» »

Nov napad na domača omrežja: Drive-By Pharming

Nov napad na domača omrežja: Drive-By Pharming

Schneier.com - Trije ameriški raziskovalci iz Symanteca ter Indiana University School of Informatics so razvili novo vrsto napada, poimenovano Drive-By Pharming.

Gre za napad, kjer napadalec preko posebej oblikovane spletne strani, ki vsebuje zlonamerno JavaScript kodo, skuša dostopiti do domačega brezžičnega ali navadnega usmerjevalnika. Zlonamerna JavaScript koda, ki se izvede ob obisku spletne strani, spremeni DNS nastavitve v usmerjevalniku, kar napadalcu omogoča nadzor nad uprabnikovo internetno povezavo. S pomočjo DNS preusmeritev namreč lahko napadalec uporabnike usmerja na lažne spletne strani oziroma pri SSL zaščitenih straneh izvaja napad s posrednikom (tim. man-in-the-middle napad).

Ključno za uspešnost napada je, da napadalec s svojo kodo uspešno dostopi do usmerjevalnika. Ker v praksi veliko domačih uporabnikov v usmerjevalnikih uporablja privzeta gesla, je verjetnost uspešnosti napada pravzaprav precej visoka.

Iz tega razloga je priporočljivo čimprej spremeniti privzeta gesla usmerjevalnikov in brezžičnih dostopnih točk. Kako vse skupaj deluje pa si je možno ogledati tudi s pomočjo kratke animacije.

33 komentarjev

Izi ::

Torej za večino, ki ima routerje od svojega ISP-ja ni nevarnosti, ker so DNS naslovi vpisani v firmware, ki ga naloži dotični ISP.
Tudi pri SiOL-u je tako, v njegovih routerjih so DNS naslovi (taurus-3.siol.net in backup taurus-4.siol.net) vpisani v firmwareu in se nikakor ne dajo spreminjati, razen z nadgradnjo celotnega firmwarea, ki pa ga lahko izvrši samo SiOL.

Ker pa kolikor je meni znano večina ljudi uporablja routerje, ki jih zastonj dobijo od svojega ISP-ja, torej ta nevarnost ni nevem kako velika.

denial ::

Da, drive-by pharming napadi znajo biti zelo intenzivni v prihodnjih mesecih. Omenjeni napadi pa imajo zametke tukaj.

Izkoristil bom novico za offtopic zadevo, ki je IMHO zanimiva. Že v naprej se opravičujem in upam, da mi avtor novice ne bo zameril. Če pa komu stopi na žulj lahko post preprosto izbriše.

Preberi me
Proof of concept (klikaš na lastno odgovornost)

Zadeva se mi zdi zanimiva, ker uporablja nov (vsaj meni) pristop: mailto popup v iframe tagu. Lahko imaš onemogočen JavaScript/Active Scripting pa si še vedno ranljiv. Po 30 sekundah testiranja sem moral mašino ročno restartat ker se je nehala odzivati.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jype ::

Matthai> Iz tega razloga je priporočljivo čimprej spremeniti privzeta gesla usmerjevalnikov in brezžičnih dostopnih točk.

Narobe.

To ni le priporočljivo, temveč NUJNO! OBVEZNO! Razlog seveda ni "nov napad", ampak povsem pragmatična praksa pri delu z občutljivimi napravami.

denial ::

@Izi:
Torej za večino, ki ima routerje od svojega ISP-ja ni nevarnosti, ker so DNS naslovi vpisani v firmware, ki ga naloži dotični ISP.


Torej napadalec ne bo spremenil DNS naslova. Lahko pa spremeni admni user/password, omogči, da je router web interface dosegljiv tudi z neta, onemogoči dostop uporabnikom,...
SELECT finger FROM hand WHERE id=3;

Izi ::

denial, sem probal zgornji link :D
Imam Javo vklopljeno in Mailto: je tudi vezan na browser.

Pri Operi se zablokira browser še predno uspe odpreti eMAil client in je treba ročno ugasniti proces browserja.
Pri IE7 pa začne odpirati neskončno število aplikacij "Free Laugh" :D iz eMail Clienta, kar pa enostavno izključiš tako, da ročno izklopiš en sam proces za eMail client, ki nato zapre vse "Free Laughe".

Pustil sem vse skupaj teči za test (z IE varianto) in po mojih računih bi se mi OS sesul približno po eni uri in nič prej.


Da pa se vrnemo k topicu.
Tukaj gre za skripto in ne za človeka, ki bi osebno udiral v tvoje omrežje in če skripta ne more spremeniti DNS nastavitev na routerju potem je neuspešna. Konec.

Za tisto kar ti opisuješ bi bilo pa treba napisati povsem novo kodo, ki pa jo še ni.

poweroff ::

Denial, zelo zanimivo. Očitno se da preslepiti tudi nekatere precej drastične zaščite, kar blokada JavaScript gotovo je.

Sicer pa nič ne zamerim, tvoje novice in sporočila vedno z veseljem preberem.

Imam pa še eno vprašanje za ostale, upam, da ne bo preveč lame. Kako bi si človek snel tisti swf? Application.swf namreč očitno kliče neko drugo datoteko. A obstaja kakšen enostaven dodatek za brskalnik, ki to naredi, ali ej treba decompilat swf? Ker animacija se mi zdi kar zanimiva, recimo za kakšno predstavitev ko komu kaj podobnega razlagaš.
sudo poweroff

T(he) Boss ::

Domnevam, da ima ta napad smisel oz. ucinek, samo ce ima racunalnik kot DNS server nastavljen IP routerja, ker ce racunlanik dostopa preko routerja direktno do DNS serverja od ISPja, ne vidim nastavitve routerja, ki bi mi lahko to preusmerila oz. ponaredila.

Izi ::

Matthai, link za tebe.

Application.swf (11 KB) kliče content.swf (1,7 MB), ki pa ga najdeš v istem direktoriju na serverju.

http://www.symantec.com/avcenter/reference/content.swf

MrStein ::

Don't click on links...
Ja, kam pa naj klikam ?
Plus, danes so linki tudi stvari, ki ne zgledajo tako.

Glede denialovega linka: Zaradi probelom z fokusom v Windows sem "na slepo" kliknil v FF in sevweda sem zadel ravno njegov proof link. Ker sem kliknil s srednjo tipko, se je stran odprla v novem tab-u.
Potem je malo štekalo, se je pojavilo par dialogov on neki napaki thunderbirda, sem zaprl omenjeni tab (in dialoge) in lepo delal dalje. :))
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Izi ::

T(he) Boss, kaj tu ni jasno?
Nastavitve v računalniku so popolnoma irelevantne in nepomembne. Važne so samo nastavitve v routerju.

Ko ti vtopkaš v browser adreso "www.slo-tech.com" se tvoj router ne poveže niti na Slo-Tech niti na tvoj ISP ampak se poveže na DNS server, katerega adresa je vpisana v router.
Ta DNS server routerju pove, da je "www.slo-tech.com" v resnici "212.93.228.2" in šele nato se tvoj router poveža na Slo-Techov server.

Če pa bi kdo spremenil naslov DNS serverja v tvojem routerju, bi pa tvoj router vprašal lažni DNS server kaj pomeni "www.slo-tech.com" in dobil lažni odgovor da to pomeni naprimer "128.128.128.128" bi se tvoj router pač povezal na to lažno stran.

Napadalec nikoli ne vdre v tvoj računalnik ampak samo kontrolira ta lažni DNS server in lahko po želji preusmerja celotni internet na določene naslove in tako z lahko to sesuje prav vsak server na svetu.

Ch4N93 ::

Denial:
@Izi:

Torej za večino, ki ima routerje od svojega ISP-ja ni nevarnosti, ker so DNS naslovi vpisani v firmware, ki ga naloži dotični ISP.



Torej napadalec ne bo spremenil DNS naslova. Lahko pa spremeni admni user/password, omogči, da je router web interface dosegljiv tudi z neta, onemogoči dostop uporabnikom,...
S tem da je treba upoštevat, da uporabnik redko dobi admin dostop do modema/routerja, ki ga dobi od ISP-ja. Pri malo naprednejših uporabnikih, ki modem postavijo v bridge mode, ter za PPPoE uporabijo drugi (boljši) router, pa upam da so toliko napredni, da spremenijo admin pass v tem router-ju.
Ni nam lahko...

MrStein ::

Izi, T(he) boss ima prav. Se enkrat preberi ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Izi ::

Izi, T(he) boss ima prav. Se enkrat preberi ;)

Se pravi, da se DNS nastavitve iz mrežne kartice upoštevajo prednostno pred tistimi iz routerja?
Potem sem pa živel v zmoti :8)

PARTyZAN ::

Se pravi, da se DNS nastavitve iz mrežne kartice upoštevajo prednostno pred tistimi iz routerja?
Potem sem pa živel v zmoti :8)


Tako je ;)

3p ::

Predpogoj je seveda tudi, da brezžična povezava ni šifrirana...

MrStein ::

3p, kaj komentiraš ???
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Ne razumem kaj ima šifriranje WLAN povezave tukaj veze?

Sicer pa povprečni uporabnik uporablja DHCP. To pomeni, da se router npr. preko ADSL poveže do ISPja tvoj računalnik pa preko DHCP dobi info o omrežju, tudi DNSje.

Se pa seveda lahko uporabljajo tudi poljubni DNSji, samo povprečen uporabnik nikoli ne spreminja teh zadev.
sudo poweroff

PARTyZAN ::

Da napadalec pride do nastavitev routerja se mora najprej povezat na to omrezje. Ce imas povezavo sifrirano si torej izlocil tak napad TUDI, ce imas se vedno nastavljeno default geslo za dostop do nastavitev routerja.

poweroff ::

Ja seveda se poveže. Preko tebe - lokalno. Isto je, kot če bi se ti povezal lokalno na router. Le da to povezavo izvede JavaScript koda.

Zato to šifriranje nima nobene veze. Šibka točka si tukaj ti, ki si ŽE uspešno povezan na router/AP.
sudo poweroff

drola ::

Če prav razumem, je tisti zlobni JS skript že znotraj omrežja.

EDIT: prepozen :D
https://drola.si

Zgodovina sprememb…

  • spremenil: drola ()

kronik ::

Dobro, da uporabljam NoScript extension za Firefox :)

Poldy ::

Kaj pa če sploh nimam jave :D

Mavrik ::

In kaj ima Java z JavaScriptom?
The truth is rarely pure and never simple.

CaqKa ::

ime? :)

3p ::

stein, matthai: zabljuzil sem. Sem mislil (površno branje), da vdirajo v usmerjevalnike preko brezžične povezave... >:D

Azrael ::

Potemtakem tu stare kište z disketnimi LInux FW rulajo, pod pogojem, da je disketa zaščitena pred pisanjem?

Vsaj pri meni je bil potreben reboot, da je zadeva uporabila nove DNSe od Siola, še prej pa je bilo potrebno sprememmbe shraniti na disketo. Če je disketa zaklenjena pred pisanjem zlobna koda iz novice lahko edino le reštarta tak router, kaj več pa ne, čeprav ima na razpolago vsa gesla in poln dostop do vseh nastavitev routerja.
Nekoč je bil Slo-tech.

MrStein ::

Matthai:
Šibka točka si tukaj ti, ki si ŽE uspešno povezan na router/AP.

Ne, šibka točka je default geslo na ruterju in prevelka pripravljenost browserja za izvajanje JavaShit skript brez omejitev.

Drugi pa preberite članek pa pol komentirat.

Azrael: Napad deluje na navadne ruterčke z default gesli. Na drugo ne.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Cokolesnik ::

Naj opozorim vse tiste lastnike ali skrbnike usmejevalnikov, da usmerjevalniki pri vzpostavitvi xDSL povezav (denimo SiOL) omogočajo nastavljanje lastnih DNS strežnikov, ni pa to v navadi, ko nastavljamo xDSL povezavo, saj načeloma vse podatke dobimo z vzpostavitvijo xDSL povezave.

Da o tem, da se pri dostopu prek VDSL (T-2) pri uporabi stat. IPja absolutno poslužujemo ročno vnešenih DNS strežnikov ali pri kab. internetu (denimo Triera), niti ne govorimo.
Uporabniki naj pred pisanjem sporočil uporabljajo iskalnik www.google.com.
Čokolešnik ne vsebuje nobenih aditivov, konzervansov ali umetnih barvil.

Zgodovina sprememb…

Azrael ::

To kar pišem ni preverjeno, zato če ima kdo možnost naj preveri, če je res.

Pred časom sem se pogovarjal z nekom, ki si je želel postaviti na svojem domačem računalniku spletno stran (fiksni IP in širokopasovna povezava). Omenil sem mu, da je pogosto možno ugotoviti na katerem sistemu teče strežnik in če vstraja na Windows rešitvi, naj prej poskrbi za licenco, da ne bo potem jokal.

Ko me je vprašal kako je mogoče to ugotoviti, sem mu poslal povezavo do programčka ID serve, ki se ga dobi na straneh www.grc.com

Pol ure po tem pogovoru me model kliče nazaj in precej živčen prosi, naj s tem programčkom pogledam na njegov IP.

Zakaj?

ID serve mu je med drugim spisal gesla za vstop v Edimax router, ko je vanj iz domačega omrežja vpisal svoj IP!

Na njegovo srečo meni ID serve gesel ni izpisal. Bi pa bila to tudi možnost, kako pridobiti gesla nekaterih routerjev, čeprav niso na default. Ampak, ker nimam drugega kot samo njegovo besedo, naj to preveri še kdo, če je res.

Hvala.
Nekoč je bil Slo-tech.

Zgodovina sprememb…

  • spremenil: Azrael ()

MrStein ::

Sel je na svoj ruter in browser mu je avtomatsko prijavo naredil, to pa se je vidlo v headerjih. Najbrz.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Azrael ::

Mislim, da brskalnik ni imel nič zraven, saj je ID serve samostojen program.

Npr, pri meni ID serve v primeru poizvedbe na moj trenutni IP, izpiše:

Initiating server query ...
Looking up the domain name for IP: 193.77.abc.def
The domain name for the IP address is: BSN-77-abc-def.dial-up.dsl.siol.net
Connecting to the server on standard HTTP port: 80
The port is closed, so our connection attempt was refused.
Query complete.

Pri njem pa je programček na portu 80 prišel v router, prebral in izpisal gesla. Ker mi screen shota ni poslal, sem v dvomu ali je to res ali model naklada.

Ampak če je res, so varnostno ti mali routerji ena velika pokora ali pa tudi ne, saj je to način za odkrivanje pozabljenega gesla. It's not a bug, it's a feature.
Nekoč je bil Slo-tech.

MrStein ::

ali je to res ali model naklada

Po moje ne eno ne drugo, ampak je zmeden ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Azrael ::

Tudi to ni izključeno. Bom poskusil dobiti kaj več informacij.
Nekoč je bil Slo-tech.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Inovativen napad: Geolokacija, tudi brez vaše privolitve

Oddelek: Novice / Varnost
3414664 (12770) MrStein
»

JavaScript ugrabljanje

Oddelek: Novice / Zasebnost
203831 (3093) Matevžk
»

Vzpostavljanje prikritih omrežij s pomočjo XSS ranljivosti in JavaScripta

Oddelek: Novice / Varnost
225627 (4336) MrStein
»

Nov napad na domača omrežja: Drive-By Pharming

Oddelek: Novice / Varnost
335929 (4565) Azrael

Več podobnih tem