Что-то март получился очень насыщенным на события в IT-Security. Не успели бравые парни из Adobe зафиксить уязвимость в JBIG(всего-то три недели исправляли), как тут же подоспела новая узявимость. Правда, на сей раз в JavaScript. Но результат все тот же -- исправления нет, уязвимость позволяет выполнить произвольный код. Мне даже страшно подумать, сколько времени займет исправление на этот раз.
В предыдущем посте говоря о психологии, я писал про Conficker. Механизм работы psyb0t'а (подробнее см. http://www.dronebl.org/blog/8 ), червя атакующего linux-роутеры на платформе mipsel, также основан на психологии. Этот червь, способный объединять зараженные устройства в ботнет, извлекать данные пользователя (пароли etc.) из проходящего трафика, распространяется в основном посредством подбора паролей к управляющим консолям маршрутизаторов. Ведь зачем на купленной дешевой мыльнице-роутере, модеме или точке доступа менять пароли? Ну а если уж менять, то можно поставить qwerty и 123. Судя по приблизительному количеству взломанных устройств (~100k), людей, которые думают именно так, довольно много. И это очень беспокоит, так как подобные устройства очень слабо защищены. Многие пользователи, даже если они установили антивирус на свой компьютер, очень аккуратны с запуском незнакомых программ и пр. никогда не задумаются, что маршрутизатор может быть точно также заражен вирусом, как и их настольный компьютер. Опрос моих знакомых из контакт-листа jabber/icq показал -- >90% опрошенных (которые не были связанны с информационной безопасностью) имеющих дома подобные устройства даже не думали что в них есть функция изменения пароля. Вот так. Впрочем, если вы думаете что дело только в домашних пользователях, то вы ошибаетесь. Мне сразу вспоминается одна контора, которая попросила проверить безопасность их сети. Аккаунт cisco/cisco на одном из их маршрутизаторов периметра и открытый порт telnet говорил о многом. Интересно, есть ли какие-то способы защиты от наивных пользователей?
О хорошем. psyb0t атакует только маршрутизаторы на платформе mipsel, используя для проникновения дефолтовые/слабые пароли и/или уязвимости в firmware. Обновления до последней версии firmware и смена паролей на устойчивые обезопасит ваш маршрутизатор на 99%. Если же вы подозреваете, что ваш рутер/модем/тд заражены (явным признаком этого является блокировка трафика по порту 80 и/или невозможность подсоединения к web-, ssh-, telnet- консоли управления и/или просто резкое снижение пропускной способности устройства), то вас спасет hard reset (обнуление настроек) с последующей перепрошивкой до последней версии вашего firmware. И кроме того, хорошо бы ограничить доступ к портам консоли управления -- хотя бы по IP и только с интерфейсов локальной сети (а не WAN и DMZ ;) ).
P.S.: Обнаружил замечательную утиллиту извлечения данных из трафика -- Xplico. Как-то раньше я для таких целей в основном использовал pure wireshark/tcpdump, dsniff или самопальные приложения. У Xplico же довольно удобный интерфейс и самое главное -- на удивление высокая скорость работы. А набор поддерживаемых протоколов просто впечатляет.
P.S.S: И еще: появилась третья модификация Conficker'а (C). Эта версия не имеет механизмов распространения через сеть, зато имеет дополнительные механизмы защиты от антивирусов и LIDS. Более подробно можно прочитать тут.
Комментариев нет:
Отправить комментарий