Если я правильно понял смысл атаки, то непосредственно malware выполняется на компьютере пользователя, в его браузере. Другое дело, что описанная атака позволяет дать коду, запущенному в браузере пользователя доступ в локальную сеть пользователя, в т.ч. и на раутер. А также на любое веб-управляемое устройство в локалке. Тогда как с точки зрения раутера, все в порядке - на него осуществляют вход из локальной сети с компьютера пользователя. Так что раутер патчить бесполезно.
Я делаю несколько выводов:
- дыра (или как это лучше классифицировать?) не в раутере, а в браузере, или в идеологии, лежащей под работой браузер-скриптов;
- раутеры были выбраны для исследования как наиболее распространенное веб-управляемое оборудование, которое есть почти у каждого дома;
- возможно раутер также может помочь, если на нем используется веб-защита (фактически, прозрачный прокси сервер с правилами). Но я бы ей пользоваться не стал. Также, возможно, на незатронутых раутерах просто какой-то замученный веб-интерейс (с джавой?), что скрипт просто не может прорваться. Но и такого я тоже не пожелаю.
На предстоящей конференции Black Hat обещана демонстрация уязвимости, затрагивающей множество роутеров, в том числе таких популярных производителей как Netgear, Linksys, Belkin, и которая может быть использована просто через веб.
Затронутые роутеры могут быть обмануты с помощью хорошо известной атаки класса DNS rebinding, после чего начинают считать ip посетителя резервным ip атакующего сайта, а обращения с сайта - обращениями из локальной сети. Ну а дальше это вполне может открыть доступ к администрированию роутером со всеми вытекающими последствиями. Обычно администраторский фронт-энд недоступен из внешней сети и запаролен, но данная атака позволяет обойти первое препятствие, а большинство домашних пользователей не занимается такой ерундой как смена дефолтового пароля.
Из 30 протестированных моделей половина...
Если я правильно понял смысл атаки, то непосредственно malware выполняется на компьютере пользователя, в его браузере. Другое дело, что описанная атака позволяет дать коду, запущенному в браузере пользователя доступ в локальную сеть пользователя, в т.ч. и на раутер. А также на любое веб-управляемое устройство в локалке. Тогда как с точки зрения раутера, все в порядке - на него осуществляют вход из локальной сети с компьютера пользователя. Так что раутер патчить бесполезно.
Я делаю несколько выводов:
- дыра (или как это лучше классифицировать?) не в раутере, а в браузере, или в идеологии, лежащей под работой браузер-скриптов;
- раутеры были выбраны для исследования как наиболее распространенное веб-управляемое оборудование, которое есть почти у каждого дома;
- возможно раутер также может помочь, если на нем используется веб-защита (фактически, прозрачный прокси сервер с правилами). Но я бы ей пользоваться не стал. Также, возможно, на незатронутых раутерах просто какой-то замученный веб-интерейс (с джавой?), что скрипт просто не может прорваться. Но и такого я тоже не пожелаю.
От это занятно, просто шикарная дырень...22.07.10 12:15 Автор: HandleX <Александр М.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
