При разборе нескольких DDoS-атак на клиентов компании Incapsula было выявлено (https://www.incapsula.com/blog/ddos-botnet-soho-router.html), что данные атаки произведены с использованием нового ботнета, включающего более 40 тысяч маршрутизаторов для домашних и небольших офисных сетей. Первые атаки были зафиксированы в конце декабря, после чего затихли и возобновились в прошлом месяце.
Подавляющее большинство входящих в ботнет маршрутизаторов выпущено компанией Ubiquiti Networks и имеют проблемы с безопасностью, позволяющие из внешней сети получить доступ к устройству через HTTP или SSH. Так как многие пользователи не утруждают себя сменой параметров входа, атакующие воспользовались возможностью входа с использованием заданных по умолчанию логина и пароля для запуска на устройствах вредоносного ПО.
Кроме функций выполнения DDoS-атак, ботнет также включает в себя компонент для самораспространения, выполняющий сканирование сетей для выявления доступных через типовые пароли маршрутизаторов и установки на них вредоносного ПО. Координация активности ботнета производится через IRC. Так как после включения в ботнет устройства остаются уязвимыми, на них могут быть совершены другие атаки. В частности, в среднем на устройствах было обнаружено четыре набора вредоносного ПО, как правило это разные варианты троянов MrBlack (http://telussecuritylabs.com/threats/show/TSL20140926-05), Dofloo и Mayday, что позволяет предположить о наличии контроля над уязвимыми устройствами у разных групп злоумышленников.
URL: http://arstechnica.com/security/2015/05/researchers-uncover-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=42220
возможностью входа с использованием заданных по умолчанию логина и пароля для запуска на устройствах вредоносного ПО.
Просто разработчики еще не поняли, что 95% населения - ...
Просто разработчики еще не поняли, что маршрутизатор должен выходить с фабрики настроенным, turnkey, in the box.
Ога, и заменять мозги пользователя. Хотя вывешивать сервисы в WAN без явного желания пользователя - свинство, что ни говори.Впрочем, GM просекли фишку и будут преднастраивать вам АВТОМОБИЛИ - http://auto.onliner.by/2015/04/27/auto-11/ ... в долговременную аренду. Turnkey, some strings attached. Ну и конечно же все это гестапо - "для безопасности пользователя" :).
у Ubiquity исторически так - там многие сервисы "прибиты гвоздями" к WAN и неотключаемы, неостанавливаемы даже через CLI. часть вещей даже изьятие и редактирование стораджа(с выпаиванием или после манипуляций через консольный порт)не отключить. помогает только замена на OpenWRT и DD-Wrt. но ...зачем тогда их барахло? с более чем скромным железом и таким отношением. и да, постоянно выбирают наиболее иязвимые либы для реализации чего либо под прессом троллей-хомячков(или хакров в гриме)в соцстях.
в общем, вердит один: "не покупать".
к сожалению в РФ - этого г. установлено - МНОГО.
даже по правительственным контактам в школы(погуглим Enforta russia).
> у Ubiquity исторически так - там многие сервисы "прибиты гвоздями" к WAN
> и неотключаемы, неостанавливаемы даже через CLI.Так у них всегда была какая-то странная хрень вместо операционки. И большинство народа не являющегося гламурными дeбилами, купившими это по ошибке/для распальцов - сразу берут это под перепрошивку опенврт. Ну и вообще - это по идее околопровайдерское оборудование, откуда это у дубовых хомяков - вообще загадка :). "Права купил, а ездить не купил".
> их барахло? с более чем скромным железом и таким отношением.
У них обычно при заурядности проца тем не менее довольно могучее радио.
> в общем, вердит один: "не покупать".
Почему, покупать - но строго под перепрошивку опенврт. Тайваньцы же как обычно: железо неплохое, а софт - УГ. И поддержка УГ.
> к сожалению в РФ - этого г. установлено - МНОГО.
А покажете другое железо с хорошей RF частью? Чур микротики не предлагать - там еще более скотский в плане софта вендор.
Раз стоит пароль по умолчанию, значить и доступ из внешней сети тоже открыт по умолчанию...
На некоторых маршрутизаторах Ubiquiti стоят достаточно мощные процессоры, которые идеально подходят для ботнета...
Печально
> Раз стоит пароль по умолчанию, значить и доступ из внешней сети тоже
> открыт по умолчанию...
> На некоторых маршрутизаторах Ubiquiti стоят достаточно мощные процессоры, которые идеально
> подходят для ботнета...
> Печальноэто в EdgeRouter Pro -то "мощные" ? :) ха
даже с включенным оффлоадингом(чего вынос 90% типичных задач - требует у админа. равно как и настройка стэка "по фен-шую") - оно не фонтан.
а остальные коробки с проводами и без - тем более.
Не уточняется - досят через SSDP. Удивляет безразличие провайдеров...
> Не уточняется - досят через SSDP. Удивляет безразличие провайдеров...у нормальных провайдеров - оно в файрволе перманентно, уже на свичах(наряду с 13х, рядом 4хх портов и 25 и часть других низких)
Давно об этом писал, что каждый второй маршрутизатор со стандартным логином admin:adminТолько что проверил сетку, и вот вам, пожалуйста, видимо, TP Linlk грешит тем же самым, на старых моделях доступ к веб интерфейсу извне ... печаль...
Беспроводной Маршрутизатор серии N, до 150Мбит/с
Модель № TL-WR740N/TL-WR740ND
в интернете полно(сотни тысяч) устройств торчащих admin/admin..
Еще хорошо гадят роутеры с поддержкой upnp, их владельцы и не догадываются о том, что их новая ip камера(а то и целый DVR) уже доступна всем, а не внутри локалки...
А вы думали, откуда берётся home video? :)
> А вы думали, откуда берётся home video? :)Ну, с картинкой и звуком все ясно - а вот как там удаленно ракурс меняют, не подскажите? :)
Это монтаж. С нескольких точек камеры снимают + поворотные. Хотя хоум видео обычно сами и выкладывают в "закрытые альбомы", которые потом оказываются открытыми.
У вас такие познания в этой сфере... Мне интересно, зачем может захотеться снимать себя или согласиться чтобы тебя снимали на камеру? Зачем? Как? Пусть не рассказывают сказки про "ой".
> У вас такие познания в этой сфере... Мне интересно, зачем может захотеться
> снимать себя или согласиться чтобы тебя снимали на камеру? Зачем? Как?Интересно посмотреть "со стороны", деньги, нарушение табу, желание покрасоваться, дохрена причин.
> в интернете полно(сотни тысяч) устройств торчащих admin/admin..
> Еще хорошо гадят роутеры с поддержкой upnp, их владельцы и не догадываются
> о том, что их новая ip камера(а то и целый DVR)
> уже доступна всем, а не внутри локалки...С нетерпением ждем массового перехода на v6
>> в интернете полно(сотни тысяч) устройств торчащих admin/admin..
>> Еще хорошо гадят роутеры с поддержкой upnp, их владельцы и не догадываются
>> о том, что их новая ip камера(а то и целый DVR)
>> уже доступна всем, а не внутри локалки...
> С нетерпением ждем массового перехода на v6Жди-жди. На памяти твоих внуков, может, и дождетесь. Джва года, ха.
>>> в интернете полно(сотни тысяч) устройств торчащих admin/admin..
>>> Еще хорошо гадят роутеры с поддержкой upnp, их владельцы и не догадываются
>>> о том, что их новая ip камера(а то и целый DVR)
>>> уже доступна всем, а не внутри локалки...
>> С нетерпением ждем массового перехода на v6
> Жди-жди. На памяти твоих внуков, может, и дождетесь. Джва года, ха.За что же им такое наказание?
Подскажите, в России есть провайдеры, предоставляющие фаерволл, хотя бы на уровне "блокировать пакеты по ip/порту/протоколу"?
> Подскажите, в России есть провайдеры, предоставляющие фаерволл, хотя бы на уровне "блокировать
> пакеты по ip/порту/протоколу"?у корбины, на сколько я знаю есть фукнция отключения 25 порта наружу.
вот только самой корбины уже давно нет
> вот только самой корбины уже давно нетНо дело-то его живо.
Отключение 25 порта наружу от DDoS'а не спасет
В России NAT-ов больше чем. И на всех, или по крайней мере на большинстве, 25-й порт наружу закрыт.
У нас в городе вообще всё через нат по-умолчанию. Белый ип надо попросить и доплатить за него. Обычно доплачивают те, кто знает, зачем им белый ип.
Поинтересуйтесь, иногда оказывается, что у провайдера вовсю поддерживается IPv6, просто провайдер это никаки не афиширует (поскольку в поддержку набежит масса юзеров, желающих получить и настроить этот самый IPv6, даже не зная, зачем он им).
> Поинтересуйтесь, иногда оказывается, что у провайдера вовсю поддерживается IPv6, просто
> провайдер это никаки не афиширует (поскольку в поддержку набежит масса юзеров,
> желающих получить и настроить этот самый IPv6, даже не зная, зачем
> он им).Тестировали в Билайне v6, но дальше тестов так и не ушло.
У Билайна есть файрволл в личном кабинете, но как он работает и работает ли вообще не знаю
> Обычно доплачивают те, кто знает, зачем им белый ип....или те, кого задолбало что везде перекрыт кислород. Потому что соседи на том же айпи вирей подцепили, так что этому айпи факами машут все, от втентакли и гугли до глайнов в ирц.
Интересно, когда случится полное избавление мира от провайдеров.
Ведь теоретически, если не выбрасывать старыен маршрутизаторы, их можно использовать для прямого объедениения с соседями.
Сначала подъезд, дом, потом связь между домами и районами, затем связь между городами.
> Интересно, когда случится полное избавление мира от провайдеров.Ты не перепутал с другим словом? Не избавление мира от правительств?
> Ведь теоретически, если не выбрасывать старыен маршрутизаторы, их можно использовать для
> прямого объедениения с соседями.Теоретически можно и обноски донашивать за дворником.
> Сначала подъезд, дом, потом связь между домами и районами, затем связь между
> городами.И наступил коммунизм?
зачем это провайдеру?
Есть такие провайдеры :) У нас в персональном кабинете (для клиента) определены наборы правил для подобных случаев, можно ставить "полегче" или "потяжелее".
Там не заблокировать SSDP. Фаерволл билайна скорее помеха, реальной пользы от него никакой. Тема про SSDP известна ниодин год, как и десятки других атак. В фаерволле билайна до сих пор нет возможности их блокировать.
Наш Белтелеком для ADSL, XPON и WIFI использует PPPOE так что, я думаю, в админку не зайти из вне. Хотя не уверен
> Наш Белтелеком для ADSL, XPON и WIFI использует PPPOE так что, я
> думаю, в админку не зайти из вне. Хотя не уверенНу эт смотря как настроить, какая разница pppoe или нет?
> Наш Белтелеком для ADSL, XPON и WIFI использует PPPOEА какая разница? Роутер может вывесить админку например на 0.0.0.0 и она будет на всех ифейсах, в том числе и PPP-шном.
>> Правильно заголовок должен звучать так:
> дурака не спасет даже линукс.Ну почему же сразу дурака? Покупатель приобретает маршрутизатор на котором написано "готов к использованию в таких-то сетях", ставит его и видит, что он действительно готов и сразу заработал. Если бы производители маршрутизаторов озадачились проблемой ботнетов, то их продукция не начинала работу пока стандартный пароль не изменен на достаточно сложный. Но им же это не надо, вот и результат.
Вы похоже единственный в треде кто заметил, что изначальная проблема в недостатках продукта.ИМХО если пользователю роутер продают как кофемолку - глупо ожидать или требовать, чтобы пользователь озадачивался вопросами безопасности.
> Вы похоже единственный в треде кто заметил, что изначальная проблема в недостатках
> продукта.
> ИМХО если пользователю роутер продают как кофемолку - глупо ожидать или требовать,
> чтобы пользователь озадачивался вопросами безопасности.Фишка в еще в том, что продают как кофемолку то, что по факту на кофемолку не тянет. Недавно брал роутер, на коробке написано (в трех местах) "готов к работе с ipv6". Принес домой, а там:
1. Обновите прошивку (к счастью одной кнопкой)
2. Установите компонент ipv6
3. Настраивайте через cli по telnet'у
Впрочем, у этого роутера предложение поменять пароль вылезло сразу же при подключении к веб-интерфейсу.
> Ну почему же сразу дурака? Покупатель приобретает маршрутизатор на котором написано "готов
> к использованию в таких-то сетях",Ну и что там на Ubiquiti написано? Учитывая что они в основном оборудование для беспроводных ISP позиционируют...
>> Ну почему же сразу дурака? Покупатель приобретает маршрутизатор на котором написано "готов
>> к использованию в таких-то сетях",
> Ну и что там на Ubiquiti написано? Учитывая что они в основном
> оборудование для беспроводных ISP позиционируют...это другой сектор устройст, которые они продают для backhaul убогих инфраструктрно микро-провайдеров в северной америке. вроде airfiber и прочего.
включая варианты для лицензируемых бэндов.
остальное у них - сугубо потребительские устройства, бытовуха, включая камеры, сенсоры, роутер, свичи.
Там прошивка, которую никто не может заменить без разрешения производителя.
А производитель отказывается закрывать баги, которые находят энтузиасты.
> Выявлен крупный ботнет из незащищенных маршрутизаторов на базе GNU/LINUXТам же, по идее, BusyBox/linux
> Там же, по идее, BusyBox/linuxМикрософтовские боты не разбираются в таких мелочах.
В моей молодости провайдер банил комп, если обнаруживал с него DOS или спам или любое другое присутствие вирусов. Чтобы получить интернет обратно, было необходимо почистить комп и продемонстрировать техподдержке. И был соответствующий пункт в пользовательском соглашение о запрете спама.Сейчас такого и близко никто не делает, все такие крупные. Дешевле стать рассадником вирусного трафика, чем слегка напрячь техподдержку. Давно уже пора банить провайдеров за пользовательский дос с их диапазонов. Тогда они быстро начнут разбираться с этой проблемой.
Услуга предоставляется на определённых условиях. Не нравится провайдер, который требует приличного поведения - до свиданья, придёшь, когда научишься себя контролировать.
Можно, конечно, прийти в ресторан, сидеть за столиком и пускать газы из кишечника. А когда выставят за дверь - гордо заявить, что найдёшь себе другой ресторан, где можно пукать в зале.
>В моей молодости провайдер банил комп, если обнаруживал с него DOS или спам или любое другое присутствие вирусов.перебанил всех абонентов и закрылся?
Функционировал пять лет. После этого его поглотили.
> Функционировал пять лет. После этого его поглотили.вирусы? 8-)
Нет.
Поддерживаю, как минимум конечный провайдер мог бы запретить трафик с чужих IP.
> Поддерживаю, как минимум конечный провайдер мог бы запретить трафик с чужих IP.Эмм... что?
он или о RFP(RFC3074 с вариациями и развитием) или о дефолтной блокировке не-связанного траффика снаружу, своим клиентам для проваедеров.у некоторых - действительно такое есть. но это в основном мобильные провайдеры.
> Поддерживаю, как минимум конечный провайдер мог бы запретить трафик с чужих IP.После чего у клиентов помрет или начнет фигово работать половина программ, начиная от торента и заканчивая VoIP.
>> Поддерживаю, как минимум конечный провайдер мог бы запретить трафик с чужих IP.
> После чего у клиентов помрет или начнет фигово работать половина программ, начиная
> от торента и заканчивая VoIP.Вот и я о том же...
> и заканчивая VoIPВот! Сплошные плюсы. Тут и продажи «телефонных линий» в гору пойдут.
> Вот! Сплошные плюсы. Тут и продажи «телефонных линий» в гору пойдут.Да вон нынче МГТС с ножом к горлу от них избавляется. Под телефонные линии надо целое здание содержать. А для VoIP - пхнул пару роутеров в подвал/на чердак - и порядок! А здание можно загнать, с неиллюзорным профитом. Не говоря о том что эти бельевые веревки прооженные во времена дедушки Ленина в канализации - давно сгнили, а нести расходы по их замене при отсутствии перспектив никто не хочет.
Так что нынче ровно наоборот - народ добровольно-принудительно избавляют от классического PSTN, заменяя его на роутер с SIP, который еще PSNT-gateway до кучи.
Надо всем маршрутизаторы от apple брать - там ни http, ни ssh нету
Не нужно. Они только ADSL умеют, нафиг-нафиг.
> Надо всем маршрутизаторы от apple брать - там ни http, ни ssh нетуНамного проще и дешевле взять кирпич. Там тоже ни http, ни ssh нету. И пользы примерно столько же.
Всё-таки хомячков надо наказывать за такие дела. Как только начнутся санкции к абонентам, те начнут понимать, что надо либо самому уметь работать с апппаратурой, либо требовать от провайдера, который выдаёт модем, безопасных настроек и оговаривать это в договоре, чтобы в случае проблем можно было перевести стрелки.
На самом деле всем. Если Вы пока этого не понимаете - не огорчайтесь у Вас ещё всё вперели.
> Как только начнутся санкции к абонентамКак только появятся инструменты - их начнут использовать против вас, например поднимут плату за использование торрентов, михалков протащил антипирацкие сборы с носителей, а конституция, свобода слова и выбора и прочие бла-бла как оказалось пофиг.
> требовать от провайдера
Ну и контролируя ваш трафик он вам туда навстраивает своей рекламы, которую делает какой-нить васек на флэше, и сосбственно, эта реклама и сожрет, то электричество и прочие ресурсы которые будут сэкономлены на защищенном роутере, причем вирусописатели стараются не палится и оптимизировать свои творение, а васек тот за 15000 сляпает залипуху от которой ваш комп застрелится.
Профита ровно 0, а вот вреда будет over9000
Можно, в теории, законодательно наехать на производителей роутеров и заставить их делать уникальные пароли, но документация потерялась, а наклеечка стерлась, выкидывать? да и на фоне лоббирования спецслужбами слабых защит, бэкдоров, запретов анонимайзеров и шифрования, это чертовски маловероятно.
ИМХО, этот ботнет меньшее из зол, пусть живет, а вот наши чинуши держались бы подальше от интернета, а то облагородят до очередного "рупора" который будет вещать только пути^W^W правильные твиты.
Паспортизация ничего не решит, всегда можно обойти столь громоздкую схему.
Кроме того, напомню: вирусы-вымогатели сплошь и рядом требуют положить бабло на конкретный кошелек или даже номер телефона. Или отправить платную SMS-ку. Найти того, кто получит эти деньги, куда проще, чем автора ботнета, однако что-то не слышно про раскрытие таких дел.
А оператор ботнета - вообще сервер. Замучишься связь доказывать.
НЕ реально.Никакой ЦОД не вывезет такого кол-ва подтверждений валидности сертификата, которое понадобится для каждой кружки кофе в автомате.
Будут доверенные ЦОДы, будут упрощенные алгоритмы, будут утечки и эпик фэйлы.
Это кроме дыр в ssl.
> Нужны уголовные наказания за кражу и махинации с электронными паспортами.
Да когда это останавливало, пусть еще найдут, у нас спецов наберется если сотня хорошо, а где взять десятки тысяч для работы в структурах безопасности, слепать из хомяков за полтора месяца курсов, ага, они загнуться или научатся писать отписки.
> Не нужно бояться нового.Как останетесь с карточкой (или чем поновее), но без денег (с заблокированным счётом) -- так и поговорим о серебряных пулях да осиновых кольях.
> Я вообще за отказ от бумажных денег в пользу электронных с автоматическим
> взыманием налогов в момент совершения транзакции.Поздравляю, ты только что изобрел Bitcoin. И да, ты никогда не думал что мне не надо деньги которые эксклюзивно контролируются какими-то лохотронщиками? Это дает почву для кидалова обладателей денег и навязывания им совершенно произвольных правил теми кто эмитент. Хотя может ты хочешь развить бартерные отношения?
> Новые технологии - новые возможности для преступников.
"Компьютеры создали множество новых проблем".
