The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен

19.12.2017 09:33

Специализирующаяся на компьютерной безопасности компания Fox-IT, развивающая проект OpenVPN-NL (вариант OpenVPN с усиленной защитой), раскрыла информацию о произошедшей в сентябре компрометации инфраструктуры. В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS.

В результате инцидента атакующие смогли получить доступ к учётной записи Fox-IT на сайте регистратора доменов и перевести обслуживание домена fox-it.com на свой DNS-сервер. Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору. При этом они согласились, что по недосмотру на сайте регистратора не была включена двухфакторная аутентификация (домен был зарегистрирован 18 лет назад, а опция двухфакторной аутентификации появилась у регистратора относительно недавно).

Получив контроль за доменом, атакующие на несколько минут перенаправили электронную почту на свой почтовый сервер (для подтверждения владения доменом) и оперативно получили новый SSL-сертификат для домена fox-it.com. Затем они направили домен clientportal.fox-it.com на свой сервер, на котором был организован перехват всего трафика. Для скрытия следов после перехвата запросы транслировались на оригинальный сервер, создавая у пользователей иллюзию, что они обращаются к легитимному сайту.

В качестве мер для противостояния подобным атакам рекомендуется ввести в практику плановую смену паролей и включить двухфакторную аутентификацию у регистратора или перейти к регистратору, не допускающему смену параметров домена через web-интерфейс. Также рекомендуется наладить мониторинг изменений SSL-сертификатов через механизм Certificate Transparency, который базируется на ведении публичного лога всех выданных сертификатов, не позволяющего удостоверяющему центру сгенерировать сертификат без отражения в этом логе и дающего возможность владельцам и пользователям проводить аудит изменений.

  1. Главная ссылка к новости (https://www.fox-it.com/en/insi...)
  2. OpenNews: Атакующие получили контроль над доменом проекта Metasploit через обман регистратора
  3. OpenNews: Один из участников проекта присвоил себе домен Cyanogenmod.com и попытался шантажировать сообщество
  4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  5. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  6. OpenNews: Техника атаки, позволившая получить контроль над всеми доменами в зоне .io
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47764-mitm
Ключевые слова: mitm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Фуррь (ok), 09:56, 19/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    >Специализирующаяся на компьютерной безопасности компания
    >по недосмотру на сайте регистратора не была включена двухфакторная аутентификация

    Epic win. И смех, и грех.

     
     
  • 2.2, Аноним (-), 10:06, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.
     
     
  • 3.4, Аноним (-), 10:10, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Привет многим.
     
     
  • 4.13, Аноним (-), 10:47, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Привет многим.

    Приветы криптопро и прочим. У датчан вот конторка делающая что-то для правительства по крайней мере публикует сорец и отчитывается о продолбах. А о том что разломали криптопро - никто и не узнает, да и сорц не покажут.

     
     
  • 5.16, Аноним (-), 11:13, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А о том что разломали криптопро - никто и не узнает

    И даже пруф уважаемый Аноним может предоставить?

     
     
  • 6.19, Нимус (?), 11:49, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А кто Вам должен рассказать, если само крипто-про. то они косвенно это сделали, выпустив версию 3.6.777, удалив все другие, и выпустив рекомендацию от себя и ФСБ о переходе на вышеуказанную версию.
     
     
  • 7.21, Фуррь (ok), 12:24, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И что? Это говорит максимум о закрытии опасной уязвимости, а не о загадочном взломе, скрываемом спецслужбами.
     
  • 7.22, Аноним (-), 12:30, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >они косвенно это сделали

    А власти скрывают... на самом деле через дыру в крипте утекло пять тыщ миллионов личных данных жителей, просто этот факт упорно скрывается ФСБ и криптой...

     
     
  • 8.24, Нимус (?), 13:17, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пять тыщ миллионов , это пять миллиардов что-ли А личные данные в чем выражают... текст свёрнут, показать
     
  • 8.71, anon11 (?), 01:31, 31/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Никаких дыр не надо, сервер с личными данными всех госусликов светит в интерне... текст свёрнут, показать
     
  • 6.64, Аноним (-), 02:39, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И даже пруф уважаемый Аноним может предоставить?

    Сорца нет. Для обладателей мозга это пруф намерений и подходов. Но вы можете верить джентльменам из криптопро на слово.

     
  • 5.54, нах (?), 21:30, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > А о том что разломали криптопро - никто и не узнает, да и сорц не покажут.

    зависть - смертный грех.
    (ибо зачем ЕЩЕ тебе могут понадобиться исходники? Ах, ну конечно же, чтоб быстренько исправить там все ошибки и отдать обратно криптопре, как я не догадался!)

    ну а кто-то, видишь, не ждал милостей от природы, сп-л их самостоятельно. Ну или обошелся идопрой, но эт вряд ли. И вот он теперь в монтекарле проматывает выручку, а ты - неудачник.

     
     
  • 6.65, Аноним (-), 02:44, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > зависть - смертный грех.

    а тупость и лоховство - чего?

    > (ибо зачем ЕЩЕ тебе могут понадобиться исходники? Ах, ну конечно же, чтоб
    > быстренько исправить там все ошибки и отдать обратно криптопре, как я не догадался!)

    для начала чтобы проверить что все честно, а потом может и баги найдутся

    > ну а кто-то, видишь, не ждал милостей от природы, сп-л их самостоятельно.

    да чур меня тырить сорцы мутной проприетари

    > Ну или обошелся идопрой, но эт вряд ли.

    пусть маклауды упражнаются, я ей уже наигрался

    > И вот он теперь в монтекарле проматывает выручку, а ты - неудачник.

    маклауд чтоли? проматывать выручку он будет лет через 20, а пока сидит в норке и реверсит

     
  • 5.59, MandMs (?), 07:08, 20/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Датчан с голландцами не путаем?

    Что из похожего сделали датчане?

     
  • 3.6, пох (?), 10:20, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • –8 +/
    имянно. Как правило, это совершенно бесполезный лишний геморрой. Часто еще и опасный, сводит всю защиту ко второму фактору, симку спер - тебе без всяких проверок на нее высылают "восстановление пароля". Причем если уж включена - то на каждый чих.

    Правильно - не позволять менять ns'ы, primary-контакты и registrar lock через "интуитивно-приятные" интерфейсы вообще. Как в домене at - любое действие кроме безобидных требует факса nic.at (не регистратору, что характерно), с подписью владельца.

     
     
  • 4.9, хрю (?), 10:35, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > симку спер

    даже не обязательно симку переть, достаточно перехватить sms, не так давно была новость - в германщине взломали оператора и перехватывали смски для воровства денег.

     
     
  • 5.40, Аноним84701 (ok), 14:49, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > даже не обязательно симку переть, достаточно перехватить sms, не так давно была
    > новость - в германщине взломали оператора и перехватывали смски для воровства денег.

    Только там вначале жертвы получали в дар коняшку деревянную, которая тырила логины с паролями к банковскому аккаунту и сами мобильные номера.
    Так сказать "классика" – только до этого cпециалисты по нечестному отъему денег заказывали у оператора вторую симку (и тут как повезет), а теперь вот решили наказать тех операторов, кто еще в 2014 хвалился устранить "самые-самые" дыры в SS7, но … языком маркетологов и пиарщиков молоть, это совсем не мешки денег на  модернизацию выкладывать.

     
  • 4.14, Аноним (-), 11:00, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не позволять менять ns'ы, primary-контакты и registrar lock через "интуитивно-приятные" интерфейсы вообще

    Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быстро и удобно.

     
     
  • 5.38, пох (?), 14:34, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ваш пост огорчает домохозяек, секретарш и модных мальчиков, которым хочется быстро и
    > удобно.

    а им-то зачем? Они сайт купили вместе с регистрацией и всей фигней.
    В далекие времена, когда я имел отношение к регистрациям сайтов для клиентов, у нас была невидимая клиентам галочка, суть которой сводилась к "не идиот ли это". При ее установке домен регистрировался на нас. Потому что укажут почту на мэйлсру, от которой через пять минут забудут пароль, а через десять - что она у них вообще существовала, читать то что туда присылают ни в коем случае не будут, оплату пропустят, и вообще, меньше знают, крепче спят.

    за все время не нашлось ни одного достаточно ушлого, чтобы при этом хотя бы поинтересоваться, а его ли это теперь вообще домен.

     
  • 3.12, Аноним (-), 10:43, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Двухфакторка - не панацея. У многих она так реализована, что только способствует взлому.

    Более того, SS7 никогда не делался с прицелом на безопасность и там можно вытворять что угодно. Если зимбабвийский хакер сообщит что номер роумится в его сети - ему поверят на слово. Мало ли почему вас в Зимбабве занесло.

     
     
  • 4.18, Аноним (-), 11:24, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Для тебя двухфакторная аутентификация — это только SMS?
     
  • 4.48, Demo (??), 16:52, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там виден SPC, с которого приходили IAM'ы. А так как это CONS, то отправитель может быть идентифицирован однозначно, в отличие от IP.
     
     
  • 5.55, тов. майор (?), 21:33, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Там виден SPC, с которого приходили IAM'ы. А так как это CONS,
    > то отправитель может быть идентифицирован однозначно, в отличие от IP.

    ну идентифицировал - и что мне теперь делать с этим неудачником, владельцем взломанного гейта?

    он уже, конечно, признался в том что взломал foxit, сервера Ватикана и АНБ и готовил покушение на президента (неизвестно, пока, какой страны), но пользы от этого, к сожалению, никакой.


     
  • 5.67, Аноним (-), 03:31, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Там виден SPC, с которого приходили IAM'ы. А так как это CONS,
    > то отправитель может быть идентифицирован однозначно, в отличие от IP.

    Ну узнаешь ты что это из какого-то зимбабвийского оператора или с какого-нибудь гейта. И дальше чего? Постепенно раздолбаи попадут в блеклисты, но за это время появятся новые и история повторится.

     
  • 2.25, Аноним (-), 13:29, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Каким образом удалось получить доступ к интерфейсу регистратора остаётся неясным, так как представители Fox-IT уверяют, что использовали для доступа надёжный пароль, не подверженный словарному перебору.

    от инсайда или от взлома регистратора не спасёт ничего.

     

  • 1.3, пох (?), 10:08, 19/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    конечно же, ни словом ни обмолвились о том, кто именно этот расп-яй регистратор.

    (сейчас их домен ведет на cloudflare,и это,наверняка, не те, кто проcрали credentials своих пользователей)

     
     
  • 2.5, Аноним (-), 10:16, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем виноват регистратор?
     
     
  • 3.7, пох (?), 10:26, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И в чем виноват регистратор?

    конечно же, ни в чем. Мне просто очень интересно, кто бы это мог быть.
    И именно по этой причине его имя останется тайной навеки. Потому что на месте любого вменяемого пользователя (ты к ним не относишься) сменить его надо немедленно.


    P.S. впрочем, "тоже мне, бином ньютона" - "18 лет назад", домен com, угадайте с одной попытки. Именно эти ребята пару лет назад попытались у меня сп..ть домен. Сами, без всяких ужасных хакеров. (нет, ничего такого - наверняка продали бы мне его тут же обратно - по хорошей цене)

     
     
  • 4.57, Аноним (-), 21:37, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >"18 лет назад", домен com, угадайте с одной попытки

    Очевидный Enom очевиден.

     
  • 3.15, Аноним (-), 11:11, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И в чем виноват регистратор?

    Может быть, тем, что у стороннего лица есть возможность "получить доступ к интерфейсу регистратора"?

     

  • 1.17, Аноним (-), 11:21, 19/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > перейти к регистратору, не допускающему смену параметров домена через web-интерфейс.

    А как? Заказные письма слать с нотариально заверенной подписью?

     
     
  • 2.37, пох (?), 14:27, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    уже обычный факс или даже скан подписанного документа весьма резко уменьшит количество желающих поиграть в эту игру.
    Потому что во-первых, ты не захочешь снабдить полицию образцом своего почерка, во-вторых, взлом регистратора в странах пятого и шестого мира может быть расценен как невинная детская игра в крысу. А вот за подделку документа закроют всерьез и надолго.

     
     
  • 3.50, _ (??), 20:11, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >уже обычный факс или даже скан подписанного документа весьма резко уменьшит количество желающих поиграть в эту игру.

    Потому что ломы? Да может быть...
    >Потому что во-первых, ты не захочешь снабдить полицию образцом своего почерка,

    Пох ... при уровне развития печатного дела на Западе (С) :-) Ну увидят они что Путен подписал, дальше что? Исполнят с особым рвением :-)
    >во-вторых, взлом регистратора в странах пятого и шестого мира может быть расценен как невинная детская игра в крысу. А вот за подделку документа закроют всерьез и надолго.

    Это да. Правда как то так получается что в странах где за взлом регистратора не дрючат, то и факс за _документ_ не считается. Вот в России - уже считается или нет?

     
     
  • 4.56, тов. майор (?), 21:36, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это да. Правда как то так получается что в странах где за
    > взлом регистратора не дрючат, то и факс за _документ_ не считается.
    > Вот в России - уже считается или нет?

    а это как повернуть. Если ты пытаешься на основании такого документа чего-то доказать - то чаще всего хрен там, а если мы тебя за него привлекли - то очень даже документ, потому что вот он - с подписью и всем прочим, и неважно, что родился на выходе из принтера ;-)

     
     
  • 5.66, Аноним (-), 03:24, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    понимаешь, майор, в результате такого гопацкого подхода к жизни у тебя будет вместо стартапов только всякое пилково, с которых взять нечего кроме беглых манагеров, а как ты будешь на свою пенсию жить никого не колышет... но ты можешь попытаться наворовать, но будучи майором врядли сопрешь достаточно для того чтобы спать спокойно
     
     
  • 6.68, Michael Shigorin (ok), 17:08, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а как ты будешь на свою пенсию жить никого не колышет...

    А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street и тяжелейшие проблемы пенсионных фондов в пупе демократии.

     
     
  • 7.70, Аноним (-), 17:54, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А-аа, так вот как связаны разогнанный по камерам Occupy Wall Street

    Дада, и еще они негров линчуют. А почему вы считаете что это для вас оправдание? Почему вы вообще стремитесь из всех выбирать только самое мерзкое и нехорошее?

    > и тяжелейшие проблемы пенсионных фондов в пупе демократии.

    Не помню чтобы тамошний пенсионный фонд позволял себе "замораживать" что либо как некоторые и пытаться менять правила игры постоянно, устраивая пенсионерам лохотрон. Проигравшие лохотрон уже окучивают помойки супермаркетов, собственно. Нет, не в сша. В многих городах РФ. Я такое в столице видел. Такая вот империя, перепихнувшая проблемы имперского п-нта на пенсионеров. Молодцы, так держать. Знаете, вы вполне заслуживаете то будущее которое строите. Это чертовски честно.

     
  • 2.51, Аноним (-), 20:58, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    RIPE так и делает, и это почему-то никого не смущает.
     

  • 1.23, Это фиаско (?), 12:50, 19/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.
     
     
  • 2.26, Аноним (-), 13:33, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    > Гордыня фраера сгубила. Когда "спецы по безопасности" не могут обеспечить свою безопасность.

    А ты можешь свою обеспечить? Вот допустим у тебя ведро. И тебя постоянно ломают, потому что ведро никто не обновляет, потому что дрова специально статически слинкованы с ядром, чтобы никто не посмел обновить ядро в обход вендора, чтобы вендор всех послал покупать новый телефон, чтобы от этого был спрос на новые телефоны, чтобы со стороны вендоров был спрос на новые чипы. Вот допустим у тебя гейфон - и тогда ты уже на анальном крючке эппла.

     
     
  • 3.39, Аноним (39), 14:44, 19/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что делать то?
     
     
  • 4.69, Michael Shigorin (ok), 17:09, 23/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А что делать то?

    Звонилок засолить про запас, например.  А не складывать в заведомо недоверенную платформу вообще всё своими руками.

     

  • 1.61, anomymous (?), 09:54, 21/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    - Специализирующаяся на компьютерной безопасности компания
    - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
    - Компрометации инфраструктуры

    /0

     
     
  • 2.62, Andrey Mitrofanov (?), 10:00, 21/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > - Специализирующаяся на компьютерной безопасности компания
    > - По недосмотру (!!!) на сайте регистратора не была включена двухфакторная аутентификация
    > - Компрометации инфраструктуры
    > /0

    Не ошибаются только Анонимы сопенета. </успех>
       Они в большом долгу перед компобезопасностью. </стыд>
          Л - Логика. </таг>

     
     
  • 3.63, anomymous (?), 21:25, 22/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь ли в чём дело. Я могу подобным образом ошибаться, сколько мне влезет - я не позиционирую себя, как IT Security Company, не провожу аудитов по безопасности и т.п.

    Но как только начну - такой факап с собственной инфраструктурой "по недосмотру" станет мне непростителен. Ты доверишь Security Audit и Threat Management компании, которая только что про***ла своё собственное хозяйство. Да ещё "по недосмотру"? Вот и я нет.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру