The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.12.2017 09:33  Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.

В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфакторной аутентификации появилась у регистратора относительно недавно).

Получив контроль за доменом, атакующие на несколько минут перенаправили электронную почту на свой почтовый сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат для домена fox-it.com. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.

В качестве мер для противостояния подобным атакам рекомендуется ввести в практику плановую смену паролей и включить двухфакторную аутентификацию у регистратора или перейти к регистратору, не допускающему смену параметров домена через web-интерфейс. Также рекомендуется наладить мониторинг изменений SSL-сертификатов через механизм Certificate Transparency, который базируется на ведении публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений.

  1. Главная ссылка к новости (https://www.fox-it.com/en/insi...)
  2. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  3. OpenNews: Один из участников проекта присвоил себе домен Cyanogenmod.com и попытался шантажировать сообщество
  4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  5. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mitm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Фуррь, 09:56, 19/12/2017 [ответить] [смотреть все]
  • +11 +/
    >Специализирующаяся на компьютерной безопасности компания
    >по недосмотру на сайте регистратора не была включена двухфакторная аутентификация

    Epic win. И смех, и грех.

     
     
  • 2.2, Аноним, 10:06, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +7 +/
    Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.
     
     
  • 3.4, Аноним, 10:10, 19/12/2017 [^] [ответить] [смотреть все]
  • +3 +/
    Привет многим.
     
     
  • 4.13, Аноним, 10:47, 19/12/2017 [^] [ответить] [смотреть все]
  • +5 +/
    Приветы криптопро и прочим У датчан вот конторка делающая что-то для правительс... весь текст скрыт [показать]
     
     
  • 5.16, Аноним, 11:13, 19/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    И даже пруф уважаемый Аноним может предоставить ... весь текст скрыт [показать]
     
     
  • 6.19, Нимус, 11:49, 19/12/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А кто Вам должен рассказать, если само крипто-про то они косвенно это сделали, ... весь текст скрыт [показать]
     
     
  • 7.21, Фуррь, 12:24, 19/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    И что Это говорит максимум о закрытии опасной уязвимости, а не о загадочном взл... весь текст скрыт [показать]
     
  • 7.22, Аноним, 12:30, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    А власти скрывают на самом деле через дыру в крипте утекло пять тыщ миллионов... весь текст скрыт [показать]
     
     
  • 8.24, Нимус, 13:17, 19/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    пять тыщ миллионов , это пять миллиардов что-ли А личные данные в чем выражают... весь текст скрыт [показать]
     
  • 6.64, Аноним, 02:39, 23/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Сорца нет Для обладателей мозга это пруф намерений и подходов Но вы можете вер... весь текст скрыт [показать]
     
  • 5.54, нах, 21:30, 19/12/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    зависть - смертный грех ибо зачем ЕЩЕ тебе могут понадобиться исходники Ах, н... весь текст скрыт [показать]
     
     
  • 6.65, Аноним, 02:44, 23/12/2017 [^] [ответить] [смотреть все]  
  • +/
    а тупость и лоховство - чего для начала чтобы проверить что все честно, а потом... весь текст скрыт [показать]
     
  • 5.59, MandMs, 07:08, 20/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Датчан с голландцами не путаем?

    Что из похожего сделали датчане?

     
  • 3.6, пох, 10:20, 19/12/2017 [^] [ответить] [смотреть все]  
  • –8 +/
    имянно Как правило, это совершенно бесполезный лишний геморрой Часто еще и опа... весь текст скрыт [показать]
     
     
  • 4.9, хрю, 10:35, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    даже не обязательно симку переть, достаточно перехватить sms, не так давно была ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним84701, 14:49, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Только там вначале жертвы получали в дар коняшку деревянную, которая тырила логи... весь текст скрыт [показать]
     
  • 4.14, Аноним, 11:00, 19/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быст... весь текст скрыт [показать]
     
     
  • 5.38, пох, 14:34, 19/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а им-то зачем Они сайт купили вместе с регистрацией и всей фигней В далекие в... весь текст скрыт [показать]
     
  • 3.12, Аноним, 10:43, 19/12/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Более того, SS7 никогда не делался с прицелом на безопасность и там можно вытвор... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 11:24, 19/12/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Для тебя двухфакторная аутентификация — это только SMS?
     
  • 4.48, Demo, 16:52, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Там виден SPC, с которого приходили IAM ы А так как это CONS, то отправитель мо... весь текст скрыт [показать]
     
     
  • 5.55, тов. майор, 21:33, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    ну идентифицировал - и что мне теперь делать с этим неудачником, владельцем взло... весь текст скрыт [показать]
     
  • 5.67, Аноним, 03:31, 23/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну узнаешь ты что это из какого-то зимбабвийского оператора или с какого-нибудь ... весь текст скрыт [показать]
     
  • 2.25, Аноним, 13:29, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    от инсайда или от взлома регистратора не спасёт ничего ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, пох, 10:08, 19/12/2017 [ответить] [смотреть все]  
  • –1 +/
    конечно же, ни словом ни обмолвились о том, кто именно этот расп-яй регистратор.

    (сейчас их домен ведет на cloudflare,и это,наверняка, не те, кто проcрали credentials своих пользователей)

     
     
  • 2.5, Аноним, 10:16, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И в чем виноват регистратор?
     
     
  • 3.7, пох, 10:26, 19/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    конечно же, ни в чем Мне просто очень интересно, кто бы это мог быть И именно ... весь текст скрыт [показать]
     
     
  • 4.57, Аноним, 21:37, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    >"18 лет назад", домен com, угадайте с одной попытки

    Очевидный Enom очевиден.

     
  • 3.15, Аноним, 11:11, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Может быть, тем, что у стороннего лица есть возможность получить доступ к интер... весь текст скрыт [показать]
     
  • 1.17, Аноним, 11:21, 19/12/2017 [ответить] [смотреть все]  
  • +1 +/
    А как Заказные письма слать с нотариально заверенной подписью ... весь текст скрыт [показать]
     
     
  • 2.37, пох, 14:27, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    уже обычный факс или даже скан подписанного документа весьма резко уменьшит коли... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, _, 20:11, 19/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Потому что ломы Да может быть Пох при уровне развития печатного дела на ... весь текст скрыт [показать]
     
     
  • 4.56, тов. майор, 21:36, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    а это как повернуть Если ты пытаешься на основании такого документа чего-то док... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 03:24, 23/12/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    понимаешь, майор, в результате такого гопацкого подхода к жизни у тебя будет вме... весь текст скрыт [показать]
     
     
  • 6.68, Michael Shigorin, 17:08, 23/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > а как ты будешь на свою пенсию жить никого не колышет...

    А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street и тяжелейшие проблемы пенсионных фондов в пупе демократии.

     
     
  • 7.70, Аноним, 17:54, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Дада, и еще они негров линчуют А почему вы считаете что это для вас оправдание ... весь текст скрыт [показать]
     
  • 2.51, Аноним, 20:58, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    RIPE так и делает, и это почему-то никого не смущает.
     
  • 1.23, Это фиаско, 12:50, 19/12/2017 [ответить] [смотреть все]  
  • +11 +/
    Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.
     
     
  • 2.26, Аноним, 13:33, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –10 +/
    А ты можешь свою обеспечить Вот допустим у тебя ведро И тебя постоянно ломают,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 14:44, 19/12/2017 [^] [ответить] [смотреть все]  
  • +/
    А что делать то?
     
     
  • 4.69, Michael Shigorin, 17:09, 23/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А что делать то?

    Звонилок засолить про запас, например.  А не складывать в заведомо недоверенную платформу вообще всё своими руками.

     
  • 1.61, anomymous, 09:54, 21/12/2017 [ответить] [смотреть все]  
  • +1 +/
    - Специализирующаяся на компьютерной безопасности компания
    - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
    - Компрометации инфраструктуры

    /0

     
     
  • 2.62, Andrey Mitrofanov, 10:00, 21/12/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Не ошибаются только Анонимы сопенета успех Они в большом долгу перед комп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, anomymous, 21:25, 22/12/2017 [^] [ответить] [смотреть все]  
  • +/
    Понимаешь ли в чём дело. Я могу подобным образом ошибаться, сколько мне влезет - я не позиционирую себя, как IT Security Company, не провожу аудитов по безопасности и т.п.

    Но как только начну - такой факап с собственной инфраструктурой "по недосмотру" станет мне непростителен. Ты доверишь Security Audit и Threat Management компании, которая только что про***ла своё собственное хозяйство. Да ещё "по недосмотру"? Вот и я нет.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor