16.10.2007 17:38Пользователям ADSL от СЗТ.
С подачи Alex_Krycek.
Если Вы является пользователем технологии ADSL и обладаете ADSL модемом, поменяйте свои учетные данные для входа в консоль администрирования Вашего модема. Не оставляйте их стандартными. Также поменяйте IP адрес на внутреннем интерфейсе вашего модема (обычно 192.168.1.1).
В противном случае любой желающий сможет использовать Ваш модем в своих корыстных целях, если он находится в той же сети провайдера, что и Вы.
Дело все вот в чем: когда пользователь пытается соединиться со своим модемом по его внутреннему IP адресу, его компьютер не знает на 100% с каким устройством он хочет соединиться на канальном уровне. Пользователь, работая на сетевом уровне, хочет соединиться со своим модемом по IP адресу и вводит например команду telnet 192.168.1.1, устройства же взаимодействуют друг с другом на более низком уровне и для идентификации друг друга используют уникальный физический адрес – MAC. Для преобразования IP адреса в MAC служит протокол ARP. После того, как пользователь запустил прикладную программу и попытался соединиться со своим модемом, операционная система просматривает свою ARP таблицу, в которой хранятся соответствия между IP адресами и MAC. Если запись соответствующая нужному IP нашлась, то формируется и отсылается соответствующий пакет данных, называемый кадром. Если же в таблице соответствия не нашлось, то операционная система отправляет пакет с ARP-запросом всем сетевым устройствам. Каждое устройство получившее такой запрос сравнивает IP адрес в запросе со своим IP адресом, и если они совпадают, формирует и посылает ответ, в котором содержится IP адрес и MAC адрес ответившего устройства. После этого ОС заносит эту связку адресов в свою таблицу и начинает взаимодействие с устройством.
Отсюда вариант атаки злоумышленником на ADSL модемы:
Исходные данные: злоумышленник подключен к ADSL и имеет свой модем, настроенный в режиме моста. Внутренний адрес модема 192.168.1.1, адрес в сети провайдера 172.16.XX.YY
Сценарий атаки:
-
Злоумышленник, на компьютере, подключенном непосредственно к модему, удаляет из своей arp таблицы, запись соответствующую IP адресу 192.168.1.1.
-
Злоумышленник, пытается соединиться с модемом по внутреннему адресу. При этом в сеть провайдера компьютер злоумышленника посылает широковещательный arp запрос. Этот arp запрос может получить любой из модемов находящийся в сети провайдера (172.16.XX.YY/24). Соответственно кто первый ответит, с тем злоумышленник и будет взаимодействовать.
-
Злоумышленник смотрит свою arp таблицу и находит в ней MAC адрес, соответствующий IP 192.168.1.1. По этому MAC адресу злоумышленник определяет производителя модема.
-
Зная производителя устройства, злоумышленник заходит на сайт производителя и ищет стандартный пароль для доступа к администраторской консоли, например admin:admin
-
В случае если пароль не был поменян пользователь логинится в root шеле и делает с модемом все, что душа пожелает.
-
В случае если пароль не подходит, злоумышленник переходит к пункту 1.
Варианты решения:
-
Естественно поменять стандартный логин и пароль для доступа к админке.
-
Поменять стандартный IP адрес внутреннего интерфейса.
-
Настроить MAC авторизацию для доступа к админке.
Популярность: 17%
Похожие записи:
Комментарии 14 | Теги: Hacks, Безопасность, Сети
16 Окт 2007 - 17:44
Ну а зачем подробную инструкцию «по взлому» выкладывать? о_О Кто знает – тот знает, а счас дети ломануться «хакать».
Можно и без инструкции предупредить…
16 Окт 2007 - 17:56
Проблема высосана из пальца. :) Ибо попасть на модем таким образом можно только в том случае, если и конечный модем – мост… А какие такие серьезные данные мы можем найти на модеме-мосте? Или что с ним такого серьезного сделать? :)
16 Окт 2007 - 19:12
Информация о рисках и уязвимостях ИС публикуется исключительно для того, чтобы эти риски снизить.
В приведенном сценарии намеренно опущен один важный шаг, без которого «дети хакнуть» Ваш модем не смогут. ;)
16 Окт 2007 - 19:13
Сделать можно все что угодно, зависит от целей злоумышленника.
И почему нельзя таким образом попасть на модем в режиме маршрутизатора?
16 Окт 2007 - 19:27
Михась, за 30 минут мне удалось получить доступ к 4 модемам.
Что можно сделать? Начиная от тупой порчи, переходя к использованию чужого трафика, заканчивая перешивкой модема на свой собственный дистрибутив (например debian), если кто знаком с MIPS
16 Окт 2007 - 19:57
=) Мухахахах =) Линкану ко я пожалуй )
18 Окт 2007 - 9:52
andruha
Нельзя потому, что для маршрутизатора уже есть разница между LAN и WAN, в то время как для моста такой разницы нет.
alex_krycek, будьте любезны, уважаемый, подробнее, пошагово, про использование чужого трафика в этой ситуации… :D :D :D :D
18 Окт 2007 - 9:53
andruha
пояснение: доступ из WAN на маршрутизаторы по умолчанию запрещен, а интерфейса 192.168.x.x на WAN’e нет.
18 Окт 2007 - 11:03
Михась, если вы являетесь представителем СЗТ, то самое время поумерить должностной кретинизм и внимать к написанному. Ваши пользователи могут реально пострадать и в этом не только их вина. Ваше показательное бездействие и тотальное игнорирование проблемы только усиливает ответственность за все происходящее в ваших сетях.
Пойдем далее. Огласите список неустранимых ограничений, связанных с конкретными спецификациями протоколов, сетей передачи и т.п., которые могут защитить пользователя от воровства трафика вышеописанным способом?
18 Окт 2007 - 11:10
alex_krycek, неприятно было пообщаться, всего хорошего.
Всем остальным так же. :)
18 Окт 2007 - 11:11
в смысле, всем остальным также всего хорошего. :)
18 Окт 2007 - 11:21
Аргументы подошли к концу?
18 Окт 2007 - 12:42
Имею подозрение, что Михась некомпетентен ;]]
07 Ноя 2007 - 2:50
Кстати, один из самых комментируемых постов. ;)