khariton (ok) on 17-Ноя-16, 13:47 
Я вот что-то не совсем понимаю вот этот момент:
"На устройстве запускается подставной DNS-сервер, выдающий фиктивные ответы для запросов имён хостов"

А почему это мой запрос по резолвингу имени должен идти на интерфейс 1.0.0.1/8?
Он же не изменял моего /etc/resolv.conf?

А в целом очень красиво...)))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от 1 (??) on 17-Ноя-16, 13:55 
Не 1.0.0.1/8, а 1.0.0.1/1, что включает в себя, например, 8.8.8.8
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Атака на заблокированный ПК через USB"  +/
Сообщение от nikosd (ok) on 17-Ноя-16, 14:19 
он не пойдет к Вашему ресолверу если Вы с ресолвером в одной сети. Но запрос может  пойти в MITM если в протоколе  DHCP  указан другой DNS  и система обрабатывает изменения /etc/resolv.conf  на лету.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "Атака на заблокированный ПК через USB"  +/
Сообщение от Khariton (ok) on 17-Ноя-16, 14:33 
> он не пойдет к Вашему ресолверу если Вы с ресолвером в одной
> сети. Но запрос может  пойти в MITM если в протоколе
>  DHCP  указан другой DNS  и система обрабатывает изменения
> /etc/resolv.conf  на лету.

ну тут проще. не использовать resolvconf и запретить изменение DNS по DHCP. А лучше дать права 444 /etc/resolv.conf

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "Атака на заблокированный ПК через USB"  +/
Сообщение от obl (ok) on 17-Ноя-16, 14:19 
Он тебе его запушил
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Khariton (ok) on 17-Ноя-16, 14:21 
> Он тебе его запушил

понятно.

а если запретить на хосте сеть через юсб (например перекомпилить ядро и убрать все модули связанные с этим), то по идее атака сдохнет?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

41. "Атака на заблокированный ПК через USB"  +2 +/
Сообщение от Нанобот (ok) on 17-Ноя-16, 14:00 
а ещё можно сетевой провод перетыкнуть в такую агрессивную сеть, с тем же эффектом
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Атака на заблокированный ПК через USB"  –2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 14:03 
в виндус 10 днс резолвер обращается к днс серверам ТОЛЬКО согласно метрикам интерфейсов.
расходимся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Атака на заблокированный ПК через USB"  +3 +/
Сообщение от lamer (??) on 17-Ноя-16, 15:00 
> в виндус 10 днс резолвер обращается

В индус 10 вопрос безопасности мало кого интересует

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

61. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 15:16 
В "виндус 10" была (как сейчас - не знаю) вот такая хрень: https://habrahabr.ru/post/264503/

Поэтому, первое что я делаю на маршрутизаторе:
iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

Что принудительно заставляет клиентов слать DNS-запросы маршрутизатору, а не какому-то серверу в интернете.
Заодно это защищает и от малвари на клиентских девайсах, которая подменяет настройки DNS, вписывая туда DNS злоумышленника.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

66. "Атака на заблокированный ПК через USB"  –2 +/
Сообщение от Аноним (??) on 17-Ноя-16, 16:12 
http://answers.microsoft.com/en-us/windows/forum/windows_10-...

Здесь показано, что на резолв влияют метрики интерфейсов. Более того, это легко проверяется созданием разных туннелей и изменениями их метрик. Автор на хабре это не проверил, а все намного проще.
Дело не в том: нужен индус, не нужен индус. Кому интересны взломы неуловимых джо.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

80. "Атака на заблокированный ПК через USB"  +/
Сообщение от 11111 on 17-Ноя-16, 20:10 
Знакомтесь, Big Data - она собирается с миллионов "неуловимых" Джо, для последующего майнинга.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

89. "Атака на заблокированный ПК через USB"  +/
Сообщение от DmA (??) on 17-Ноя-16, 22:04 
>[оверквотинг удален]
> https://habrahabr.ru/post/264503/
> Поэтому, первое что я делаю на маршрутизаторе:
> iptables -t nat -I PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports
> 53
> iptables -t nat -I PREROUTING -p udp --dport 53 -j REDIRECT --to-ports
> 53
> Что принудительно заставляет клиентов слать DNS-запросы маршрутизатору, а не какому-то
> серверу в интернете.
> Заодно это защищает и от малвари на клиентских девайсах, которая подменяет настройки
> DNS, вписывая туда DNS злоумышленника.

При установке Google Chrome( сам его не использую) на Винде в дополнительных параметрах брандмауэра во входящих соединениях для файла Chrome.exe появляется включённое правило "Google Chrome (mDNS-In)" для протокола UDP и порта 5353. Пока не очень понимаю зачем гуглу,чтобы кто-то лез на мой компьютер на порт 5353 за днс запросами...
Предполагаю, что сам chrome лезет сам к себе с dns запросами на порт 5353, а вот затем эти запросы редиректятся к какому-то из сервисов гугл, не обязательно по порту 53 доступным, а возможно это другие порты. Скорей всего Гугл хочет, чтобы при использовании Chrome все dns запросы с него шли на сервера Google (например  публичный днс гугла 8.8.8.8). Чтобы знать о всех днс запросах пользователях(есть конечно чудаки, которые сами делают подарок гуглу и прописывают в настройках TCP  их днс сервер 8.8.8.8)

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

135. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 20-Ноя-16, 00:15 
5353 - это порт mDNS (aka multicast DNS). Механизм публикации и поиска ресурсов в локалке такой. Вредность умеренная. Полезность тоже. Впрочем, если кто пользуется виндой - его такие мелочи вообще колыхать не должны. Зачем тебе прочные рамы для окон, если у тебя в доме дверь отсутствует? :)
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

49. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 17-Ноя-16, 14:33 
Мне нравится, что современные ОС, считают, что "1.0.0.1 с сетевой маской 128.0.0.0" является стандартной практикой при раздаче по DHCP =)

Что он будет делать, этот чел, для IPv6? Замаскирует биллиард адресов? Впрочем, все те же грабли. Кривое, раскривое DHCP, которое давным-давно надо было переизобрести. Поттерингу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Andrey Mitrofanov on 17-Ноя-16, 15:57 
> все те же грабли. Кривое, раскривое DHCP, которое давным-давно надо было
> переизобрести. Поттерингу.

Слыхала я, он уже. avahi. Мож, и обманули меня, конечно.

---Эппле шагает впреди, и Леннарт, та-а-акой маладой, ...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от ABATAPA email(ok) on 17-Ноя-16, 14:38 
Старо. Атаке через FireWire уже несколько лет, причём, всё готово для практического применения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Атака на заблокированный ПК через USB"  +/
Сообщение от User from a Company on 18-Ноя-16, 03:29 
Атаки через firewire уже N лет как неактуальны, во-первых из-за отмирания fireware, во-вторых из-за появления iommu. Современная ОС отсечёт все поползновения непонятной железки копаться в памяти.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

54. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Андрей (??) on 17-Ноя-16, 14:55 
А в firefox есть возможность запретить слать куки от HTTPS через HTTP? Т.е. форсировать флаг SECURE?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 16:42 
> А в firefox есть возможность запретить слать куки от HTTPS через HTTP?
> Т.е. форсировать флаг SECURE?

HTTPS everywhere

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

72. "Атака на заблокированный ПК через USB"  +/
Сообщение от Андрей (??) on 17-Ноя-16, 17:46 
Так ведь не поможет: этот троянский USB сам подставляет HTTP URL.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

106. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 18-Ноя-16, 13:02 
> Так ведь не поможет: этот троянский USB сам подставляет HTTP URL.

Так ведь какой вопрос такой ответ :) Если более глобально - man iptables.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

78. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Пердолик on 17-Ноя-16, 19:45 
В нормальных ОС порты USB заблокированы по дефолту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

94. "Атака на заблокированный ПК через USB"  +/
Сообщение от Led (ok) on 18-Ноя-16, 02:21 
> В нормальных ОС порты USB заблокированы по дефолту

... по причине отсутствия драйверов в этих BSD^Wнормальных ОС

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

107. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Аноним (??) on 18-Ноя-16, 13:04 
> В нормальных ОС порты USB заблокированы по дефолту.

...запрещена возможность выхода в интернет, запуска программ, кроме рекомендованных чёрным властелином. И вообще всё..

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

81. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 17-Ноя-16, 20:25 
Пора отключать питание usb
самостоятельно это не произойдёт
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Ivan_83 email(ok) on 17-Ноя-16, 21:09 
USB firewall
накорябать не слишком то и сложно, если что.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

90. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от DmA (??) on 17-Ноя-16, 22:07 
> USB firewall
> накорябать не слишком то и сложно, если что.

Да просто настроить правильно Firewall, чтобы только оттуда-то и только на такие порты шли коннекты.  Допустим на сетевой карте такой-то ip - вот и нужно разрешить коннекты во вне только с этого ip . В случае поднятия других сетей(bluetooh или USB-LAN) коннекты  них не пройдут никуда.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

99. "Атака на заблокированный ПК через USB"  +/
Сообщение от DmA (??) on 18-Ноя-16, 08:16 
А если в этой новой сети у платы будет точно такой же ipшник, что и в Firewall? Сам предложил решение, сам его отверг.Опять предложу - в Firewall должно прописано имя интерфейса, тогда точно даже при совпадении ip-шника в новой сети с основным трафик не пойдёт через новую сеть, даже если попытается.
В Винде нет привязки правил брандмауэра к сетевому интерфейсу . Но можно все новые сети считать "общественными", а для них запретить любые входящие и исходящие исключения(отключить все активные правила), а в правилах по умолчанию для всех пакетов выставить, что всех исходящие и входящие соединения по умолчанию запрещены.В дополнительных параметра брандмауэра это  можно сделать. Ну или  через netsh.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

113. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Ivan_83 email(ok) on 18-Ноя-16, 15:25 
Ты не понял.

Я бы даже пошёл дальше и написал Device Firewall - те чтобы при подключении новых устройств их можно было блокировать - не выделять ресурсы, запрещать DMA.

Собственно в данном случае оно прикидывается сетью и это фигня.
В другом случае у тебя могут быть случаи гораздо сложнее, когда мышка вдруг станет ещё и клавой и флешкой и вайфле адаптером и тп.
Или вот уже упоминавшаяся атака с чтением памяти через фаерварь.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

139. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от 111 (??) on 21-Ноя-16, 00:53 
Проблем несколько - сколько будет стоит создание и просто компоненты такого устройства?
Скажем чтобы мог обрабатывать со скоростью USB-2.0 (не говря уже про 3.0), напр.для HDD. Кто это создаст? Для дешевизны нужна ведь массовость... Не положит ли он сам туда backdoor? Не пролезил ли сам в прошику или vhdl компиляцию - с компа разработчика.
Более того, можно сказать что для удешевления и упрощения - будут использованны готовые USB модули в микросхеме, а значит к гадалке не ходи - там уже backdoor для такого случая. Впрочем, и без готового USB модуля - никаких гарантий... Скорей наоборот.
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

101. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Лютый жабист (ok) on 18-Ноя-16, 09:57 
Про "любую ОС" загнули. В типичном линухе, но не бубунте-максималочке, даже сетевой адрес не появится на интерфейсе.

А у меня в арчике даже сетевуха не взлетит, т.к. я обновил ведро, но ещё не ребутнулся - модули недоступны. 8)))))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Аноним (??) on 18-Ноя-16, 13:07 
> не ребутнулся

Сразу видно арчевода.
man modprobe
man dhclient | ifup

> В типичном линухе

Только у тебя. Если нравится каждый раз ручками всё делать - флаг тебе в руки.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

102. "Атака на заблокированный ПК через USB"  +/
Сообщение от kleem_head on 18-Ноя-16, 10:08 
Надо практику СБЕРа распространять - эбокситку во все разъемы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

121. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от lamer (??) on 19-Ноя-16, 10:44 
> Надо практику СБЕРа распространять - эбокситку во все разъемы.

Лол. На сколько практика широка?

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

114. "Всё просто"  –1 +/
Сообщение от Прохожий email(??) on 18-Ноя-16, 20:28 
Нужно просто перед блокировкой сделать в Firefox "File->Work Offline" и усё.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

137. "Атака на заблокированный ПК через USB"  +1 +/
Сообщение от Нечестивый (ok) on 20-Ноя-16, 08:17 
Хорошо, только надо срочно установить Network Manager или хотя бы Systemd, а то коллеги снова начнут говорить что на Линуксе у меня ничего не работает...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

138. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от 111 (??) on 21-Ноя-16, 00:44 
Наверняка все эти backdoor - заложенны специально, причём специально не сильно сложно эксплуатируемо: нашедшие хакеры - рады и пользуются, молча, антихакеры тоже рады и тщеславятся что нашли или законструировали, на ура я сделал рабочий тест-руткит - останавливаются, и считают что всё нашли и всё исправимо.
А, создатели USB протокола и оборудования потирают руки - успешно отвлекли внимание все тех от более глубинных backdoor, в очередной раз.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

141. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от Аноним (??) on 21-Ноя-16, 07:04 
Причём тут USB? Это можно было и 20 лет назад через какой-нибудь COM сделать.
Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

143. "Атака на заблокированный ПК через USB"  –1 +/
Сообщение от 111 (??) on 21-Ноя-16, 10:11 
В них насколько не было заложенно настолько наглых, настолько публично доступных backdoor, я про приккинулся клавиатурой или мышкой или сетвухой и - готово!

Но чатью верно. Вставил какой-нибудь COM/LPT-брелок или соответсвенно COM-модем
- активировав backdoor ЦПУ и мостов материнки, загрузил с того свою ОСь, тут же [удалённо]скопировал всё что нужно и/или изменил/подложил. Так, я же совсем не про это говорил.

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

145. "Атака на заблокированный ПК через USB"  +/
Сообщение от Аноним (??) on 28-Ноя-16, 11:20 
https://wiki.gentoo.org/wiki/Allow_only_known_usb_devices
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру