В процессе изучения содержимого прошивки беспроводного маршрутизатора D-Link DIR-100 один из исследователей безопасности выявил (http://www.devttys0.com/2013/10/reverse-engineering-a-d-link.../) наличие скрытого входа, позволяющего получить доступ с правами администратора без ввода пароля, передав при обращении к web-интерфейсу специальную строку идентификации браузера (User-Agent: "xmlset_roodkcableoj28840ybtide"). Более того, в реализации web-интерфейса из состава прошивки была выявлена уязвимость, позволяющая (http://pastebin.com/vbiG42VD) не только войти в web-интерфейс, но и выполнить произвольные команды в системе (прошивки D-Link основаны на Linux).
Изучение прошивок для других устройств показало, что проблема скорее всего также затрагивает модели D-Link DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240, DIR-615 и построенные на той же платформе маршрутизаторы Planex BRL-04UR и BRL-04CW. Дальнейший разбор показал, что бэкдор используется системной утилитой /bin/xmlsetc для автоматического изменения некоторых параметров через web-интерфейс, например, в процессе переконфигурации динамического DNS.URL: http://threatpost.com/d-link-planning-to-patch-router-backdo...
Новость: http://www.opennet.ru/opennews/art.shtml?num=38196
это не бекдор - это индийская фича)
Это такой AWARD_SW 2.0 - теперь с веб интерфейсом, чтобы парням из АНБ было удобнее.
Точно, а то парни юзающие СОРМ-2 находятся понимаешь ли в привелегированном положении
Какие уж тут привилегии? Для них *-линки бэкдоры не делают, да и половина оборудования есть только на бумаге. Приходится по старинке, терморектальным криптоанализом...
Я такую фичу искал чтоб файфай с кнопки выключать (альтернативных прошивой для моего длинка не было). Пришлось продать и сделать софт AP, переключение кнопкой power через acpi )) Дргугих кнопок срабатывающих даже при заблокированной компьютере я не смог придумать.
> Я такую фичу искал чтоб файфай с кнопки выключатьВ openwrt так можно сделать, если у роутера кнопки есть. Ну, при событии "нажата кнопка" - дергается обработчик. Поэтому дурную хрень aka WPS можно переназначить на что-то более полезное.
> Пришлось продать и сделать софт AP,
Отсюда мораль: если хочется продвинутостей то до того как покупать роутер надо посетить http://wiki.openwrt.org/toh/start и убедиться что он там есть. Там же можно выбрать железо с нормальными ресурсами и чипсетом.
Проверил с помощью User Agent Switcher. Работает.
У D-Link такое постоянно, по идее все уже должны были выучить прописную истину: купил длинк - смени прошивку СРАЗУ
Лучше так: "купил длинк - смени СРАЗУ". Последнее время с их железом слишком много проблем.
> Лучше так: "купил длинк - смени СРАЗУ". Последнее время с их железом
> слишком много проблем.Большая часть их проблем - от кривого софта как раз.
>У D-Link такое постоянно, по идее все уже должны были выучить прописную истину: купил длинк - смени прошивку СРАЗУКупил железку с любой проприетарщиной - смени на свободную
> Купил железку с любой проприетарщиной - смени на свободнуюжелезку? Спрашиваю, потому что свободная прошивка свтанет на твой длинк далеко не всегда.
> свободная прошивка свтанет на твой длинк далеко не всегда.Если девайс есть в http://wiki.openwrt.org/toh/start - тогда встанет. Вообще, плохо если не встает, да...
шотам, уже сменил проприетарную микроволновку на свободную?
Здесь не хватает апологетов Orcale с их вечным "закрытое ПО более качественное, стабильное и безопасное, чем опенсорцные поделки".
Так вроде же есть исходный код на прошивки.
Тогда почему по ссылке чувак смотрит код дизассемблером?
Ну вот для DIR-615:http://pmdap.dlink.com.tw/PMD/GetAgileFile?itemNumber=GPL120...
http://pmdap.dlink.com.tw/PMD/GetAgileFile?itemNumber=GPL130...
http://tsd.dlink.com.tw/downloads2008list.asp?SourceType=dow...
Хотя, конечно, их не так уж просто найти. И не факт, что финальная прошивка полностью идентична исходнику.
> Хотя, конечно, их не так уж просто найти. И не факт, что
> финальная прошивка полностью идентична исходнику.Не факт, что web-инфтерфейс под GPL и будет выложен.
> Ну вот для DIR-615:Это исходники ядра и GPL-утилит. Web-сервер, web-интерфейс и специфичные утилиты вроде xmlsetc там проприетарные и только в бинарниках
> Здесь не хватает апологетов Orcale с их вечным "закрытое ПО более качественное,
> стабильное и безопасное, чем опенсорцные поделки".И Oracle тоже срочно покупаем все.
Подскажите, как вот такое "xmlset_roodkcableoj28840ybtide" можно как-то найти?
Реверсинжиниринг компонентов прошивки? Автоматическое тестирование? Чёрная магия?
По ссылкам, вроде, написано.
> По ссылкам, вроде, написано.Да, спасибо.
Упёрся в текст, как баран на новые ворота.
не позорься, дорогой
Прочти на оброт ;)
А если перевернуть
xmlset_roodkcableoj28840ybtide
->
editby04882joelbackdoor_teslmxзвучит интереснее ? ))
> Подскажите, как вот такое "xmlset_roodkcableoj28840ybtide" можно как-то найти?Да, да. Индус-"поргамист", который это писал, тоже так думал, а вот нашли же.
>В маршрутизаторах D-Link обнаружен бэкдорСерьёзно? Удивили, блин.
Да, в заголовке этой "старости" пропущено слово "опять".
А прочитайте-ка юзерагент наоборот. Мне одному видится там нечто осмысленное?
> editby04882joelbackdoorА ты наблюдательный :)
Гордость Джоела спалила.
Тоже заметил. Вангую анальный секс Джоела с руководством, если этот говнюк ещё работает в Dead-Link.
> Тоже заметил. Вангую анaльный сeкс Джоела с руководством, если этот гoвнюк ещё работает в Dead-Link.Это технический директор же.
> Тоже заметил. Вангую анальный секс Джоела с руководством, если этот гoвнюк ещё работает в Dead-Link.Если увольнять каждого разработчика, который пихает бэкдор - компания D-Link останется вообще без разработчиков.
Интересно, с каких это пор ДЫР100 стал беспроводным?
> Интересно, с каких это пор ДЫР100 стал беспроводным?Ну как же. Все провода вынимаешь - получаешь беспроводной (типа "свинтопрульной пули"). А антенн там и так нет http://dlink.ru/ru/products/5/700.html
Собственно, вы выставили оценку уровню как писателей, так и обсуждальщиков новости, причем на всех упомянутых, неупомянутых и текущем ресурсах.
Упомятый в статье 615й очень даже беспроводной, я гарантирую это.
> 615й очень даже беспроводнойКак DIR-100?
>> 615й очень даже беспроводной
> Как DIR-100?Даже лучше.
Даже лучше. Не забыли клевые удобные рожки для переноски с целью раздачи интернетов предусмотреть - http://www.dlink.ru/ru/products/1/729.html
D-Link Wireless USB Adapter (http://www.dlink.ru/ru/products/150/344.html), выпускавшийся еще при царе Горохе (когда Висты еще не было).
Покупаем, открываем коробочку, достаем диск с виндовыми дровами и проверяем антивирусом. Результат - бэкдор. Тот же результат будет если скачать инсталлер с оффсайта. Анонимус гарантирует это :)Так что удивляться особо нечему.Пичалька в основном для сидящих на ADSL, потому, что сейчас в этом секторе D-Link-у нормально работающей альтернативы нет.
> Пичалька в основном для сидящих на ADSL, потому, что сейчас в этом секторе D-Link-у нормально работающей альтернативы нет.Есть, называется TP-Link, тоже китайцы, цена как у Г-Линков, но работают намного стабильнее и ADSL намного слабее греет устройство.
>нормально работающей альтернативы нет.У меня Asus WL520gC http://www.asus.com/Networking/WL520gC/#specifications
Вполне не плох, а так же радует возможность делать мост для 2-ого реального ip.
> Пичалька в основном для сидящих на ADSL, потому, что сейчас в этом
> секторе D-Link-у нормально работающей альтернативы нет.Ну так openwrt поддерживает и такое. На платформе AR7, например.
Есть, причем офигенная.
Берешь любой хороший WiFi-роутер, прошиваешь чем захочешь и к нему дешевый ADSL-модем, лишь бы бриджом нормально работал.
> и к нему дешевый ADSL-модемИ опять D-Link, будь он неладен. D-Link, кстати в большом почете у Укртелекома.
> D-Link, кстати в большом почете у Укртелекома.А как же Iskratel Callisto 821+? Или "прошла любовь,завяли помидоры..."?
Та любовь была в 2006 году, D-Link был до середины 2013, нынешняя любовь это ZTE и [censored]вэи :)
Не помню как давно была новость про huawei их обвиняли в недрении бэедора, в своем оборудование и их даже запретили продавать на территории некоторых стран. Ну а вообще купил устройство сменил прошивку, а с аппаратными бэкдорами как поступать самому чипы производить начать :D
> Не помню как давно была новость про huawei их обвиняли в недрении
> бэедора, в своем оборудование и их даже запретили продавать на территории
> некоторых стран. Ну а вообще купил устройство сменил прошивку, а с
> аппаратными бэкдорами как поступать самому чипы производить начать :DНу, начни. Шутничок. В России. Сам. Ну или хотя бы в Китае. Деньжонок-то хватамбо?
> Ну, начни. Шутничок. В России. Сам. Ну или хотя бы в Китае.
> Деньжонок-то хватамбо?Я смотрю вы как раз таки и мыслите в одном направление, речь то как раз о то и идет что если от программного бекдора есть варианты избавится то от аппаратного это будет либо невозможно либо очень проблематично. И что же в этом случае делать? Либо производить компоненты самому что нереально либо не пользоваться такими устройствами вообще. Так что смена прошивки производителя на альтернативу, отнюдь не защитит от аппаратных бэкдоров, или попросту вставок если так будет понятнее.
А пользователей dl-524 ver.B4 как всегда обидели(
> А пользователей dl-524 ver.B4 как всегда обидели(Да, для них текст немного другой. Какой - см. дизассемблер.
"xmlset_roodkcableoj28840ybtide").
Задом на перед будет
Edit by 04882 joel backdoor :)
Джентльмены, в текст новости вкралась некоторая неточность, а именно следующая - не все DIR-615 подвержены данной уязвимости. Во всяком случае, мой DIR-615 {HwR=K2,FwR=1.0.19} огорчить не удалось.
> Джентльмены, в текст новости вкралась некоторая неточность, а именно следующая - не
> все DIR-615 подвержены данной уязвимости. Во всяком случае, мой DIR-615 {HwR=K2,FwR=1.0.19}
> огорчить не удалось.Как показал Ваш пример и обсуждение выше, не "в текст новости вкралась некоторая неточность", а в текст неточности вкралась некоторая "новость" (это о беспроводном DIR-100).
В прошедшее воскресенье в Интернете нашлось (всего лишь) 2139 устройств с этим бекдором на 80-м порту. (Результаты по 8080-му порту пока не опубликованы.)http://blog.erratasec.com/2013/10/that-dlink-bug-masscan.html
"On port 80, we found 2139 vulnerable devices, there should be a lot more at port 8080."
> В прошедшее воскресенье в Интернете нашлось (всего лишь) 2139 устройств с этим
> бекдором на 80-м порту. (Результаты по 8080-му порту пока не опубликованы.)
> http://blog.erratasec.com/2013/10/that-dlink-bug-masscan.html
> "On port 80, we found 2139 vulnerable devices, there should be a
> lot more at port 8080."А где список ip скачать ? я надеюсь там есть dyndns ?
почему до сих пор не опубликовали ? безобразие !!! я буду жаловаться !!!
> А где список ip скачать ? я надеюсь там есть dyndns ?Дай г@вна, дай ложку...
Хинт: берешь zmap и сам картируешь интернет. Весь. Довольно быстро. Ну и детект конкретной вундервафли не так уж сложно прикрутить.
Новость звучит как "в реках обнаружена вода". DLink вообще не предполагает какого-то контроля доступа.
Дык дыр-линк же.
Кстати в некоторых моделях гондур-асуса тоже не так давно была обнаружена подобная сноуден-фишка.
А ведь у Китая тоже есть служба разведки, они вполне могли попросить добавить в прошивка пару функций... А то хомячки последнее время так сильно боятся АНБ, что напрочь забывают, что враги везде и бояться нужно всего
> А ведь у Китая тоже есть служба разведки, они вполне могли попросить
> добавить в прошивка пару функций... А то хомячки последнее время так
> сильно боятся АНБХомячки ничего не боятся, им "нечего скрывать".
> Хомячки ничего не боятся, им "нечего скрывать".А товарищ-майору пофиг: вот логи прова, они показывают что детское порно лили с вашего айпи. Пройдемте в отделение, уважаемый. А там доказывайте что не верблюд, ага. Хакеры, кракеры. Отдохнете несколько годков за чужие фокусы - сразу научитесь сети строить :).
К стати, а наши СекСоты берут агромные БАБЛоСЫ за сертификацию дырявого масдАя :) и ведь не стесняются. Вопрос к СекСотам - за что windows XP SP3 сертифицируют когда патчей выпущено не мерянное количество и дыр в этой ОС как звезд на небе ?
> за что windows XP SP3 сертифицируютОтвечаем: за бабки.
Этим бинволком прошелся по прошивкам от свичей (DES-3200), обнаружил кучу слов BackDoor. Процессор, вроде, MIPS-подобный, может кто разломает и найдет что это и зачем?
> Этим бинволком прошелся по прошивкам от свичей (DES-3200), обнаружил кучу слов BackDoor.
> Процессор, вроде, MIPS-подобный, может кто разломает и найдет что это и зачем?Ага, "отреверсируйте мне тут проприетарную к@кашку, бесплатно, без смс".