Вирус на 300 баксов
Огромное, нечеловеческое спасибо ! Смеялись в голос всем отделом.
Я тоже смеялся когда узнал.
А с этим никто и не спорил. Вопрос был про атаку вируса через закрытый порт. Что, на данный момент, я представить никак не могу, кроме как через какую-то уязвимость прошивки роутера или ПО фаервола. В случае же вируса WannaCry уязвимость была в протоколе SMB.
Парни, не горячитесь. Вы про разные порты говорите, Вы про порт на роутере, а Павел на хосте
thehackernews.com/…/wannacry-ransomware-decryption…
расшифровщик вроде
Если я просто качаю что-то из интернета по FTP-протоколу, то 21-й порт у меня закрыт
Если бы все было так просто. На примере FTP протокола.
21 порт и все остальные у вас на роутере возможно и был закрыт до момента запуска FTP клиента, но вот что удивительно сразу после запуска и соединения с удаленным хостом это все может “слегка изменится”. Например при условии успешного использования active моды для FTP соединения. Заметьте никакого FTP сервера на вашей машине только клиент, но если ваше соединение успешно установлено не в passive в active моде то этот факт специалисту говорит о том что на пользовательской машине сам FTP клиент открыл порт на входящее соединение. УУПС #1 “совершенно незаметно для пользователя”.
Вы спросите а как же на клиентскую машину стоящую за роутером входящее соединение извне проберется через роутер где ничего никому не открывали. Откуда роутер узнает что входящее из интернета соединение надо оправлять именно на машину где запущен FTP клиент динамически организовавший прием. Кто и когда этому роутеру разрешил и объяснил.
Один из вариантов магического заклинание - называется Port Triggering.
Протокол и сервис роутера используя который о клиентская машина может “уговорить и объяснить” роутеру что начиная с сего момента, в нашем случае начиная с и до тех пор пока FTP клиент держит соединение с 21 портом сервера в интернете (да да 21 порт на сервере на клиентской стороне ИстесТвенно совершенно другой порт. видите я это знаю) то все входящие соединения из интернета по такому то диапазону портов надо более не отвергать а перенаправлять на ту самую машины где запущен FTP клиент (Клиент Карл КЛИЕНТ). - УУПС #2 ибо опять таки происходит это “совершенно незаметно для рядового пользователя”.
Нет конечно вы скажет ну какой же идиот использует FTP active, зачем активизировали и настроили Port Triggering и вообще…
Ответ прост - да патамучто ничего об этих тонкостях проброса открытия и закрытия портов рядовой пользователь не знает. Он сделал что бы работал “безопаcный FTP”
Пользователь просто пользуется FTP, mainecraft, File Sharing и еще 100500 удобных сервисов и программ настроив их окружение так чтобы все работало. А то что в результате этого его роутер и домашняя машина раздвинули “пределы доступного” шире чем проститутка в борделе - он не сном ни духом. В общем суть то всего поста в том что бы слегка напомнить что в современной IT достаточно много широко используемых “сервисных” и “делающих дружелюбными” возможностей как у роутеров так и клиентских машин чтобы даже специалист без обследования пациента мог даже сам себе дать гарантию и быть уверенным “я в домике. домик на запоре”.
Специально на примере выбранного Вами протокола (ну так фишка легла) иллюстрация что казалось бы в примитивных ситуациях не все так однозначно как вы пишите “я просто качаю … порт у меня закрыт”. Именно 21 может и закрыт а вот на счет что пока вы качаете один из портов не “при открылся так что ветром с горшка сдувает” по гамбургскому счету уже не факт. Ну а раз не факт то и не факт что через приоткрытую форточку чего лишнего не “надуло”.
Если все закрыто и настроено правильно естественно ничего лишнего магически негде пролезет. Но вот насчет того что все всегда везде всеми производителями по умолчанию настроено правильно и надежно - это даааалеко не факт. Особенно в счете того что все стремятся сделать “удобно” и “авто конфигурируемо”. Что в части роутеров что в части фаерволов что … Средне статистический пользователь соглашаясь на что то ему понятно и ясно, скажем можно разрешить сетевую игру в minecraft да конечно же можно, за одно открывает столько “возможностей для пытливого ума” что остается только изумляться как все еще работает.
В общем не идеализируйте - у меня все зарыто - в 99% случаев настроек по умолчанию не вполне верный постулат. Мой пример когда казалось бы все на вход снаружи закрыто - но не всегда не для всего.
Как теоретически вирусу можно воспользоваться такой временно приоткрывающейся дырдочкой - давайте я подробно рассказывать не стану. Вариант и слов man on the middle на сети поставщика думаю достаточно - чтобы “совсем незаметно для рядового пользователя” получить “подарок” если уж найдется аналогичный хак популярного клиента на уровне протокола FTP.
WBR CrazyElk
Один из вариантов магического заклинание - называется Port Triggering.
WBR CrazyElk
А куда делся NAT на роутере? Или мимо него шагаем? 😁
А куда делся NAT на роутере? Или мимо него шагаем?
Уфф… Одно другого не исключает. Мимо NAT, конечно. Тем более это возвратный запрос.
Некоторые сервисы (например, интернет-игры, IP-телефония, видеоконференции и другие приложения, требующие одновременного установления множества сессий) несовместимы с технологией NAT. В этом случае нужно использовать динамическое перенаправление портов (Port Triggering).
Пример:
Через роутер с IP-адреса компьютера локальной сети (LAN) отправляется запрос в Интернет (WAN) с конкретным номером порта, для которого указано динамическое правило (Trigger Port). Когда роутеру на WAN-порт приходит ответ на соответствующий ему номер входящего порта (Incoming Port), роутер перенаправляет трафик на IP-адрес компьютера локальной сети, который отправлял запрос.
На самом деле, NAT не отменяет всего выше написанного. NAT - вообще никак не предназначен для защиты. Это - система сохранения IPv4 адресов.
Насколько я помню, роутер строит NAT таблицу с сопоставлением адресов и портов. Что мешает, входящему извне пакету, иметь специальную запись при заходе на любой порт роутера, осуществлять заброс на определенный порт клиента. Это во-первых.
Во-вторых, у меня есть глубокое подозрение, что во всех стандартных имплементациях NAT на потребительских роутерах есть дополнительные скрытые записи для автоматического проброса пакетов на определенные порты клиентов. При этом они, естественно не отображаются, т.к. предназначены для работы сервисных протоколов или работы спецслужб и зарыты глубоко в прошивке роутера.
В-третьих, уже упомянутый man in the middle на любом устройстве на пути пакета между двумя хостами позволяет вписать любую заразу практически в любой пакет. И такие дверки оставляются производителями сетевого оборудования опять-таки для спецслужб.
Сноуден не зря говорил про слив из АНБ.
Смеялись в голос всем отделом.
Вот и досмеялись: ria.ru/society/20170525/1495054735.html
Вот и досмеялись: ria.ru/society/20170525/1495054735.html
О да, это страшно ! Дыра потенциально существует с 2007 г., эксплоитов нет, читайте журнализдов дальше.
А что по поводу шифратора ~xdata~ ?
С 19-го числа пошли заражения.
О да, это страшно ! Дыра потенциально существует с 2007 г., эксплоитов нет, читайте журнализдов дальше.
У вас там в отделе все такие? Вы хоть ссылки открывали? При чём тут 2007 год! Речь идёт о уязвимости VLC, Kodi, PopcornTime и Stremio плееров.
Вы хоть ссылки открывали? При чём тут 2007 год! Речь идёт о уязвимости VLC, Kodi, PopcornTime и Stremio плееров.
Я чуть дальше этой мурзилки пошел. Классический потенциальный buffer overflow, известен с 2007 г. (по крайнейе мере в VLC начиная с версии 0.8.6), если интересно - погуглите. А то, что ребята из чекпоинта показали - полный бред, простите. От такой потенциальной дыры до remote code execution - как до Магадана вприсядку.
buffer overflow, известен с 2007
Опять мимо; проблема buffer overflow появилась гораздо раньше, как и stack overflow. ☕
А то, что ребята из чекпоинта показали - полный бред, простите. От такой потенциальной дыры до remote code execution - как до Магадана вприсядку.
А Вы часом не в Касперском работаете? Очень уж ваши ответы с их политикой совпадают…
Классический потенциальный buffer overflow
Может пропустил; не нашел в статье от чекпоинта что указанные плееры используют уязвимость buffer overflow.
Опять мимо; проблема buffer overflow появилась гораздо раньше, как и stack overflow. ☕
Я о конкретно этой дырке в конкретно этом плеере, использующем одну небезопасную функцию в модуле работы с субтитрами, которая может привести к buffer overflow. Сслылку на security bulletin при желании найдете сами.
По поводу статьи от чекпоинта: там вообще ничего нет, от слов совсем. В виртуалке с 10 виндой открывают ролик с субтитрами, в хосте (?) выскакивает tightvnc, закрывая какое-то магическое окошко с работой superhackersoftware. Фсио.
Я о конкретно этой дырке в конкретно этом плеере, использующем одну небезопасную функцию в модуле работы с субтитрами, которая может привести к buffer overflow
И какое это имеет отношение к статье от чекпоинта?
Чекпоинт нашёл дыру и судя по реакции разработчиков она действительно представляла опасность.
По поводу статьи от чекпоинта: там вообще ничего нет, от слов совсем
Ну для вас может и нет, а вот для всех остальных:
Platforms Update:
PopcornTime– Created a Fixed version, however it is not yet available to download in the official website.
The fixed version can be manually downloaded via the following link: ci.popcorntime.sh/job/Popcorn-Time-Desktop/249
Kodi– Officialy fixed and available to download on their website. Link: kodi.tv/download
VLC– Officially fixed and available to download on their website
Link: get.videolan.org/vlc/…/vlc-2.2.5.1-win32.exe
Stremio– Officially Fixed and avilable to download on their website
Link: www.strem.io
П.С. Остались ещё куча телевизоров и китайских плееров где обновления не будут установлены никогда.
И какое это имеет отношение к статье от чекпоинта?
Чекпоинт нашёл дыру и судя по реакции разработчиков она действительно представляла опасность.
Возможно и предтавляeт, а возможно - и нет, надо сильно внимательно смотреть на код, а мне лень. А смысл статьи от чекпоинта - “вы все умрете, если не купите наш офигенный софт”, неужели непонятно ?
закрывая какое-то магическое окошко с работой superhackersoftware. Фсио.
И кто же его открыл ЛОЛ?
А смысл статьи от чекпоинта - “вы все умрете, если не купите наш офигенный софт”, неужели непонятно ?
Похоже ваша статья от чекпоинта гораздо длиннее чем моя 😃
И кто же его открыл ЛОЛ?
Кинишко посмотрите повнимательнее, оно коротенькое
Похоже ваша статья от чекпоинта гораздо длиннее чем моя 😃
Отож, они мне отдельную версию написали.
И да, такой вопрос в воздух: а что, executable stack/data/heap в винде возможны?
И да, такой вопрос в воздух: а что, executable stack/data/heap в винде возможны?
насколько я знаю - нет.