LINUX.ORG.RU
ФорумTalks

Ёту поимели

 , ,


0

1

Ъ:

Будьте бдительны, официальный сайт компании Yota, http://www.yota.ru, был атакован. На страницы сайта был внедрен JavaScript-код, который после клика по любой ссылке при первом входе на http://www.yota.ru открывает дополнительное окно браузера с псевдо-антивирусом, который якобы находит зловредов на компьютере посетителя и предлагает избавиться от оных путем ввода кода через SMS.

Всплывающее окно не содержит управляющих элементов (кроме адресной строки) и грузит свое содержимое с поддомена pomisna.org, зарегистрированного через EvoPlus со скрытыми Whois-данными. На главной странице сайта находится стандартная заглушка Apache.

Всплывающее окно имитирует интерфейс Проводника и Microsoft Security Essentials в Windows 7, а также свиные визги Антивируса Касперского. Дальше всё стандартно: хочешь избавится от вируса — введи номер телефона, получи SMS с кодом, код введи в окне, а с деньгами на счету попрощайся.

После сообщения о взломе, последствия, по словам представителя компании, были устранен примерно в течении получаса. Однако, состояние дел не изменилось, что позволяет предположить, что права рука не знает что делает левая. Пока комментариев о природе уязвимости от самой компании или PR-службы не поступало.

Мои соображения: очередное банальнейшее поимение через затрояненный маздай девелопера/одмина. Ну вот скажите, задлянафига для web-разработки и/или (тем более!) администрирования Linux-серверов дырявая венда? Особенно, если она достаточно часто приводит к таким фейлам? Вот у нас, на старой работе, после того, как нас в 2007 году так поимели - венда была выпилена полностью и запрещена на всех машинах, имеющих отношение к сайту (включая машины контент-менеджеров)

UPD: использовать шиндос - это как заниматься сексом с вокзальной путаной. Можно с презервативом (антивирусом), можно без. Но как известно, презерватив гарантии не даёт, да и вообще - может порваться. Да и триппер может подхватиться ещё 1000 и одним способом. Нет, некоторым, конечно, везёт - например тем, кто занимается сексом в скафандре высшей биологической и/или радиационной защиты, тщательно следит за процессом проведения полового акта, частотой фрикций, состоянием отверстий, куда проходит сование и т.д., но, блин, ЗАЧЕМ? А если ты являешься ещё и держателем борделя, куда ходит три окрестных микрорайона?



Последнее исправление: ymn (всего исправлений: 3)
Ответ на: комментарий от TheAnonymous

Классно сделано! :) А окошко предупреждения такскалось мышкой за заголовок, отбрасывая тень?

omegatype ★★★
()
Ответ на: комментарий от Saloed

И эта... Венда для МОЕГО клиент-банка - ТАБУ.

К большому сожалению, до сих пор есть банки (не только российские) которые корректно работают только под ie (

anc ★★★★★
()
Ответ на: комментарий от Macil

МасOS поставили?

Уж лучше на нем, чем на оффтопике.

tazhate ★★★★★
()
Ответ на: комментарий от border-radius

Зы. ТС-у превед от дивижна.

И ему тоже привет =)

Saloed
() автор топика
Ответ на: комментарий от anc

К большому сожалению, до сих пор есть банки (не только российские) которые корректно работают только под ie (

Я - ЧПшник. Банк выбирал в т.ч. и по такому принципу, как адекватный клиент-банк. Банки с неработоспособными (вынь-онли, и тем более - осёл-онли) клиент-банками шли в лес сразу же. Хотя таких очень мало осталось - все уже плавно перешли на iBank.

Saloed
() автор топика
Ответ на: комментарий от Saloed

Я - ЧПшник

Вот потому, что ты выбираешь банк исключительно по идеологическим причинам, ты рискуешь на всю жизнь остаться ЧПшником.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Вот потому, что ты выбираешь банк исключительно по идеологическим причинам, ты рискуешь на всю жизнь остаться ЧПшником.

Не по «идеологическим», а по работоспособности. Банк, не способный сделать нормальный клиент-банк, с вероятностью 99% и во всём остальном работает так же, или хуже.

Хороший пример - ОТР-банк.

Saloed
() автор топика
Ответ на: комментарий от zgen

Да и вопросы безопасности, опять таки... Пускать клиент-банк под вендой - то же, что ходить по этой нашей борщаговке (или этому вашему южному бутово) с лопатником с 5 тысячами евро. А пускать его ещё и в осле - ещё и подсвечивать себе дорогу айфоном, айпадом, макмини, и отражать свет от последнего карточкой виза-голд.

Saloed
() автор топика
Ответ на: комментарий от Saloed

1. Знаешь, за свою жизнь я повидал может с пару-тройку десятков разных банк клиентов (корпоративных) - они все отвратительны чуть менее, чем полностью.

2. Я не могу нарисовать портрет, с вероятностью в 99% и во всем остальном работаю так же, или хуже.

Типичный банк, как правило - не производитель ПО. Потому что у банка совершенно другие цели. Он это ПО покупает/лицензирует.

Не смотря на качество ПО при работе с банком у бизнеса превалируют иные, нежели вид банковского ПО критерии - условия кредитования (залоги, сроки, проценты, дополнительные услуги) прежде всего, возможно, что тебе это будет сложно понять.

zgen ★★★★★
()
Ответ на: комментарий от Saloed

Да и вопросы безопасности, опять таки

Самые большие вопросы безопасности - это человеческий фактор. А он и под виндой и под линуксом один и тот же.

Все остальные риски разумные люди, у которых работа такая могут хотя бы уменьшить техническими средствами.

zgen ★★★★★
()
Ответ на: комментарий от drBatty

зачем мне sudo в яве или флеше?

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем. Необязательно одновременно, при желании можно даже пережить несколько ребутов и потом получить рута. Иксы — большое решето.

x3al ★★★★★
()
Ответ на: комментарий от zgen

Типичный банк, как правило - не производитель ПО. Потому что у банка совершенно другие цели. Он это ПО покупает/лицензирует.

Не всегда. Есть у нас, например, Приват. Сам делает весь софт (и очень даже неплохой, надо сказать), но банк - полное #@$%о. Есть ещё Альфа-банк, но как там - ХЗ. А остальные - да, покупают. И слава яйцам, что большинство покупает этот самый iBank, который хотя бы работает, и работает нормально.

А вот есть неадекваты, типа ОТР - которые и сами #@$но, и софт, упорно так покупают - отборнейшее #@$но.

Среди огромного разнообразия банков найти банк с удовлетворяющими лично тебя/бизнес условиями - очень легко. И среди них наверняка окажется банк с адекватным клиентским софтом. Вот ты какой банк выберешь на одинаковых условиях: с iBank, или с ущербным ие-онли поделием уровня начала 00х, которое работает со среды по четверг с 8-00 до 8-15?

Saloed
() автор топика
Ответ на: комментарий от zgen

Самые большие вопросы безопасности - это человеческий фактор. А он и под виндой и под линуксом один и тот же.

Мне от банка достаточно часто приходят мылья вида «обнаружен новый троян, коммуниздящий ключи клиент-банка... ... ... обновите антивирусное ПО... ... используйте только лицензионный шындовс ... ... храните ключи на флешках, прикованных наручниками к руке ... ...»

А через какую очередную шындос-онли 0-дэй дыру занесётся очередной шындос-онли троян - я ХЗ, так что предпочитаю всё же не рисковать.

Saloed
() автор топика
Ответ на: комментарий от zgen

Не смотря на качество ПО при работе с банком у бизнеса превалируют иные, нежели вид банковского ПО критерии - условия кредитования (залоги, сроки, проценты, дополнительные услуги) прежде всего, возможно, что тебе это будет сложно понять.

наличие у банка клиента ie-only УЖЕ о многом говорит. Настолько, что залоги/сроки/проценты уже играют мало роли, ибо главное в банке - ДОВЕРИЕ. Возможно, ты этого пока ещё не в состоянии понять.

drBatty ★★
()
Ответ на: комментарий от x3al

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем. Необязательно одновременно, при желании можно даже пережить несколько ребутов и потом получить рута. Иксы — большое решето.

теоретически да. На практике, я затрудняюсь придумать схему атаки из флеша/явы на sudo через X11. Даже если флеш/ява и X11 это решето. В принципе, флеш/ява может атаковать через ФС, к которой у неё может быть доступ, сливая ключи gpg/ssh/etc, но если флеш/ява в другой учётке, то это невозможно. А вот механизм атаки через X11 хоть и возможен в принципе, но стоит НАСТОЛЬКО МНОГО, что куда как дешевле, просто проломить мне голову. Эта атака намного более дешёвая и эффективная.

drBatty ★★
()
Ответ на: комментарий от drBatty

Настолько, что залоги/сроки/проценты уже играют мало роли

Да-да.

zgen ★★★★★
()
Ответ на: комментарий от x3al

Ты притворяешься? Достаточно, чтобы sudo был в одних иксах с явой/флешем.

Ждем практической демонстрации. А то нормальных потребительских зловредов (все одни руткиты) под никсами нет.

Macil ★★★★★
()
Ответ на: комментарий от drBatty

Скачиваем xspy, записываем его в свой ~/.profile (побоку, что в ограниченной учётке), ловим, например, sudo .*\n(.*). Получаем рута, можем впарить руткит. Если юзера нет в sudoers, то можно дождаться оставленного открытого терминала (процесс любого юзера может следить за неактивностью) и в нём эмуляцией нажатия клавиш (иксы не против) делаем что угодно. После этого остаётся только убрать лишние следы. ssh/gpg ключи тянутся точно так же, даже руткит не нужен.

Пишется за вечер даже с чтением манов. Что из этого стоит НАСТОЛЬКО МНОГО?

x3al ★★★★★
()
Ответ на: комментарий от x3al

Скачиваем xspy, записываем его в свой ~/.profile (побоку, что в ограниченной учётке), ловим, например, sudo .*\n(.*). Получаем рута

у меня нет никого в sudo(для root). К тому-же, через sudo у меня запускается браузер с флешем, который может (теоретически) записать xspy в СВОЙ ~/.profile. И что? Я же в ту учётку(в которой браузер и xspy твой) и НЕ захожу. Как твой xspy запустится?

Если юзера нет в sudoers, то можно дождаться оставленного открытого терминала (процесс любого юзера может следить за неактивностью) и в нём эмуляцией нажатия клавиш (иксы не против) делаем что угодно. После этого остаётся только убрать лишние следы. ssh/gpg ключи тянутся точно так же, даже руткит не нужен.

продемонстрировать можно? предположим, запущено заражённое приложение имеющее доступ к X11. Есть там же и терминал (от имени другого пользователя, т.ч. доступа к ФС у тебя нет). Предположим даже, что в терминале уже вход с правами рута произошёл. Как выполнить rm -rf /* ? Следы заметать не надо.

Пишется за вечер даже с чтением манов. Что из этого стоит НАСТОЛЬКО МНОГО?

информация. Какая у меня система, какое железо, какой интернет, какие программы… Проблема ещё и в том, что в открытых источниках искать тебе будет затруднительно, даже если я всегда правду говорю(это не так, честно!) - у меня несколько компьютеров, и несколько OS. Если-бы у меня было много $$$$ в компьютере, то всё было-бы ещё печальнее.

drBatty ★★
()
Ответ на: комментарий от drBatty

у меня нет никого в sudo(для root).

Ок, su.

Как твой xspy запустится?

Ок, напрямую эксплойтом. Можно дописывать плагин в профиль браузера, но предположим, что это слишком сложно.

Предположим даже, что в терминале уже вход с правами рута произошёл. Как выполнить rm -rf /*

Чем угодно, начиная от xvkbd/xdotool от ограниченного юзера, сэмулировать ввод rm -rf /*\n? Можешь проверить, это работает. Отсутствие xvkbd/xdotool в системе — не проблема, можно взять из интернета статически скомпилированную версию.

. Какая у меня система, какое железо, какой интернет, какие программы…

Достаточно bash, wget и бинарных уязвимых flash/java-плагинов. Остальное решаемо статичными сборками. Если нужен руткит — да, сложнее.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Ок, su.

не ОК. Там тёмные отношения терминала и su. И в прямом, и в переносном смысле.

Ок, напрямую эксплойтом.

а… началось. Эксплоит-то нашёл уже?

Чем угодно, начиная от xvkbd/xdotool от ограниченного юзера, сэмулировать ввод rm -rf /*\n?

вот и сэмулируй. Ждём… Напомню, терминал работает от _другого_ юзера, надо через X11.

Отсутствие xvkbd/xdotool в системе — не проблем

не. Сейчас соберу. Специально для тебя. xvkbd пойдёт?

Достаточно bash, wget и бинарных уязвимых flash/java-плагинов. Остальное решаемо статичными сборками. Если нужен руткит — да, сложнее.

не. Не нужен.

drBatty ★★
()
Ответ на: комментарий от drBatty

Что именно ждать? PoC: запусти терминал от другого юзера (эмулируем уязвимость с выполнением произвольного кода), в нём сделай sleep и xdotool/xvkbd, печатающий что угодно, переключись в свой.

а… началось. Эксплоит-то нашёл уже?

То есть ты запускаешь браузер под другим юзером просто так? И напоминаю о флеше в линуксе.

И да, в венде, как мы изначально выяснили, без эксплойта тоже никак.

x3al ★★★★★
()
Ответ на: комментарий от drBatty

UPD xvkbd поставил, если потыкать мышкой, то вроде как оно даже нажимается. В принципе, хорошо зная мою систему и мои привычки, можно и rm -rf /* от рута набрать. Скриптом. Только такой скрипт никто кроме меня не напишет (нужно ведь с первого раза попасть в нужное окно и в нужное время. И окно должно быть в прошлом фокусе, а клава в текущем).

drBatty ★★
()
Ответ на: комментарий от x3al

То есть ты запускаешь браузер под другим юзером просто так?

не. Я ФС берегу. Флеш не имеет доступа к моим файлам, разве что я их на экран не выведу. А если они на экране - да, таки имеет.

drBatty ★★
()
Ответ на: комментарий от drBatty

Можно мониторить тайтлы окон и время неактивности, как я и говорил. Это мне и не нравится в иксах.

x3al ★★★★★
()
Ответ на: комментарий от x3al

Можно мониторить тайтлы окон и время неактивности, как я и говорил. Это мне и не нравится в иксах.

лучше всё равно ничего нет.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.