Блог о технологиях, технократии и методиках борьбы с граблями
Сижу работаю. Приходит коллега и жалуется админу что не может со своего iPhone достучаться до офисного VPN который крутится под Cisco ASA. У меня уши естественно насторожились, поскольку до такой степени задротства, чтобы стучаться в офисную сеть со своего iPhone я еще не дошел. Человек ушел, начал ковыряться в телефоне и смотреть. Вообщем по порядку.
Как я уже писал ниже, в ноябре этого года, многочисленные пользователи iPhone в Европе, совершившие процедуру джейлбрейка своего телефона, подверглись атаке вируса iKee.B (duh) Apple iPhone, делавшего коммуникатор участником литовского ботнета. Использованная этим бот вирусом уязвимость, был стандартный пароль ‘alpine’ для пользователя root, и удаленный доступ к iPhone который злоумышленник получал через дополнительно установленный на iPhone ssh сервер.
Тянул я тут торрентом фильмы с нета, и попали мне на глаза некие ролики. Скачал я себе на рабочий стол файлики торрента и поставил на закачку, а сами исходники попытался удалить. Но не тут то было, оказалось что файлы или повреждены или находятся в использовании. Всего бы ничего, если бы не слишком явные названия роликов 
которые раздражают меня, и вызывают множество вопросов у англоговорящих людей. Ну и в связи с чем встал вопрос, как эти самые файлы удалить.
Для того есть несколько способов.
Разработка, появившегося с год назад, было спонсировано исследовательским центром армии США и стало результатом исследований, в области информационной безопасности, организации SRI International. Как становится понятно уже из названия приложение предназначено для поиска ботов и вредоносных программ ставящих под угрозу компьютерную безопасность. Приложение BotHunter разработано для прослушивания сетевого диалога между внутренними и внешними сегментами сетей. BotHunter состоит из коррелирующего движка написанного на базе Snort 2, который отслеживает подозрительную сетевую активность: сканирование портов, использование эксплоитов, подготовки атак, p2p трафик. Коррелятор BotHunter сопоставляет информацию о входящих алертах и исходящей активности, на основе чего делает заключение о зараженности хоста. Если уровень вероятности заражения хоста, с точки зрения сетевого диалога BotHunter, приближается к критической точке, то программа начинает прослушивать и регистрировать все подобные события вычисляя их значение в процессе заражения.
Приложение доступно для FreeBSD (тестировано для 7.2 версии), Linux (тестировано для RHEL, SuSe, Debian и Fedore), Windows XP/Vista/2003,а также для Mac OS X (10.4 и 10.5).
Прекрасную новость я получил буквально пару минут назад от компании Sofaware, куда я обратился со своей “болью”: после того как устройство Sofaware 500W само, без разрешения, грейдилось на последнюю версию прошивки 8.0.42- сразу же начинались траблы с работоспособностью- по дефолтной политике дропались входящие UDP пакеты на 53 порт, даже в случае наличия правила разрешающего это действие; пропадал доступ к веб морде из вне сетки по https; и самое пакостное- после перевода wi-fi и Lan VLAN’ов в режим bridge, для того чтобы пользователи этих двух сетей могли работать друг с другом и внутренними ресурсами (хотя по причине этого косяка, выяснилось что все это реализуется и при обычном режиме firewall просто описанием взаимодействия подсетей)- начинались проблемы с доступам к внутренним ресурсам, транслируемым в интернет, по их внешним IP адресам, причем настолько сильные, что все соединения smtp/pop3/http/https/ssh дропались по таймауту.
Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.
Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.
*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.
Ночью 17 декабря сайт популярной социальной сети Twitter подвергся кибер атаке, результатом которой стал дефейс портала,- на заглавной странице некоторое время висело сообщение о том, что сайт взломан иранской кибер армией (Iranian Cyber Army). Несколько часов спустя, после длительного оффлайна, на странице статуса появилось сообщение о том, что DNS записи домена Twitter.com были скомпрометированы, но данная проблема находится в стадии устранения, которая и была устранена к середине 18го числа. Надо отметить, что атаку провела группировка Iranian Cyber Army, судя по своему названию и тону послания имевшая ввиду, что пока штаты пытаются контролировать Иран, сам Иран контролирует кибер пространство США.
На сайте Malware Threat Center появился прекрасный бот клиента iKee.B (duh) Apple iPhone зарегистрированного 25 Ноября 2009 года в нескольких странах Европы, и заражавшего телефоны iPhone через литовский бот сервер. Обзор представляет собой детализацию логистики и функционала программного кода iKee, конфигурационные файлы и различные технические подробности. iKee бот является последним из обнаруженных уязвимостей для смартфонов и его целью становились телефоны iPhone, прошедшие процедуру джейлбрейка.
Сама атака была направлена на клиентов Dutch ING Direct, которые при попытке соединения с веб-порталом банка переправлялись на японский eCommerce сайт, содержавший фишинговые страницы, выглядевшие совершенно идентично сайт ING Direct. В случае введения логина информация становилась доступной злоумышленникам, которые использовали её для коммерческих махинаций.
В это связи рассматривается потенциальная возможность тесного взаимодействия хакеров, занимающихся процедурами разблокирования устройств и злоумышленниками использующими эти устройства для своих целей.
