The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.12.2017 09:33  Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.

В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфакторной аутентификации появилась у регистратора относительно недавно).

Получив контроль за доменом, атакующие на несколько минут перенаправили электронную почту на свой почтовый сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат для домена fox-it.com. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.

В качестве мер для противостояния подобным атакам рекомендуется ввести в практику плановую смену паролей и включить двухфакторную аутентификацию у регистратора или перейти к регистратору, не допускающему смену параметров домена через web-интерфейс. Также рекомендуется наладить мониторинг изменений SSL-сертификатов через механизм Certificate Transparency, который базируется на ведении публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений.

  1. Главная ссылка к новости (https://www.fox-it.com/en/insi...)
  2. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  3. OpenNews: Один из участников проекта присвоил себе домен Cyanogenmod.com и попытался шантажировать сообщество
  4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  5. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mitm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Фуррь (ok), 09:56, 19/12/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +12 +/
    >Специализирующаяся на компьютерной безопасности компания
    >по недосмотру на сайте регистратора не была включена двухфакторная аутентификация

    Epic win. И смех, и грех.

     
     
  • 2.2, Аноним (-), 10:06, 19/12/2017 [^] [ответить]    [к модератору]
  • +7 +/
    Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.
     
     
  • 3.4, Аноним (-), 10:10, 19/12/2017 [^] [ответить]    [к модератору]
  • +3 +/
    Привет многим.
     
     
  • 4.13, Аноним (-), 10:47, 19/12/2017 [^] [ответить]     [к модератору]
  • +5 +/
    Приветы криптопро и прочим У датчан вот конторка делающая что-то для правительс... весь текст скрыт [показать]
     
     
  • 5.16, Аноним (-), 11:13, 19/12/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    >А о том что разломали криптопро - никто и не узнает

    И даже пруф уважаемый Аноним может предоставить?

     
     
  • 6.19, Нимус (?), 11:49, 19/12/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    А кто Вам должен рассказать, если само крипто-про. то они косвенно это сделали, выпустив версию 3.6.777, удалив все другие, и выпустив рекомендацию от себя и ФСБ о переходе на вышеуказанную версию.
     
     
  • 7.21, Фуррь (ok), 12:24, 19/12/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    И что? Это говорит максимум о закрытии опасной уязвимости, а не о загадочном взломе, скрываемом спецслужбами.
     
  • 7.22, Аноним (-), 12:30, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    >они косвенно это сделали

    А власти скрывают... на самом деле через дыру в крипте утекло пять тыщ миллионов личных данных жителей, просто этот факт упорно скрывается ФСБ и криптой...

     
     
  • 8.24, Нимус (?), 13:17, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    пять тыщ миллионов , это пять миллиардов что-ли А личные данные в чем выражают... весь текст скрыт [показать]
     
  • 8.71, anon11 (?), 01:31, 31/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Никаких дыр не надо, сервер с личными данными *всех* госусликов светит в интернет базу с рутом и без паролей
     
  • 6.64, Аноним (-), 02:39, 23/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > И даже пруф уважаемый Аноним может предоставить?

    Сорца нет. Для обладателей мозга это пруф намерений и подходов. Но вы можете верить джентльменам из криптопро на слово.

     
  • 5.54, нах (?), 21:30, 19/12/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    зависть - смертный грех ибо зачем ЕЩЕ тебе могут понадобиться исходники Ах, н... весь текст скрыт [показать]
     
     
  • 6.65, Аноним (-), 02:44, 23/12/2017 [^] [ответить]     [к модератору]  
  • +/
    а тупость и лоховство - чего для начала чтобы проверить что все честно, а потом... весь текст скрыт [показать]
     
  • 5.59, MandMs (?), 07:08, 20/12/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Датчан с голландцами не путаем?

    Что из похожего сделали датчане?

     
  • 3.6, пох (?), 10:20, 19/12/2017 [^] [ответить]     [к модератору]  
  • –8 +/
    имянно Как правило, это совершенно бесполезный лишний геморрой Часто еще и опа... весь текст скрыт [показать]
     
     
  • 4.9, хрю (?), 10:35, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > симку спер

    даже не обязательно симку переть, достаточно перехватить sms, не так давно была новость - в германщине взломали оператора и перехватывали смски для воровства денег.

     
     
  • 5.40, Аноним84701 (ok), 14:49, 19/12/2017 [^] [ответить]     [к модератору]  
  • +/
    Только там вначале жертвы получали в дар коняшку деревянную, которая тырила логи... весь текст скрыт [показать]
     
  • 4.14, Аноним (-), 11:00, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быст... весь текст скрыт [показать]
     
     
  • 5.38, пох (?), 14:34, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    а им-то зачем Они сайт купили вместе с регистрацией и всей фигней В далекие в... весь текст скрыт [показать]
     
  • 3.12, Аноним (-), 10:43, 19/12/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Более того, SS7 никогда не делался с прицелом на безопасность и там можно вытвор... весь текст скрыт [показать]
     
     
  • 4.18, Аноним (-), 11:24, 19/12/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Для тебя двухфакторная аутентификация — это только SMS?
     
  • 4.48, Demo (??), 16:52, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    Там виден SPC, с которого приходили IAM'ы. А так как это CONS, то отправитель может быть идентифицирован однозначно, в отличие от IP.
     
     
  • 5.55, тов. майор (?), 21:33, 19/12/2017 [^] [ответить]     [к модератору]  
  • +/
    ну идентифицировал - и что мне теперь делать с этим неудачником, владельцем взло... весь текст скрыт [показать]
     
  • 5.67, Аноним (-), 03:31, 23/12/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну узнаешь ты что это из какого-то зимбабвийского оператора или с какого-нибудь ... весь текст скрыт [показать]
     
  • 2.25, Аноним (-), 13:29, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    от инсайда или от взлома регистратора не спасёт ничего ... весь текст скрыт [показать]
     
  • 1.3, пох (?), 10:08, 19/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    конечно же, ни словом ни обмолвились о том, кто именно этот расп-яй регистратор.

    (сейчас их домен ведет на cloudflare,и это,наверняка, не те, кто проcрали credentials своих пользователей)

     
     
  • 2.5, Аноним (-), 10:16, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    И в чем виноват регистратор?
     
     
  • 3.7, пох (?), 10:26, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    конечно же, ни в чем Мне просто очень интересно, кто бы это мог быть И именно ... весь текст скрыт [показать]
     
     
  • 4.57, Аноним (-), 21:37, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    >"18 лет назад", домен com, угадайте с одной попытки

    Очевидный Enom очевиден.

     
  • 3.15, Аноним (-), 11:11, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > И в чем виноват регистратор?

    Может быть, тем, что у стороннего лица есть возможность "получить доступ к интерфейсу регистратора"?

     
  • 1.17, Аноним (-), 11:21, 19/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > перейти к регистратору, не допускающему смену параметров домена через web-интерфейс.

    А как? Заказные письма слать с нотариально заверенной подписью?

     
     
  • 2.37, пох (?), 14:27, 19/12/2017 [^] [ответить]     [к модератору]  
  • +/
    уже обычный факс или даже скан подписанного документа весьма резко уменьшит коли... весь текст скрыт [показать]
     
     
  • 3.50, _ (??), 20:11, 19/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Потому что ломы Да может быть Пох при уровне развития печатного дела на ... весь текст скрыт [показать]
     
     
  • 4.56, тов. майор (?), 21:36, 19/12/2017 [^] [ответить]     [к модератору]  
  • +/
    а это как повернуть Если ты пытаешься на основании такого документа чего-то док... весь текст скрыт [показать]
     
     
  • 5.66, Аноним (-), 03:24, 23/12/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    понимаешь, майор, в результате такого гопацкого подхода к жизни у тебя будет вме... весь текст скрыт [показать]
     
     
  • 6.68, Michael Shigorin (ok), 17:08, 23/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > а как ты будешь на свою пенсию жить никого не колышет...

    А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street и тяжелейшие проблемы пенсионных фондов в пупе демократии.

     
     
  • 7.70, Аноним (-), 17:54, 23/12/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Дада, и еще они негров линчуют А почему вы считаете что это для вас оправдание ... весь текст скрыт [показать]
     
  • 2.51, Аноним (-), 20:58, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    RIPE так и делает, и это почему-то никого не смущает.
     
  • 1.23, Это фиаско (?), 12:50, 19/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.
     
     
  • 2.26, Аноним (-), 13:33, 19/12/2017 [^] [ответить]     [к модератору]  
  • –10 +/
    А ты можешь свою обеспечить Вот допустим у тебя ведро И тебя постоянно ломают,... весь текст скрыт [показать]
     
     
  • 3.39, Аноним (39), 14:44, 19/12/2017 [^] [ответить]    [к модератору]  
  • +/
    А что делать то?
     
     
  • 4.69, Michael Shigorin (ok), 17:09, 23/12/2017 [^] [ответить]    [к модератору]  
  • +/
    > А что делать то?

    Звонилок засолить про запас, например.  А не складывать в заведомо недоверенную платформу вообще всё своими руками.

     
  • 1.61, anomymous (?), 09:54, 21/12/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    - Специализирующаяся на компьютерной безопасности компания
    - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
    - Компрометации инфраструктуры

    /0

     
     
  • 2.62, Andrey Mitrofanov (?), 10:00, 21/12/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Не ошибаются только Анонимы сопенета успех Они в большом долгу перед комп... весь текст скрыт [показать]
     
     
  • 3.63, anomymous (?), 21:25, 22/12/2017 [^] [ответить]     [к модератору]  
  • +/
    Понимаешь ли в чём дело Я могу подобным образом ошибаться, сколько мне влезет -... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor