Eloi Vanderbeken, исследователь безопасности, выявивший (http://www.opennet.me/opennews/art.shtml?num=38771) в декабре наличие бэкдора в 24 моделях (https://github.com/elvanderb/TCP-32764/) беспроводных маршрутизаторов Linksys, Diamond и Netgear, опубликовал доклад (http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf), показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступен для активации.После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &".
Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при получении пакета с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита (http://synacktiv.com/ressources/ethercomm.c) или распаковать прошивку при помощи утититы 'binwalk -e' и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').URL: http://arstechnica.com/security/2014/04/easter-egg-dsl-route.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39619
видимо, их очень попросили оставить бэкдор в покое
Надо воспользоваться уязвимостями в сетевом оборудовании их собственной сети.
Зайти, забрать исходники, форкнуть на гитхабе.
Думаешь, они такие дураки, что пользуются сами тем же говном, которое продают нам? :)
Кто знает? Попробовать можно.
Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys ( а может в Cisc-ах совсем все пакеты парсят ;) ).
> Интересно как он запрятан в продукции бывшей материнской компаннии LinkSysВ новом pdf-е (ссылка внизу):
* 4 affected manufacturers (Cisco, Linksys, NetGear, Diamond)
Молодцы...Альтернативные прошивки типа DD-WRT проблему решают?
В них нет никакого scfgmgr, нет и проблемы.
Почти, но там дрова проприентарные.
Как будто в фирменной прошивке свободные.
КО намекает, что это могут быть далеко не все найденные бэкдоры.
> Не путайте очевидность с параноей.КП намекает, что это могут быть далеко не все найденные бэкдоры.
> Почти, но там дрова проприентарные.Ну так покупайте железо поддерживаемое openwrt и проблем не будет. Там список немеряного размера. Да, эти господа мутные блобы не лю категорически, если что.
Это опять тот чувак с прикольными картинками в отчете?
Жаль, что новый отчет не нарисовал.
Нарисовал: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
>If payload == md5(''DGN1000'').И тут меня накрыло XD
Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)
> Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)Ничего, платить-то за это переписывание будут покупатели.
Платить за это будет компания-производитель. И если она столь настойчиво хочет вставить такой функционал, значит есть потребность. Те же ФСБ/АНБ напр., которые требуют наличие некоторых возможностей и ответ "пнх" их не устраивает. Или же собственный сервис онлайн-поддержки, которому требуется полный доступ. В обоих случаях данный функционал останется, но будет замаскирован лучше. Также как сейчас он есть в криптоалгоритмах, позволяющих расшифровать информацию не за тысячелетия, а за недели.
не, это АНБ требует. а если быть точным DHS. который через FCC - насаждает. а используется - ВСЕМИ - от DIA и CIA до DoC, DoS и крупных корпораций.
> Платить за это будет компания-производитель.За счет повышения цены для конечных пользователей, естественно.
> И если она столь настойчиво хочет вставить такой функционал, значит есть потребность.
Это потребность хорошо известная современной психиатрии http://tinyurl.com/kkzklm9
>> Платить за это будет компания-производитель.
> За счет повышения цены для конечных пользователей, естественно.За счёт снижения цен на устройства как ни странно. В том числе из-за рекламы представленной данной новостью. Эти фирмы по ходу и банкротятся, однако производственные мощности продолжают свою работу под очередной маркой и так сказать прикрытием... Такой вот рынок. >:-)
Это ж капец как производительность должно просаживать такое прослушивание всех пакетов.
Пакеты с типом 0x8888 приходят нечасто.
> Пакеты с типом 0x8888 приходят нечасто.Но пока не сравнишь - не узнаешь что 0x8888.
Отнюдь. man fwknock ; man knockd
именно поэтому парсятся не все пакеты, а только с определённым ethernet-типом.статью не понимай
@
сразу комментяй
Чтобы это попало в ядро и потом с сокет, нужно чтобы пакет не угодил в аппаратный нат.
Это вам не писюк у которого все пакеты через драйвер + ядро летят, тут есть чисто железные пути через чип между интерфейсами.
И для роутинга тоже.И далее, если железо не поддерживает аппаратного оффлоадинга нат и маршрутизации то рав сокет всё равно создаёт доп нагрузку, ведь нужно матчить пакеты.
И это я ещё не уверен можно ли на рав сокет ставить фильтры уровня ядра, а то полетит копия всего трафика в юзерленд тому процессу на матчинг.
матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в том числе матчинг и по содержимому пакета можно сделать, вы же не хотите сказать, что они на ЦПУ обрабатываться?
Что мешает отматчить нужные пакеты в железе и отправить их на разбор на ЦПУ? Ничего. Просто одно невидимое правило.
> матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в
> том числе матчинг и по содержимому пакета можно сделать, вы же
> не хотите сказать, что они на ЦПУ обрабатываться?
> Что мешает отматчить нужные пакеты в железе и отправить их на разбор
> на ЦПУ? Ничего. Просто одно невидимое правило."в железе" реализованное это - можно было увидеть в продукта, лет 12 назад, самое ранее.
если конечно вы не про тупые свичи на ASIC.
> "в железе" реализованное это - можно было увидеть в продукта, лет 12
> назад, самое ранее.
> если конечно вы не про тупые свичи на ASIC.Хм, вы имеете в виду, что внутри ASIC может работать софт?
> матчинг по типу пакетов реализован в железе. Всяческие ACL работают же, в
> том числе матчинг и по содержимому пакета можно сделать, вы же
> не хотите сказать, что они на ЦПУ обрабатываться?
> Что мешает отматчить нужные пакеты в железе и отправить их на разбор
> на ЦПУ? Ничего. Просто одно невидимое правило.Ничё не мешает, только:
1. не всякое железо это умеет
2. нужно ещё суметь заюзать эту возможность и ядру сообщить.Не видел я сохо железяк с таким матчингом, максимум фильтры мультикаста/маков/вланов и всякие оффлоадинги для сетевых адаптеров.
стелстнетов - вагон )
к счастью - не все юзают raw-траффик с лютым зашумлением и стеганографией как в ранних прототипах Рутковской и ко.
обычно просто unusual использование привычного в L3.
вроде side-channel-ов в DNS-траффике, NTP и прочих(все ~ сотня-полсотни первых портов ;).
или сочетание всего. доступ снаружи поверх легальных сервисов и полный ниндзя - ВНУТРИ сети.
Прошивки не нужны.Даёшь свободный загрузчик с полноценным дистрибутивом.
> Прошивки не нужны.
> Даёшь свободный загрузчик с полноценным дистрибутивом.с загрузчиком-то как раз и будут проблемы.
даже у OpenWRT.
бо ряд платформ - чудесат аппратно и загрузчики жуть какие проприетарные и писать альтернативу - жутко трудоемко и дорого/долго.
> бо ряд платформ - чудесат аппратно и загрузчики жуть какие проприетарныеА зачем грызть кактус? Вон народ например u-boot для атеросов адски допилил, воткнув в него даже вебморду для рекавери, например.
> с загрузчиком-то как раз и будут проблемыНа помойку такие девайсы. Производителя в блэклист.
> Даёшь свободный загрузчик с полноценным дистрибутивом.U-boot + openwrt. Enjoy! Да-да, все можно пересобрать из сорцов. И железо на котором все это работает есть. Атеросы те же.
> U-boot + Debian. Enjoy!Пофикшено.
в целом - описан стандартный способ реализации все трех CALEA.
и вот ПОЧЕМУ - федералы в NA, так любят "красивые" и простые(для запоминания и использования) порты, вроде 1234, 5000, 5555, 8000, 37008 итп для пенетрации, мониторинга и сниффинга траффика.
http://www.wispa.org/calea/WCS
(местами там просто жесть. и даже крокодиловы слезы - в других).
http://en.wikipedia.org/wiki/Communications_Assistance_for_L...
или http://wiki.mikrotik.com/wiki/CALEAв целом - ввозить в РФ с этой функциональностью в фирмвере, сетевое оборудование НЕЛЬЗЯ де-юре, но 95% вендоров - делают это.
причем оно hard-wired в базовые компоненты фирмвера и декларируется(ошибочно)как "неустранимое" оттуда в ответ на резонные запросы ;=)
p.s. LI в РФ - реализован ИНАЧЕ и НЕ ТРЕБУЕТ трэшить хардвер конечного юзверя и сети его, работая полностью скрытно.
и Lawful Intercept извне USA - перманентно превращается в Illegal Intelligence Gathering and Sabotage.
Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном десктопе собственной сборки!
Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров на *BSD и Pentium II.
> Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров
> на *BSD и Pentium II.Втыкая в них новые "шайтан-сетевухи"? :-)
> на *BSD и Pentium II.Попутно вычищая бэкдоры из IPSec-ов и SMM режима i386.
> Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на
> полноценном десктопе собственной сборки!ага, елозящем на проце с SMM,а то и с VT-d и TCN.
Линус, внезапно - тоже не в китае место жительства имеет, равно как и столлман.
хотяяя, дистры, собранные полностью ЗА пределами США и не имеющее среди мэйнтэйнеров и контрибуторов - ни одного из их граждан - имеют шансы.
так прикладуха равзвивается тоже, вроде LibreSWAN, к примеру.
>> Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на
>> полноценном десктопе собственной сборки!
> ага, елозящем на проце с SMM,а то и с VT-d и TCN.
> Линус, внезапно - тоже не в китае место жительства имеет, равно как
> и столлман.
> хотяяя, дистры, собранные полностью ЗА пределами США и не имеющее среди мэйнтэйнеров
> и контрибуторов - ни одного из их граждан - имеют шансы.
> так прикладуха равзвивается тоже, вроде LibreSWAN, к примеру.надо на ROSA перелезать. похоже ;)
> надо на ROSA перелезать. похоже ;)ага. в рамках поддержки отечественного ФСБ, а не буржуйского АНБ.
>Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном >десктопе собственной сборки!Ты уже изучил BIOS своего компа на предмет закладок?
В 64 Mb можно прошить полноценный гипервизор.
Представь, что твой суперзащищенный роутер всего лишь виртуальная машина.
Ась?
А что, BIOS'ы с backdoor'ами тоже бывают? И случаи реальные есть? И прям ставишь систему на комп с таким BIOS, и она работает в виртуальной среде, а компьютер превращается в троян/keylogger?
https://www.pgpru.com/forum/prakticheskajabezopasnostj/chego...
> А что, BIOS'ы с backdoor'ами тоже бывают? И случаи реальные есть? Иhttps://www.schneier.com/blog/archives/2014/02/swap_nsa_expl...
> прям ставишь систему на комп с таким BIOS, и она работает
> в виртуальной среде, а компьютер превращается в троян/keylogger?Зачем сразу виртуализация, слушай? Есть же CPU-троян-тулкит SMM им.Intel:
https://www.schneier.com/blog/archives/2014/01/stuccomontana...
Всегда выступал за роутеры на базе обычных компов, но контрагруементов много - и вес, и размеры и энергопотребление, и маркетинговая дизайнерская супер пупер инновация в виде гламурного корпуса - решает дело. Кому нужен большой, пыхтящий, шумящий и страшненько серый/пошкарябанный системник, без гламурненьких светодиодиков и веселеньких антенн.
Неттопы конечно - вариант, но цену не сравнить. Так и покупают люди красивенькую коробочку - она и в дизайн комнаты подходит, и вообще - Вы программеры шибко параноите - кому нужны мои котики... Вот и весь сказ. Так что да - xWRT - пока рулят, но по ходу и к ним можно собрать претензий, если всё-таки проверять код на безопасность. Хотя шанс случайного бага все же будет выше, чем преднамеренного бэкдора в открытом пакете, входящем в прошивку.
купите nITX или pITX борду с 2х или 4х ядерным процом с 10W-25W TDP и будет счастие в слим-кейсе размером с книжку.
минс - не во всех бордах - больше одного эзернета(но всегда есть PCI/PCIe слот для решения этой проблемы) и иногда не бывает miniPCIe-слота для вайфай карточек.
старайтесь выбирать борды с внешним джеком для питания, чтобы не мучаться с избыточным по мощности, ненадежным и шумных FlexPSU/ATX блоком питания.
В этих формфакторах в основном слабые и прожорливые системы via, и ни о каких pci-e речи нет. а цены выше обысных mITX
> купите nITX или pITX борду с 2х или 4х ядерным процом с
> 10W-25W TDP и будет счастие в слим-кейсе размером с книжку.И получите черти-какой проприетарный BIOS в подарок. А возможно еще и фирмвари EC/BMC - вот уж удобное место для бэкдоров то. И на ЭТО сорц вам нифига не выдадут.
Либо списывайте сроки фишерам, кракерам и прочим бесчестным IT-шникам, либо сажайте за такое производителей железа и тех, кто их распространяет. А иначе будет у вас в государстве чучело вместо закона.
У нас чучело. Какие твои дальнейшие действия?
Я вот не пойму: У нас в России сертификация электроники только на уровне "Током не бьёт", "Не воняет", "Мозг излучению не мешает", а то, что данные устройства работают в гос.учреждениях, предприятиях - как говорится заходи бери персональные данные, анализируй работу предприятий. Чего говорить про прошивки, если у Dr.Web трафик со скриптом обновления не шифруется. Не знаю как сейчас, раньше там точно Lua скрипты использовались. При этом он сертифицирован, сами посмотрите на их сайте кем. В общем, что можно с этим делать думаю понятно. У нас вообще хоть один телефон проходил проверку на уровне прошивок. Безопасность страны не только у границ проходит.
Это вся безопасности страны не касается. "Безопасники" вообще работают без интернета. В критичных сферах используются российские девайсы.
> Это вся безопасности страны не касается. "Безопасники" вообще работают без интернета. В
> критичных сферах используются российские девайсы.Оно и видно - даже во всяких бункерах прослеживается обычная такая винда на скринах. Очень интересно, как они без интернета в ней работают, учитывая что без интернета у нее активация отваливается. Да и апдейты не приезжают - если не апдейтить, есть куча известных дыр которыми это можно долбануть.
Я извиняюсь, и одновременно просто вахаю от этого, выдержка: Dr.Web соответствует требованиям Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006, предъявляемым как к антивирусным подсистемам локальной сети компании, так и к подсистемам защиты от несанкционированного доступа и может применяться в сетях, соответствующих максимально возможному уровню защищенности, включая сети, защищенные по классу К1.
Я так понимаю наличие бекдора обязательно для получения сертификатов соответствия.
Коммуникационные устройства без бекдоров вообще можно распространять, или все что продается заряжено?
звездец. Забить деревянным молоточком досмерти их.
в tp-link находили бекдоры?
tp-link бэкдоры не нужны они дырявые чуть более чем полностью
> в tp-link находили бекдоры?Вопрос неправильно поставлен. В почти всех прошивках с фабрики или бэкдоры или просто дыры. А особо наглые ISP просто ставят своего ремотно-управляемого шпиона, позиционируя ремотно запускаемый апдейт прошивки как "фичу". Правда, иногда фича убивала юзерам девайсы... :)
черный список где по бэкдорщине ?
сайт
> черный список где по бэкдорщине ?А это мысль. Hall of shame :).
> при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адресВот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера. Однако в этом случае MAC-адрес устройства обязан появиться в сети по ARP запросу, иначе просто никто с этим устройством не будет общаться.
Не понял о чём Вы, но в PPPoE, к примеру, ARP нет.
есть L2TP, есть стремительно набирающий популярность VPLS(и тругие TE и LDP -пауэрЭд, штуки)? есть наконец - целый вагон ad-hoc/mesh-сеток, в части которых - оно вполне себе, елозит с L2, начиная.
ARP - уровнем выше. Здесь коммутация в пределах одного сегмента, IP адреса не нужны.Маршрутизатор, кстати, тоже не нужен. Пакет можно отправить с любого устройства в сегменте, можно даже без IP адреса и не отвечающего на ARP и прочие бродкасты (при условии, конечно, что доступ между устройствами открыт).
> Вот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера.Или прицепившись к вафле и кинув пакетик издали. Комар носа не подточит - мужичок с ноутом или там планшетом в соседней кафешке. Пришел, кинул пакетик, вгрузил троянца и удалился. Все, плацдарам для атак на интранет есть.
опа ! мне пакеты по этим адрессам начали валиться на гейты.
раньше - за полтора месяца - не было(специально посмотрел логи с дистрибьюцией по после чтения новости)
мораль - кто то уже жаждет проэксплоитировать из ранее неосведомленных )
DHS пора менять делянку, реализацию фичи.
ещё и лампочками поморгать можно :)
и это тоже ошибка, ага. «мы радость доставить хотели вам!»
> и это тоже ошибка, ага. «мы радость доставить хотели вам!»Да, "нечаянно упал на мой кулак лицом, и так пять раз подряд".