Слабые места Tor и MikroTik

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 609
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Проведя бессоные ночи в поисках новых уязвимостей, мы их обнаружили. И обнаружили в сети Tor. Это - общедоступный IP-адрес скрытых сайтов Tor, идентифицированных через SSL-сертификаты.​
Сегодня в мире миллионы людей используют Tor. Половина пользователей зависит от этой сети. Для того, чтобы спокойно и анонимно вести деятельность в теневом пространстве, необходимо прибегать к помощи лукового маршрутизатора, но как показывают данные, просто скачать и запустить трафик через Tor мало. Необходимо правильно настроить соединение и соблюдать правила анонимности.

Даже Tor не может дать нам 100% безопасность. Пользователи Tor могут неправильно использовать инструменты для доступа в теневую сеть, за что расплачиваются деанонимизацией и вытекающими последствиями.

Джонатан Клидман, исследователь угроз кибербезопасности в фирме RiskIQ, недавно нашел способ идентифицировать публичные IP-адреса неверно сконфигурированных скрытых сервисов Tor.

Это открытие подчеркивает опасность неправильной настройки Tor, цель которого, давать полную анонимность и безопасность своим пользователям. Правильная настройка предполагает только локальный адрес (127.0.0.1), а не IP-адрес, доступный для общественности посредством сети интернет.

Джонатан обнаружил, что на в сети Tor есть множество сайтов, которые используют SSL-сертификаты и имеют скрытые сервисы, доступные через интернет, которые не настроены должным образом. Неверная конфигурация Tor - одна из основных проблем

Компания RiskIQ провела мониторинг сайтов теневой сети. Любой сертификат SSL, который удавалось обнаружить исследователям, связан с его IP-адресом. Особых усилий, чтобы связать неправильно сконфигурированные сервисы Tor с их общедоступными IP-адресами прилагать не нужно. Это исследование указывает на то большое количество скрытых сервисов Tor с открытыми общедоступными IP-адресами. Многие даркнет пользователи восприняли данную новость, как провокацию и нападение на Тор. Но сотрудники RiskIQ быстро прояснил цель своего исследования. И подчеркнули различия в безопасности при настройке хоста для серверов 127.0.0.1 и 0.0.0.0. Также сертификаты SSL могут способствовать уязвимости в сети Tor. SSL является основой безопасного интернета и служит для защиты конфиденциальной информации. Недостаток SSL в отношении анонимности здесь заключается в том, что сертификаты могут помочь идентифицировать публичные IP-адреса сайтов в темной сети. Когда администратор скрытой службы Tor включает сертификат SSL на свой веб-сайт, домен .onion связан с сертификатом.Если оператор неправильно сконфигурирует сайт Tor таким образом, что он прослушивает открытый IP-адрес, этот сертификат с доменом .onion также будет использоваться для IP-адреса. Уязвимости MikroTik

Исследователи из компании China's Netlab 360 заявили про обнаружение тысяч зараженных зловредным ПО роутеров, производителем которых является латвийская компания MikroTik. Уязвимость, которую используют злоумышленники, была обнаружена еще в апреле, причем сама компания уже давно выпустила патч для исправления проблемы.

Но тысячи роутеров остаются уязвимыми и сейчас, поскольку их прошивку никто не обновляет — многие компании и обычные частные пользователи просто не обращают внимание на этот аспект. Что касается общего количества роутеров, то компрометации подверглось около 7,5 тысяч устройств (то, что обнаружили эксперты). Вообще же в сети до сих пор работает около 370 тысяч роутеров, уязвимость в ПО которых еще не исправлена.

Злоумышленники собирают данные пользователей взломанных устройств, перенаправляя полученную информацию на свои сервера. К слову, около 239 тысяч роутеров превращены в SOCKS 4 прокси, которые легко доступны.

Что касается компании MikroTik, то она предоставляет беспроводное оборудование и программное обеспечение для него, поставляя системы как бизнесу, так и частным лицам. Устройства латвийской компании активно используют крупные поставщики сетевых услуг. Больше всего устройств этого производителя физически находится в Бразилии и России. Немало их и в США.

Еще одна атака, обнаруженная командой Netlab 360, превратила взломанные сетевые устройства в зловредную прокси-сеть, использующую протокол SOCKS4 для нестандартного TCP порта (4153). И доступ в этом случае открыт только для устройств из очень ограниченного диапазона IP-адресов, 95.154.216.128/25. Практически весь трафик направлялся на 95.154.216.167, адрес, который привязан к хостинг-сервису, который расположен в Великобритании.

Пока что неясно, для чего именно используются взломанные ротуеры. Возможно, для того, чтобы заниматься поиском других уязвимых устройств.

Что касается новой проблемы с MikroTik, то в этом случае используется сниффер, основанный на протоколе TZSP. Он в состоянии отправлять пакеты на удаленные системы при помощи Wireshark или его аналогов. 7500 скомпрометированных роутеров, о которых говорилось выше, перенаправляли сетевой трафик, в основном, FTP и e-mail. Также замечено небольшое количество данных, связанных с удаленным управлением сетевыми устройствами, но для узкой выборки IP. Большинство пакетов данных направляются на IP провайдера из Белиза. Атака на Dlink В прошлом месяце стало известно о группе злоумышленников, которая эксплуатировала уязвимость в роутерах другого производителя — Dlink. В этом случае киберпреступники могли удаленно изменять настройки DNS-сервиса роутера для того, чтобы перенаправлять пользователя устройства на ресурс, который создан самими хакерами.

Уязвимости подвержены такие модели роутеров, как DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B. Выше уже говорилось, что за обновлением ПО роутеров мало кто следит, кроме организаций, где это критически важно (и то, не всегда), так что скомпрометированные роутеры могут работать в течение очень долгого времени без обнаружения проблемы. Августовская атака на Dlink была направлена на клиентов двух крупнейших бразильских банков — Banco de Brasil и Unibanco.

Злоумышленники подделывали сайты банков и перенаправляли пользователей на копии. В результате ничего не подозревающие жертвы вводили данные доступа и тем самым передавали эту информацию киберпреступникам.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя