Botnet w Torze.

Napisałem dziś na µblogu, że mam dylemat. I podałem tego linka do bloga projektu Tor. Ostatnio zajmowałem się czym innym i zupełnie przegapiłem opisywany gwałtowny wzrost użytkowników Tora. Dziś zagadka została wyjaśniona – winny jest botnet, który korzysta z Tora do zarządzania węzłami (dobre źródło, po polsku i blog ogólnie ciekawy). Mój dylemat polega na tym, że w chwili obecnej 80% węzłów Tora stanowią komputery zombie wykorzystywane do ataków DDoS, wysyłania spamu itp., a ja nie chcę pomagać spamerom/abuserom.

Jasne, wiadome było, że nie tylko do szczytnych zastosowań Tor służy, ale do tej pory nie miałem żadnych konkretnych, jednoznacznych danych. Teraz je mam.

Sytuacja jest bardzo niekorzystna dla projektu, o czym autorzy nie piszą. Botnet prosto można rozbroić np. wyłączając mu komunikację. Czyli – na poziomie operatora ISP – np. blackhole’ując wszystkie node’y Tora (pośredniczące, czyli relay nodes; lista węzłów wyjściowych i pośredniczących jest publiczna, o czym pisałem we wpisie nt. walki z Tor). Chyba, że botnet jest naprawdę sprytny i korzysta z bridge node’ów, ale coś mi mówi, że raczej nie. Poza tym, zablokowanie – albo przynajmniej drastyczne utrudnienie – dostępu do informacji o bridge nodes też nie jest specjalnie trudne dla ISP…

Twórcy Tora są więc w trudnej sytuacji. Z jednej strony projekt powstał dlatego, że chcą zapewnić swobodną komunikacją. Z drugiej – jeśli nie będą interweniować i nie wyłączą w jakiś sposób botnetu, to istnieje ryzyko, że cała sieć Tor stanie się obiektem ataku jako wspierająca botnet.

Póki co, mój dylemat rozwiązałem tak, że drastycznie zredukowałem pasmo na moim relay node. I czekam na rozwiązanie sprawy. Jeśli trend się utrzyma, nie wykluczam wyłączenia węzła w ogóle.

PS. Jest jeszcze też oczywiście spiskowa teoria. Wszystko to dzieło wspierających kontrolę użytkowników i obywateli i zemsta za dekonspirację PRISM.

Niebezpiecznik shackowany.

Wpisu miało nie być, bo i mało newsowe, i wszyscy już pisali newsy, i w sumie żadne wydarzenie godne uwagi, tak naprawdę. Ponieważ mój komentarz nie przeszedł przez moderację na niebezpiecznik.pl (chociaż moim zdaniem jedyny punkt regulaminu komentarzy, który mógłby naruszać to: są próbą (krypto)reklamy innego serwisu; tyle, że nie), a cenzury nie lubię, pozwolę sobie zamieścić go tutaj w takiej formie, w jakiej widzę go w mojej przeglądarce, z której dokonywałem komentarza:

Twój komentarz pojawi się niebawem (po akceptacji przez moderatora)

Jak już jest napisane w pierwszym komentarzu, wybrnięcie ładne, ale… Odnosicie się tylko do technicznych aspektów. Wiadomo (i pisaliście o tym), że włamanie może nastąpić. Nawet statyczną stronę można podmienić, żadnych super danych u was nie ma (login i hasło – zapewne losowe – admina, trochę IP, trochę maili userów, być może niezamieszczone komentarze i tyle). Zresztą sam atakujący o tym pisze. To, co ciekawe w tym wszystkim, to dlaczego wy. Czy jest przewidywany jakiś komentarz do części merytorycznej, czyli części drugiej z pastebin?

Czy zarzuty są zasadne? Każdy oceni sam. Dla ułatwienia przegląd polskich serwisów dot. bezpieczeństwa http://zaufanatrzeciastrona.pl/post/wielki-przeglad-polskich-serwisow-z-branzy-it-security-czesc-1/ wraz z aktualizacją http://zaufanatrzeciastrona.pl/post/co-nowego-slychac-wsrod-polskich-serwisow-poswieconych-bezpieczenstwu/

Tak chciałem napisać. Ponieważ nie widzę już oryginału na pastebin.com, a się do niego odnoszę, tu kopia treści, którą atakujący niebezpiecznik.pl zamieścili na pastebin (tu wazelina dla mnie za zrobienie kopii, ale po tym jak po trzech dniach miałem niejaką trudność ze znalezienia reklamy Heyah z Leninem, robię kopię wszystkiego, co potencjalnie może odparować w ciągu najbliższych paru dni – w końcu po coś te pojemne dyski są, c’nie?).

Żeby nie przedłużać: uważam, że niebezpiecznik.pl daje radę PRowo (nawet bardzo; to też jest ważne), ale merytorycznie… jest to jakiś agregator, który warto mieć w czytniku, jeśli nie chce się mocno przegapić oczywistej popularnej dziury i tyle.

Dlaczego taki tytuł wpisu i dlaczego nie miałem racji pisząc w komentarzu, że super danych nie ma można przeczytać we wpisie Niebezpiecznik.pl hacked.

0-day w Linksysie ma szerszy zasięg czyli problem z UPnP dla Broadcom..

Zgodnie z wcześniejszą zapowiedzią firma DefenseCode opublikowała szczegóły nt. niedawnego 0-day na routery Linksys. Okazuje się, że chodzi o implementację UPnP w firmware Broadcom i – jak można się spodziewać – w takiej sytuacji podatnych jest znacznie więcej routerów, różnych producentów. Na pewno podatność dotyczy Linksysa WRT54GL, WRT54G3G, prawdopodobnie WRT310N, poza tym, dotknięty potencjalnym błędem chip może występuje w urządzeniach urządzeniach wielu producentuów, m.in. Netgear, Asus, D-Link, Zyxel, TP-Link.

Padało pytanie, czy exploit działa z WAN czy z LAN. Z dokumentu wynika, że w wielu przypadkach działa spoza sieci lokalnej. Pojawia się stwierdzenie, że jedyna popularna implementacja UPnP, która nie posiada błędu, to MiniUPnP (tak, open source, tak, OpenWrt jest odporne). Pora na zmianę firmware’u, chociaż UPnP mam wyłączone. Ciekawe swoją drogą, czy wyłączenie UPnP eliminuje podatność.

UPDATE: Znalazłem dwa ciekawe, polskie serwisy nt. bezpieczeństwa, do których odsyłam zainteresowanych tematem bezpieczeństwa. W szczególności pierwszy pisze więcej o tym konkretnie zagadnieniu (wygląda, że wyłączenie UPnP pomaga), a tutaj znajdziecie istny pogrom domowych urządzeń sieciowych.