Но с деньгами фокус вот в чем: их ценность основывается в основном на желании ими оперировать. А в упомянутой схеме по сравнению с обычными деньгами появляются какие-то ЛЕВЫЕ ХРЕНЫ, которые однако получат 100% возможность указывать как можно и нельзя тратить деньги, не говоря уж о кидалове в любой момент (это в принципе и с бумажными работает, но электронных фантиков можно эмитировать неограниченное количество за минимальное время). А зачем такие деньги вообще нужны? Чтобы государство могло оббирать граждан по своему усмотрению и жестко диктовать им на что можно тратить деньги?
Тут мы понимаем что имел в виду Беня Франклин, говоря про свободу и безопасность. Прости, чувак, но мне не хочется чтобы меня имел и криминалитет в погонах и криминалитет без погон.
> В основе денежной экономики лежит принцип постоянного увеличения количества денег путём
> эмиссии, отсюда её инфляционный характер.В основе лохотрона, кидающего всех обычных участников в пользу нескольких толстых котов, у которых есть доступ к печатному станку. Еще есть всякие финансисты, хоть и не имеющие такого доступа, но играющие на косвенных факторах типа колебаниях курсов - они тоже неплохо пристроились. И неспешно оббирают всех остальных, т.к. если где-то прибывает, значит где-то убывает. Не напрямую - так косвенно, через увеличение денежной массы.
Вот например в РФ - государство провернуло весьма конкретный финт ушами, в очередной раз беспринципно обобрав собственное население. Вздув курс доллара до >50 RUR и потом не став его возвращать обратно и принимая всяческие меры чтобы этого не случилось.
В результате население с рублями лишилось около половины денег, буквально просто ничего не делая. Как можно "без ножа зарезать", так можно и "без пистолета ограбить". И по этой причине эксклюзивный контроль над оборотом денег - очень плохо. Появляется почва для кидков и злоупотреблений. А государство по сути становится чем-то средним между рабовладельцем и вымогателем.
> В основе Bitcoin лежит принцип постоянного количества денег, отсюда её дефляционный характер.
Вообще, там асимптотическая функция и по началу оно инфляционное. Вот потом - эмиссия замедлится и будет ближе к дефляционной модели. Насколько это хорошо или плохо... никому не известно, т.к. такого еще ни разу не было.
> В мире нет ни одной (!) страны с дефляционной экономикой.
Наверное, такие же как ты зудели в свое время что "в мире нет ни одного электровоза! Нафига вся эта куча железа?!" (глядя на то как собирают первый электровоз).
> И ещё не факт что такая экономика конкурентноспособна.
Это не экономика, это - средство для платежей. Одно из. Имеет как положительные, так и отрицательные стороны. Но вот одна положительная сторона - в том что правила определяются сетевым консенсусом большинства участников. А не наглежм пары особо ретивых толстых котов, способных одним махом обобрать всех и вся.
> При инфляции деньги сгорают, что вынуждает инвестировать их в бизнес.
С другой стороны, вот например в РФ у населения менее чем за год сгорело примерно половина денег на ровном месте, при активной помощи правительства, решивших свои проблемы за счет населения. Это какой должен быть бизнес, чтобы давать такой навар? И сколько видов бизнеса может угнаться за такой инфляцией?
> При дефляционной экономике деньги дорожают, что делает накопления выгоднее
> даже низкорискованных инвестиций.С другой стороны - как видим, в инфляционной экономике у тебя могут отжать половину денег за считанные месяцы. А оспорить можно в спортлото. Хотя биржевые спекулянты - одобряют полеты курсов чартерными рейсами, но ... но ... но биржевые спекулянты ничего не производят, кроме собственного профита. Значит если у них профит - у остальных стало быть автоматически получается уход в минус :)
Ну, сгенерирует ваш провайдер UID и добавит его в ваше соединение с VPN-сервером.
Что бы вы дальше ни делали с этого сервера - провайдер уже ни при чем.
Это первый же вариант навскидку.
Более сложные схемы, когда команды отправляет бот от имени зараженного пользователя, даже рассматривать не вижу смысла. Технических средств наплевать на электронные паспорта даже больше, чем наивных людей, полагающих, что от них будет какая-та польза пользователям. Количество ненаивных людей, знающих, кому и какая конкретная польза может быть от такой системы, не берусь определить даже примерно...
> мы против паспортизации, но за интернет без бот нетов, спама и вирусов.Да. Нет.
Мне глубоко фиолетовы вирусы и ботнеты, никогда не пользовался антивирусом, но никогда на побывавших у меня флешках или принесенных от меня файлах никто ничего не находил - кнопки надо правильно давить.
Ботнеты не волки, они санитары леса. Даже если их целью станет опеннет или какой-нибудь другой малоизвестный ресурс которыми я пользуюсь, я это переживу, и те ..ынцать тысячь человек, что пользуются им кроме меня тоже переживут, про это даже в новостях не скажут, толи дело всякие там взамыкании или твиттеры - гипертофированные генераторы бессмысленного контента, таких жирных индюков грех не гриле не поджарить.
А если серьезно, то это естественный процесс противодействия глобализации, который характерен не только для ит, например, приходит на почту тетя с 300 (тремя стами) заказными письмами и начинает их отправлять, каждое оплачивая с копией чека, это занимает пару часов, вся очередь за тетей может одыхать, вообще работа почты парализована, если маленькое отделение, или пара идиотов на дороге утречком притруться едва оцараповшись, перегородив движение, больницы, детские сады, банки - очереди, очереди, только за кредитами всегда свободно. Малейший сбой - задержка, малейшая задержка - пробка, которая создает задержки на других направлениях, что-то можно зарезервировать, что-то нельзя, процесс идет, но чертовски медленно. Куда там в интернет с такими скоростями, какая паспортизация, какие поиски, каких создателей ботнетов, наше правительство свои миллиарды не может контролировать, своих губернаторов, а вы говорите об интернете, это анриал полный.
Вы привели примеры итальянских забастовок.Реальность другая.
Люди соглашаются на то, что их могут сажать в тюрьмы на N лет, чтобы получить возможность наказывать т.о. преступников.
Люди соглашаются вложить деньги в проект, чтобы получить возможность заработать ещё больше денег.
Люди соглашаются передать государству (в т.ч. чужому; напр. для получения визы) свои личные данные, информацию о финансах, здоровье и пр. в обмен на оказание услуг.
Во всех случаях формула одна: отдаётся нечто небольшое чтобы получить то же самое, но больше/лучше. Деньги в обмен на деньги, свобода - на свободу, права - на права.
И чем больше у вас ресурса (сетевой свободы напр.), тем легче пожертвовать её частью.
> Реальность другая.Реальность в том, что электроника в любых вариациях не гарантирует отсутствия утечек, в том, что масштабность пропорциональна кол-ву персонала и узлов подверженных взлому и обратно пропорциональна надежности. Люди могут согласится ходить на руках, но это никак не гарантирует, что они не промочат ноги. Даже меняя колбасу на бумажные деньги никто не застрахован от подлога, а когда посередине вырастают десятки посредников ввиде провайдеров, драйверов, операционных систем, коммутаторов удостоверяющих центров, вспомогательных служб, контролирующих служб система превращается в ад.
Свобода есть понятие абсолютное, вы либо свободны, либо нет, нельзя быть свободным на 43%, вы не можете поменять 7% свободы на 30% времени затрачиваемого на оформление справки. Вы можете вообще никогда не оформлять эту справку, а вот какой-нибудь вася хакнет больничку и выложит данные и ваша жена узнает, что пока была беременны вы лечились там от гонореи, ваша свобода в том, что вы можете ходить налево, вы можете скрывать свои доходы от правительства и даже можете насиловать детей, но как только вас привязывают к номеру паспорта/счета, свобода появляется у системы, а ваша заканчивается, кто-то может ходить на лево и лечится под вашим именем от гонореи, кто-то может насиловать детей и совершать "странные" покупки от вашего имени в ближайших магазинах, у вас нет свободы доказать что это был кто-то другой, что система врет, на этот счет есть целое произведение и кино по нему снятое, хотя даже не одно.
Судебная система тоже ошибается, и систематически ошибается, но у любого есть право обжаловать решение, есть право отклонить привлеченного эксперта, а систему отклонить не получится, т.к. она будет абсолютной как и ваша свобода когда-то.
> Наказывать нужно виноватых, а не тех, кого проще найти. Виноват хозяин бот
> нета - найди его, докажи его вину, и накажи.Виноваты как ни странно все.
- Производители роутеров, вывешивающих общедоступную халяву - виноваты в наличии халявы, ибо дефолты решают. Это создает почву для такой ситуации.
- Хомяки виноваты в своей тyпизне и в том что их железо умнее владельцев и живет своей жизнью.
- Ботнетчики виноваты тем что киберкриминалы.> Без паспортизации интернета сделать это весьма затруднительно.
Ты конкретный дeбил. А ты понимаешь что паспортизация идет лесом после первой же прокси? А если проксей 5 штук в цепочке, из вот этих самых роутеров - да удачи тебе найти кто там на самом деле из них был ботнетчик, а кого просто поломали. Тем более что с учетом МегаЗащищенности беспроводных протоколов, особенно WEP и WPS - закончится все тем что в роли "опасного ботнетчика" будут ловить сотни Вась. Которые с трудом отличают холодильник от компьютера и вообще, "виноваты" только тем что нубы в безопасности сетей и их сетка живет своей жизнью, благодаря безбашенности производителей девайсов.
> И вот здесь диллема из серии про дудочку и лукошко: мы против
> паспортизации, но за интернет без бот нетов, спама и вирусов.Что характерно, те кто готов пожертвовать свободой ради безопасности - не заслуживают ни свободы, ни безопасности. Так что дилемма сформулирована давно.
> В реальности чтобы добиться соблюдения законов нужен жёсткий контроль над
> легальных способов и обязательные наказания для нелегальных.Поскольку к каждому по фрицу с автоматом не приставишь - толку будет ноль. Лошье и халява является лошьем и халявой что с паспортом, что хоть там как. Бьют не по паспорту, а по морде. Ну или в данном случае - по роутеру. А то что болван типа тебя будет отдуваться за чужие пригрешения - ботнетчиков интересует в последнюю очередь. Да и законотворцев по идее тоже. Если ты не прошел техобслуживание, у тебя отказали тормоза и ты попал в ДТП - это ты виноват, а не кто-нибудь еще. Ну вот и с роутерами так же. И уж при жестком контроле взъе...ть тебя за несекурность твоей сети вообще милое дело.
Я сталкивался с такой ситуацией когда был моложе, - хотел к себе домой попасть через dyndns, а попал к кому-то, и после нескольких попыток ввода "моего" пароля ввел админ/админ и вуаля. Позвонил в тп долго объяснял барышне что-да-как, детально как "украсть" трафик имея логин/пароль pppoe которые свется на роутере, ну и послан был, вежливо, но далеко. Оставил конечно послание в названии вайфая, только толку.Сейчас, проработав в телекоме уже несколько лет, нарастил "броню" от всяких - вы варуете наш трафик, вы режете нам скорость и прочих ля-ля, из таких крикунов реально уходят единицы, остальные наоравшись продолжают пользоваться и платить, а все потому, что их устраивает цена/качество. Вместо отчетности периодически проводим показательные "порки" особо крикливых, которые на начальство выходят или для поднятия своей самооценки)), у последнего корпклиента такого оказалась вайфайка в здании спрятанная, через которую торренты сжирали весь инет, эдакий "привет" от их старого админа, ну и как бы год почти выноса мозга нашей тп, наш аудит их сети, что вообще за гранью должностных инструкций, полномойчий и здравого смысла.
И как хомячёк будет админить роутер если прошивку можно ставить только с оф. сайта?
летов? Егор Летов?
Данная проблема появилась по по крайней мере 2 причинам:1. Производители хотят сделать настройку для пользователя простой и непринужденной. Поэтому запросить у пользователя обязательную смену пароля, это лишний раз надоедать ему, а это как некоторые считают минус для производителя. Производители тоже не должны лукавить, ведь зачастую смена пароля это только небольшая мера по защите от несанкционированного доступа. Поскольку очень часто в прошивке производителя есть уязвимое ПО или даже бэкдор, используя которые пароль знать не обязательно.
2. Пользователи все же должны читать инструкцию и вникать в то как работает это устройство, хотя бы минимальные знания принципов работы. Перестать воспринимать интернет утопическим местом, где на каждом сайте светит радуга, и розовые единороги стоят на страже безопасности интернета.
Поэтому если каждый будет выполнять то что должен таких инцидентов станет меньше
> 1. Производители хотят сделать настройку для пользователя простой и непринужденной.Некоторые производители просто генерируют случайные пароли (для паролей по умолчанию) и вкладывают в коробку. Как раз на случай, если пользователи не знают или ленятся, или ламеры.
Которые будут поменяны сами_знаете_на_что в первый же день.
Р. Фейнман рассказывал о большом боссе из Манхэттенского проекта, который заказал себе супер-сейф, с большим трудом впертый в его кабинет, и молодом слесаре, случайно обнаружившем, что босс оставил ключом к этому супер-сейфу заводскую комбинацию 25-50-25.
Это было полсотни лет назад, когда компьютеры еще были механическими... и важность секретности все вроде бы хорошо понимали...
Хитроумие спецслужб - это байка, специально распространяемая сотрудниками спецслужб из страха остаться без работы или быть уволенными из-за несоответствия занимаемой должности.
Фейнман, кстати, добавляет, что он после того случая прошел по другим кабинетам и проверил все сейфы, какие смог, на заводской пароль. Вскрыл каждый пятый...
У меня другие сведения.В 1960-х была идея создать стратегический бомбардировщик с атомным двигателем, способный летать годами. Называется такая вундервафля "атомолёт".
США и СССР вступили в военную гонку. Узким местом оказался вес атомного реактора, в результате США решили отказаться от проекта.
В это время в журнале "Техника молодёжи" выходит статья про гражданское применение атомолётов, написанная ведущими советскими инженерами. Среди прочего они упоминают проблему веса реактора, но говорят, что они её изящно технически решили.
Шпионы, посланные разобраться, сообщают, что самолёт или построен или вот-вот будет построен. США проигрывает гонку. Нужно активизироваться. Программу атомолёта возродили, поставили цель "любой ценой". Активизировали усилия шпионы, начался активный найм новых шпионов из числа советских инженеров и военных чинов.
Спустя пару лет по всем фронтам получено подтверждение: создать атомолёт нельзя, СССР пустил дезу и самолёта у них нет даже в планах.
А что СССР:
- отследили активизировавшихся шпионов; часть закрыли, часть перевербовали
- внедрили своих, которые ещё многие годы кормили США дезой
- т.к. проект атомолёта в первый раз был закрыт, то получить его данные оказалось проще, чем данные открытого проекта; благодаря амеровских наработкам съекономили миллионы рублей
- атомолёт был таки построен, правда проблема веса так и осталась нерешённой и он совершил только несколько вылетов со снятыми листами радиационной защиты. После чего пилотов тщательно обследовали.В Скайриме один из NPC, годами скрывавшийся от властей, говорит: "Если думаешь что я параноик, значит ты ещё не встречал NPC".
А в результате - где СССР, а где загнивающий запад. Вот тебе и скайрим...
> Пользователи все же должны читать инструкциюнесмещи, ты все ясно написал - Пользователь
это как в фильме "Трон":
- Назови себя програма !
- Я, я пользователь.
4 ботнета дрались за 300мгц процессор роутера.
не, не так,
300MHz процессор вашего роутера может поддерживать до 4х ботнетов одновременно ;)
> 4 ботнета дрались за 300мгц процессор роутера.а за тетрис и калькулятор сколько ?
> а за тетрис и калькулятор сколько ?Дык ты выпусти их в сеть - узнаешь. И вообще, то что "десять старушек - уже червонец" - некоторые вообще просекли задолго до ботнетчиков.
Смотрел я фаерволл билайна, ни NTP, ни SSDP DDoS через него не заблокировать. Хотя казалось бы чего проще - заблокировать трафик по 1900 порту. Но даже тех. поддержка послала куда подальше.
Протокол SSDP – основа протокола обнаружения Universal plug-and-play. На сегодняшний день его используют роутеры и сетевые устройства. С помощью данного протокола мощность нападения усиливается в 30,8 раз. Жертвами нападений с использованием SSDP стали Дания (7,4%), США (19,1%) и Франция (10%). Важно отметить, что протокол использовался в DDoS-атаках лишь трижды во втором квартале 2014, но в четвертом интерес хакеров к нему значительно возрос. Результатом стали 29506 атак с SSDP-усилением.
Тут и ботнет строить не надо, дело нескольких часов просканить ip адреса, и у любого школьника будет оружие, способное подпортить бизнес любой компании. ИМХО, провайдеры должны следить, чтобы локальные протоколы не вылезали наружу.
> ИМХО, провайдеры должны следить, чтобы локальные протоколы не вылезали наружу.Локальные протоколы, ога. HTTP, SSH, ... :)
HTTP и SSH не локальные. Локальные протоколы - NetBIOS, UPnP, включая SSDP, который используют в обсуждаемом DDoS'е. И кстати, многие здесь заблуждаются, для использования этой уязвимости не нужен доступ в web панель роутера.
У меня есть список с прошлой атаки на 800 тыс. адресов :)
Сенсация прям! Этих "незащищенных" устройств любых марок и производителей, полный Shodan. Мир тупеет и кто-то обязательно этим пользуется. Всем admin/admin, пацаны! ))) / Зы. Кто там вякал про Линукс? Да устройства на Линуксе. Но управляются зачастую из под венды что как-бы намекает откуда главная уязвимость.
Тут уязвимость типа "человеческий фактор", злоумышленники юзают тупость вендо-юзеров. Линукс не виноват что ты не меняешь admin/1234, как квартира не виновата если её не закрывают на ключ. И открытый код тут не причём, в нём в отличие от закрытого уязвимости быстрее находят и исправляют(не как мелкософт месяцами не выпускающий исправления у дырам вышедшим из многолетнего привата).
"уязвимость" тут скорее - человеческий фактор а не платформа.
конкретные менеджеры конкретной компании - зажимающие бабло на латание фирмвари и поэтому они у них - месяцами не патчатся, все время существования компании.
а нех радоватся стимом, админы линукс так обленились что пароль не меняют, а гамать идуть в онлайне
А теперь представьте себе те времена когда даже мусорный бак будет торчать в интернете и иметь default пароли.
> в интернете и иметь default пароли.Ну... в эфире нашлось 3 "мусорных бака" с характерным названием "default". Судя по их скорости работы, торенты через них качает весь район.
Я бы, как реалист, искал решения, при которых повышенный интерес миллионов мусорных баков к твоему сервису не становился для него проблемой.
К сожалению, я реалист-теоретик ;)
Это камень в огород провайдеров и тех, кто производит роутеры, в инструкции должно быть большими красными буквами написано "ПЕРЕД ИСПОЛЬЗОВАНИЕМ СМЕНИТЬ ПАРОЛЬ", или как делают некоторые модели - после первого логина заставляют в обязательном порядке поменять пароль от веб-интерфейса.
> Это камень в огород провайдеров и тех, кто производит роутеры, в инструкции
> должно быть большими красными буквами написано "ПЕРЕД ИСПОЛЬЗОВАНИЕМ СМЕНИТЬ ПАРОЛЬ",
> или как делают некоторые модели - после первого логина заставляют в
> обязательном порядке поменять пароль от веб-интерфейса.ИМХО, это больше в огород пользователя, они инструкций не читают. Я предлагаю ввести обязательное получение прав на доступ в Инет. И с 18 лет :)
>заставляют в обязательном порядке поменять пароль от веб-интерфейса.Ну поменяют его на qwerty или 12345, что секурнее будет? Давно ж сказано - если чел идиот, то это всерьез и надолго.
SSDP уязвимость [u]не требует доступа в web панель роутера[/u]!!! Меняйте, не меняйте, вас это не спасет. Автор темы не акцентировал внимание на этом моменте и пошло массовое заблуждение. Причина в уязвимости светящегося наружу уязвимого UPnP, а не web панели с логином и паролем по умолчанию.