The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.12.2017 09:33  Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.

В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфакторной аутентификации появилась у регистратора относительно недавно).

Получив контроль за доменом, атакующие на несколько минут перенаправили электронную почту на свой почтовый сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат для домена fox-it.com. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.

В качестве мер для противостояния подобным атакам рекомендуется ввести в практику плановую смену паролей и включить двухфакторную аутентификацию у регистратора или перейти к регистратору, не допускающему смену параметров домена через web-интерфейс. Также рекомендуется наладить мониторинг изменений SSL-сертификатов через механизм Certificate Transparency, который базируется на ведении публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений.

  1. Главная ссылка к новости (https://www.fox-it.com/en/insi...)
  2. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  3. OpenNews: Один из участников проекта присвоил себе домен Cyanogenmod.com и попытался шантажировать сообщество
  4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  5. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mitm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Фуррь, 09:56, 19/12/2017 [ответить] [смотреть все]    [к модератору]
  • +12 +/
    >Специализирующаяся на компьютерной безопасности компания
    >по недосмотру на сайте регистратора не была включена двухфакторная аутентификация

    Epic win. И смех, и грех.

     
     
  • 2.2, Аноним, 10:06, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +7 +/
    Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.
     
     
  • 3.4, Аноним, 10:10, 19/12/2017 [^] [ответить] [смотреть все]    [к модератору]
  • +3 +/
    Привет многим.
     
     
  • 4.13, Аноним, 10:47, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]
  • +5 +/
    Приветы криптопро и прочим У датчан вот конторка делающая что-то для правительс... весь текст скрыт [показать]
     
     
  • 5.16, Аноним, 11:13, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    И даже пруф уважаемый Аноним может предоставить ... весь текст скрыт [показать]
     
     
  • 6.19, Нимус, 11:49, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    А кто Вам должен рассказать, если само крипто-про то они косвенно это сделали, ... весь текст скрыт [показать]
     
     
  • 7.21, Фуррь, 12:24, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    И что Это говорит максимум о закрытии опасной уязвимости, а не о загадочном взл... весь текст скрыт [показать]
     
  • 7.22, Аноним, 12:30, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А власти скрывают на самом деле через дыру в крипте утекло пять тыщ миллионов... весь текст скрыт [показать]
     
     
  • 8.24, Нимус, 13:17, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    пять тыщ миллионов , это пять миллиардов что-ли А личные данные в чем выражают... весь текст скрыт [показать]
     
  • 8.71, anon11, 01:31, 31/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Никаких дыр не надо, сервер с личными данными всех госусликов светит в интерне... весь текст скрыт [показать]
     
  • 6.64, Аноним, 02:39, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сорца нет Для обладателей мозга это пруф намерений и подходов Но вы можете вер... весь текст скрыт [показать]
     
  • 5.54, нах, 21:30, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    зависть - смертный грех ибо зачем ЕЩЕ тебе могут понадобиться исходники Ах, н... весь текст скрыт [показать]
     
     
  • 6.65, Аноним, 02:44, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а тупость и лоховство - чего для начала чтобы проверить что все честно, а потом... весь текст скрыт [показать]
     
  • 5.59, MandMs, 07:08, 20/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Датчан с голландцами не путаем?

    Что из похожего сделали датчане?

     
  • 3.6, пох, 10:20, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –8 +/
    имянно Как правило, это совершенно бесполезный лишний геморрой Часто еще и опа... весь текст скрыт [показать]
     
     
  • 4.9, хрю, 10:35, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    даже не обязательно симку переть, достаточно перехватить sms, не так давно была ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним84701, 14:49, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Только там вначале жертвы получали в дар коняшку деревянную, которая тырила логи... весь текст скрыт [показать]
     
  • 4.14, Аноним, 11:00, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быст... весь текст скрыт [показать]
     
     
  • 5.38, пох, 14:34, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    а им-то зачем Они сайт купили вместе с регистрацией и всей фигней В далекие в... весь текст скрыт [показать]
     
  • 3.12, Аноним, 10:43, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Более того, SS7 никогда не делался с прицелом на безопасность и там можно вытвор... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 11:24, 19/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Для тебя двухфакторная аутентификация — это только SMS?
     
  • 4.48, Demo, 16:52, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Там виден SPC, с которого приходили IAM ы А так как это CONS, то отправитель мо... весь текст скрыт [показать]
     
     
  • 5.55, тов. майор, 21:33, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну идентифицировал - и что мне теперь делать с этим неудачником, владельцем взло... весь текст скрыт [показать]
     
  • 5.67, Аноним, 03:31, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну узнаешь ты что это из какого-то зимбабвийского оператора или с какого-нибудь ... весь текст скрыт [показать]
     
  • 2.25, Аноним, 13:29, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    от инсайда или от взлома регистратора не спасёт ничего ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, пох, 10:08, 19/12/2017 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    конечно же, ни словом ни обмолвились о том, кто именно этот расп-яй регистратор.

    (сейчас их домен ведет на cloudflare,и это,наверняка, не те, кто проcрали credentials своих пользователей)

     
     
  • 2.5, Аноним, 10:16, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    И в чем виноват регистратор?
     
     
  • 3.7, пох, 10:26, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    конечно же, ни в чем Мне просто очень интересно, кто бы это мог быть И именно ... весь текст скрыт [показать]
     
     
  • 4.57, Аноним, 21:37, 19/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >"18 лет назад", домен com, угадайте с одной попытки

    Очевидный Enom очевиден.

     
  • 3.15, Аноним, 11:11, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Может быть, тем, что у стороннего лица есть возможность получить доступ к интер... весь текст скрыт [показать]
     
  • 1.17, Аноним, 11:21, 19/12/2017 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А как Заказные письма слать с нотариально заверенной подписью ... весь текст скрыт [показать]
     
     
  • 2.37, пох, 14:27, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    уже обычный факс или даже скан подписанного документа весьма резко уменьшит коли... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, _, 20:11, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Потому что ломы Да может быть Пох при уровне развития печатного дела на ... весь текст скрыт [показать]
     
     
  • 4.56, тов. майор, 21:36, 19/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а это как повернуть Если ты пытаешься на основании такого документа чего-то док... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 03:24, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    понимаешь, майор, в результате такого гопацкого подхода к жизни у тебя будет вме... весь текст скрыт [показать]
     
     
  • 6.68, Michael Shigorin, 17:08, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street и тяжелейшие... весь текст скрыт [показать]
     
     
  • 7.70, Аноним, 17:54, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Дада, и еще они негров линчуют А почему вы считаете что это для вас оправдание ... весь текст скрыт [показать]
     
  • 2.51, Аноним, 20:58, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    RIPE так и делает, и это почему-то никого не смущает.
     
  • 1.23, Это фиаско, 12:50, 19/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.
     
     
  • 2.26, Аноним, 13:33, 19/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –10 +/
    А ты можешь свою обеспечить Вот допустим у тебя ведро И тебя постоянно ломают,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Аноним, 14:44, 19/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А что делать то?
     
     
  • 4.69, Michael Shigorin, 17:09, 23/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Звонилок засолить про запас, например А не складывать в заведомо недоверенную ... весь текст скрыт [показать]
     
  • 1.61, anomymous, 09:54, 21/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    - Специализирующаяся на компьютерной безопасности компания
    - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
    - Компрометации инфраструктуры

    /0

     
     
  • 2.62, Andrey Mitrofanov, 10:00, 21/12/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Не ошибаются только Анонимы сопенета успех Они в большом долгу перед комп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, anomymous, 21:25, 22/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Понимаешь ли в чём дело Я могу подобным образом ошибаться, сколько мне влезет -... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor