Coś podszywa się pod iPada

[Majek]

Ale co to ma do korzystania z sieci w sposób prosty i przystępny? Chyba, że rozumiesz przez to brak jakiegokolwiek zabezpieczenia sieci. Tylko, że skoro grzebiesz sobie w ustawieniach DHCP, to jednak cośtam robisz?

Ja robię, ale moja rodzina już nie...

Ale to zupełnie nie o to chodzi. Chodzi o to, że tam gdzie można, to trzeba się zabezpieczać. Jak stwierdzisz, że w sumie i tak można Ci do domu wejść wybijająć okno, to nie będziesz zamykał drzwi, bo szkoda czasu ?

Cóż, no właśnie do tego by się to sprowadzało. Ale widzisz, Ty masz paranoję, ja nie. Mam drzwi antywłamaniowe, bo tego wymagał ubezpieczyciel. Mam też alarm z monitoringiem, ale rzadko jest używany, bo jest po prostu upierdliwy. I co z tego? Jak ktoś będzie mi się chciał wbić do chałupy, to się wbije, żebym nie wiem jakie miał zabezpieczenia. Ale na szczęście mam dobrą polisę. I szczęście póki co z żulami spod sklepu dobrze żyję i mówimy sobie cześć.

https://developer.android.com/about/...or-hardware-id

http://www.mathyvanhoef.com/2016/03/...-works-on.html

O apple możesz sam poszukać - nie powinno Ci to srpawić trudności.

Ale co mi tu pokazujesz? Opis API i metod Androida dla developerów? To ma być standardowa opcja? Żaden mój komputer nie obsługuje sprzętowej randomizacji adresów sprzętowych. Więc to wcale nie jest jakaś powszechna praktyka, tylko ciągle egzotyka.

Ja nie wiem czy naprawdę nie rozumiesz, czy specjalnie tak piszesz. Chodziło o zaprzeczenie Twojej tezie, że zwykli użytkownicy Internetu nie są atakowi cały czas. Są. Automatycznie, poprzez wrzutki na bardzo różne strony.
Druga sprwa to to, że bardzo się mylisz - te próby exploitowania to te, które zostały zablokowane przez IPSa. I tak, pozwala się to lepiej zabezpieczyć i jest sporo róznych rzeczy, które możesz zrobić w takiej sytuacji.

Oczywiście, że zwykli użytkownicy są atakowani cały czas. Ja teraz pewnie też. I co z tego? Ymm... Nic? Jakoś ciągle piszę tego posta i nic mi nie wybuchło, dysk się nie sformatował, mój komputer nie przypuścił ataku na pentagon...

Licealista, nerd, któy woli przejmować sieci lokalne i komputery niż chlać wódę pod trzepakiem ? Nie wiem, może ja się w innym środowisku wychowałem, ale sporo takich nerdów znam. Z resztą, to najprostszy sposób do znalezienia łącza do wykonania ataku na jakiś odrobinę większy cel ( wysłąnie maila o bombie w szkole - sprawdza się ).

Oj, teraz to się uśmiałem... Zapraszam Cie do mnie na wichurę... Rozejrzysz się po okolicy i poproszę Cie, żebyś powiedział drugi raz to samo. Jak bym tam kiedyś zobaczył jakiegoś licealistę nerda to bym się może zastanowił, czy by faktycznie czegoś nie zmienić. Ale od 8 lat nie widziałem ani jednego. Zrozum, inaczej takie aspekty rozpatruje się w miejscach o dużym zagęszczeniu ludności, gdzie tych okazji do wykazania się, czy dokuczenia komuś jest na około pełno, a inaczej na wsi, gdzie prawdopodobnie jestem jedynym użytkownikiem sieci komputerowej z prawdziwego zdarzenia... Wiesz, o co chodzi?

Bzdura. Większość urządzeń mobilnych podpinanych do sieci domowej nie potrzebuje dostępu do innych podpiętych urządzeń.

A dupa. Z tabletu i telefonu chcę mieć dostęp do drukarki, telewizora, dekodera, sterownika inteligentnego domu i kotła w kotłowni. Z prawie każdego urządzenia (za wyjątkiem mikrofalówki i żelazka) chcę mieć dostęp do NASa. Lata w tej sieci cała masa różnych usług na różnych portach, mniej lub bardziej dedykowanych (jak choćby wspomniane wcześniej bonjour, AppleTalk, czy AirPlay) i teraz pierdziel się, żeby odblokowywać te konkretne, żeby czasem coś innego się nie wdarło. Nie wedrze się, Przynajmniej bardzo mało prawdopodobne.

Jak Ci ktoś przyniesie do domu urządzenie z syfem, które jest w fazie infekowania to uwierz mi, dużo lepiej jest mieć je odseparowane od innych urządzeń...

Tu akurat się zgadzam. Aczkolwiek tak rzadko ktoś się gościnnie podłącza do mojej domowej sieci, że problem jest pomijalny i nie będę specjalnie po to, żeby raz w roku ktoś z tego skorzystał, tworzył dodatkowej infrastruktury. Przez jakiś czas było osobne Wi-Fi na odrębnym VLANie, ale piorun upalił mi router, na szybko kupiłem jakiegoś badziewnego TP-Linka, a tam nie ma takiej opcji.

Ale jesteś świadom, że ten adres MAC bądź IP to urządzenie może sobie ustawić jaki chce? Dokładnie taki sam, jaki wykorzystuje iPad czy Twój komputer.

Y-y. Nie ustawi sobie dokładnie takiego samego adresu. Tzn może ustawi, ale absolutnie nic mu to nie da, bo pojawi się konflikt adresacji, a wtedy cała sieć leży. A przynajmniej te jej segmenty, które pozwolą wychwycić anomalię błyskawicznie.

Serwer DHCP służy do przekazywania konfiguracji sieciowej urządzeniom sieciowym. Ale nie pełni żadnej formy kontroli nad niczym. Możesz sobie ustawić dowolny MAC i dowolny IP na urządzeniu i nie kontaktować się wcale z DHCP.

Drugi raz o tym samym. Jak zobaczę w sieci jakieś urządzenie, o jakimś adresie IP, czy MAC, a nie będzie go widocznego na liście dzierżaw serwera DHCP, to oznaczać to będzie, że ktoś lub coś ustawiło adres z poziomu tego urządzenia. I o ile nie zrobiłem tego ja sam, to oznacza, że coś jest nie tak. Tak, czy nie?

Jestem tylko bardzo ciekaw, skąd będziesz wiedział, że w Twojej sieci jest nieautoryzowane urządzenie, jeżeli podepnie się do niej coś co ustawi sobie takie samo IP, nazwę, etc. jak iPad.

Pojawi się błąd sieci związany z konfliktem adresów IP.

(...)przekonałem swoją dziewczynę ( przykro mi, jeszcze nie jestem zaobrączkowany ) do korzystania z KeePassa i to docenia (...)

Właśnie napisałeś coś baardzo, ale to bardzo istotnego. Ale to temat na inny wątek. W każdym razie potwierdziłeś pewną moją hipotezę.

Cały czas ignorujesz fakt, że edukacja nie jest zamiennikiem dla zabezpieczeń "twardych", technicznych, a te zabezpieczenia nie są zamiennikiem dla edukacji. Potrzeba jednego i drugiego, ale też żeby sensownie edukować potrzeba zrozumienia problemu.

Nie ignoruje. Twierdzę tylko, że te twarde i techniczne zabezpieczenia muszą być dobrane do zaistniałej sytuacji. Nie będę zamykał kurnika drzwiami przeciwwłamaniowymi, rozumiesz? I mimo, że na świecie ma miejsce mnóstwo kradzieży jajec i kur każdej doby, nie widziałem kurnika z drzwiami p-włamaniowymi. Tak pozostając przy drobiowych analogiach, rozmawiamy o rozwiązaniach domowych, nie korporacyjnych, czyli nie o wielkich kurzych fermach.

Podchodzisz też do kwestii bezpieczeństwa mocno wybiórczo - bezpieczeństwo to zespół różnych mechanizmów i czynników współpracujących, aby utworzyć środowisko jak najbezpieczniejsze

Tak, dokładnie o tym cały czas piszę. Podchodzę do sprawy wybiórczo. Tam, gdzie faktycznie może się coś zadziać, przykładam do tego swoją atencję. Gdybym widział, że dzieje się coś niedobrego, stopniowo zwiększałbym zarówno stopień zabezpieczeń, jak zmieniał swoje podejście. Ale że NIC się nie dzieje, to po co mam komplikować życie domownikom? Bo to oni na tym by ucierpieli, nie ja.

Yyym, tak słowem wyjaśnienia... My ciągle rozmawiamy o rzeczach w domu. W sensie o sieci domowej. W firmie jednej i drugiej podchodzę do tego zupełnie inaczej, żeby była jasność.
Tak samo jak nie neguję tego, o czym piszesz. W większości spraw masz rację, ale te racje nie dotyczą wszystkich sytuacji. Mam też wrażenie, że to jest Twój konik i trochę jesteś zawodowo spaczony (to takie określenie, no offence). Ale uwierz mi, nie ma sensu poddawać się paranoi zawsze i wszędzie. Są całe blokowiska gospodarstw domowych z łączami o przepustowości na poziomie kilkudziesięciu mb/s, w żaden sposób niezabezpieczonymi, otwartymi sieciami Wi-Fi itd. Jak by ten Twój nerd się do mnie podpiął i miał wykorzystać moje łącze do ataku, to by chyba oszalał z nudów, przy prędkości łącza w porywach do 5 mb/s.

[Kurtz]

Ale co mi tu pokazujesz? Opis API i metod Androida dla developerów? To ma być standardowa opcja? Żaden mój komputer nie obsługuje sprzętowej randomizacji adresów sprzętowych. Więc to wcale nie jest jakaś powszechna praktyka, tylko ciągle egzotyka.

To jest Changelog Androida, gdzie jak byk jest napisane, że od 6.0 w górę wyszukując sieci używa losowego adresu MAC. Windows 10 ma opcję losowania adresu MAC, który jest wykorzystywany zarówno przy poszukiwaniu sieci jak i przy łączeniu się ( a to istotne, bo to lepsze zabezpieczenie ). To samo jest z Apple iOS - od którejś wersji wyszukując sieci używa losowego adresu MAC. Zdecydowanie jest to powszechne i zdecydowanie jest to zalecane każdemu kto ceni sobie choć trochę swoją prywatność.
Nie wiem o co Ci chodzi jak piszesz o "sprzętowej randomizacji" - adres MAC jest od bardzo dawna kontrolowany softowo ( o historii tego zapewne przeczytałeś w "Sztuce Podstępu" Mitnicka, jeżeli dobrze pamiętam ).

Zrozum, inaczej takie aspekty rozpatruje się w miejscach o dużym zagęszczeniu ludności, gdzie tych okazji do wykazania się, czy dokuczenia komuś jest na około pełno, a inaczej na wsi, gdzie prawdopodobnie jestem jedynym użytkownikiem sieci komputerowej z prawdziwego zdarzenia... Wiesz, o co chodzi?

To jest kwestia bezpieczeństwa fizycznego. Jak mieszkasz 100km od najbliższych ludzi, to prawdopodobieństwo niezauważonego ataku spada. Nie znaczy to jednak, że warto olać wszelkie kwestie związane z bezpieczeństwem. Rozumiem to, że nie boisz się takiego ataku, ale czy to świadczy, że trzeba mieć sieć otwartą, czy na domyślnym WEP z 4 znakowym hasłem, ewentualnie włączonym WPS, bez rotacji kluczy? Przecież WPA2-PSK już dziś nie boli ( każdy nowożytny sprzęt to wspiera ), rotacja kluczy raz na tydzień to kwestia jednorazowego wpisania raz w tygodniu, nawet niech to będzie raz w miesiącu. To nic nie kosztuje i wojny w domu nie wywoła...

Y-y. Nie ustawi sobie dokładnie takiego samego adresu. Tzn może ustawi, ale absolutnie nic mu to nie da, bo pojawi się konflikt adresacji, a wtedy cała sieć leży. A przynajmniej te jej segmenty, które pozwolą wychwycić anomalię błyskawicznie.

Ustawi sobie dokładnie taki sam adres, tylko wcześniej wywali z sieci iPada ( sieć WiFi ) czy puśći mu syn/fin flood ( sieć lokalna ). I nie, przy konflikcie adresów nie leży cała sieć ani jej segmenty - nie działają tylko te hosty na których występuje konflikt.

Drugi raz o tym samym. Jak zobaczę w sieci jakieś urządzenie, o jakimś adresie IP, czy MAC, a nie będzie go widocznego na liście dzierżaw serwera DHCP, to oznaczać to będzie, że ktoś lub coś ustawiło adres z poziomu tego urządzenia. I o ile nie zrobiłem tego ja sam, to oznacza, że coś jest nie tak. Tak, czy nie?

Jak zobaczysz.

Pojawi się błąd sieci związany z konfliktem adresów IP.

Nieprawda. Kto powiedział, że iPad będzie wtedy odpowiadał w sieci, lub chociażby będzie włączony?

Twierdzę tylko, że te twarde i techniczne zabezpieczenia muszą być dobrane do zaistniałej sytuacji. Nie będę zamykał kurnika drzwiami przeciwwłamaniowymi, rozumiesz? I mimo, że na świecie ma miejsce mnóstwo kradzieży jajec i kur każdej doby, nie widziałem kurnika z drzwiami p-włamaniowymi. Tak pozostając przy drobiowych analogiach, rozmawiamy o rozwiązaniach domowych, nie korporacyjnych, czyli nie o wielkich kurzych fermach.

Tylko problem polega na tym, że nie rozumiejąc zagrożeń nie jesteś w stanie określić jakich zabezpieczeń potrzebujesz. Więc możesz stosować dowolne analogie, mówić o korporacjach, kurzych fermach, etc. ale nie będzie się to przekładało na żadną merytoryczną wartość.
Swoją drogą, ciekaw jestem czemu Ty się tak sprzeciwiasz, bo praktycznie cały czas brak jest konkretów.

Tam, gdzie faktycznie może się coś zadziać, przykładam do tego swoją atencję. Gdybym widział, że dzieje się coś niedobrego, stopniowo zwiększałbym zarówno stopień zabezpieczeń, jak zmieniał swoje podejście. Ale że NIC się nie dzieje, to po co mam komplikować życie domownikom? Bo to oni na tym by ucierpieli, nie ja.

Reagowanie na symptomy zamiast przeciwdziałania. To jak z backupem - są ludzie którzy robią backup i tacy, któzy będą robić. Twój wybór, Twoje ryzyko, ale pozwól mi, że będę takie podejście wszędzie krytykował. Jest też jeden problem - możesz nie zauważyć, że dzieje się coś niedobrego przez długie miesiące. Gdyby Twoje urządzenie było częścią mirai, czy innego botnetu, to skąd byś wiedział?

A dupa. Z tabletu i telefonu chcę mieć dostęp do drukarki, telewizora, dekodera, sterownika inteligentnego domu i kotła w kotłowni. Z prawie każdego urządzenia (za wyjątkiem mikrofalówki i żelazka) chcę mieć dostęp do NASa. Lata w tej sieci cała masa różnych usług na różnych portach, mniej lub bardziej dedykowanych (jak choćby wspomniane wcześniej bonjour, AppleTalk, czy AirPlay) i teraz pierdziel się, żeby odblokowywać te konkretne, żeby czasem coś innego się nie wdarło. Nie wedrze się, Przynajmniej bardzo mało prawdopodobne.

No to masz skomplikowaną sieć, która wymaga sensownego zaprojektowania, żeby oferowała pewien poziom bezpieczeństwa. Przykro mi, ale tak, musisz się pierdzielić, żeby na poziomie sieci mieć odpowiednią separację. To jest wpadanie w pułapkę technologiczną - masa produktów oferuje dużo usług przez sieć, coraz więcej do tej sieci podpinamy, ale mało kto myśli o kwestiach bezpieczeństwa bo mało kto je rozumie i chce za to płacić. A później się okazuje, że "inteligentna" kamera IP ( pomijam kamerki w laptopach, tabletach, komórkach - to od dawna już ma ten problem ) trafia do botnetu i stream czy zdjęcia z niej są sprzedawane jakimś zboczeńcom w Internecie. Praktycznie każdy z świadomych użytkowników komputera ma zaklejoną kamerkę, myślisz, że bez przyczyny? A przecież wiele Twoich urządzeń elektronicznych też ma kamerki. Telewizory, lodówki ( samsung chyba pakował do lodówek galaxy taba bo tak było taniej ), telefony, tablety, nawet głupie ramki do zdjęć. Udostępnianie NASa urządzeniom takim jak komórka to kiepski pomysł. Chcesz - możesz. Możesz mieć wszystko w jednej podsieci bez filtracji ruchu. Tylko w takiej sytuacji wykrycie jakiegoś złęgo ruchu jest jeszcze trudniejsze, a szansa na przejęcie urządzeń przez jakieś zautomatyzowane zagrożenie dużo większa. Zauważ też, że mamy już pierwsze zagrożenia ( rozpowszechniająće się w reklamach ), które stosują atak na przeglądarkę, ale nie atakują dalej lokalnego komputera tylko robią fingerprinting urządzeń w sieci lokalnej, przesyłają tą informację do CnC, które odsyłąją payload do ataku na te urządzenia. Żadnego persistence na systemie lokalnym powoduje, że są niezwykle trudne do wykrycia przez HIDS, atak może być wykonywany wielokrotnie na jednego użytkownika, jeżeli zostanie przerwany, a ataki mogą mieć zminimalizowaną widoczność.

Od razu też powiem jedną rzecz - możesz powiedzieć, że Cię nie interesuje, że Twoje urządzenie jest częścią botnetu wykonująćego wolumetryczne ataki DDoS, bo przecież praktycznie nigdy tego nie odczuwasz bezpośednio. Tylko wtedy zarzucę Ci ignorancję, ponieważ zdecydowanie odczujesz takie ataki prędzej czy później, oraz myślenie tylko o sobie i to w krótkiej perspektywie, ponieważ nie obchodzą Cię problemy innych wynikające z Twojej niedbałości.

Jak by ten Twój nerd się do mnie podpiął i miał wykorzystać moje łącze do ataku, to by chyba oszalał z nudów, przy prędkości łącza w porywach do 5 mb/s.

Ataki celowane zazwyczaj nie potrzebują ani przepustowośći ani niskiego i stabilnego RTT. Spear phishing i wysyłanie maili z pogróżkami da się przecież zrobić na łączu modemowym

Mam też wrażenie, że to jest Twój konik i trochę jesteś zawodowo spaczony (to takie określenie, no offence).

Zdecydowanie jest to moje pole zainteresowań i zdecydowanie jestem tym "zawodowo spaczony". Jednak nie przykładam tej samej miary do gospodarstwa domowego i korporacji. W korporacji, gdzie jest sensowne myślenie o bezpieczeństwie takie "proste" rzeczy jak WiFi są jeszcze dużo bardziej skomplikowane niż tutaj mówimy.

Ale uwierz mi, nie ma sensu poddawać się paranoi zawsze i wszędzie.

Wiesz, w XXI wieku to, że komuś się wydaje, że cały czas jest podsłuchiwany, a wszystkie jego wiadomości elektroniczne są przez kogoś czytane może oznaczać paranoję. Może też oznaczać, że wie co to NSA i zna metody działania zagrnicznych wywiadów elektronicznych ( nie trzeba być kierownikiem elektrownii jądrowej czy szefem wywiadu, żeby być celem - budżet jest z gumy ).
Paranoja to jedno, świadomość to drugie. Monitorując mały system bezpieczeństwa w małej firmie i obserwując aktywność ruchu WWW widziałem jak wiele różnego rodzaju ataków pojawia się na tej linii. Niejednokrotnie, gdyby nie to, że wszystkie nasze systemy był zawsze aktualizowane "od ręki", to mielibyśmy sytuację skutecznego wyexploitowania błędu.
Szczególnie istotne to jest w przypadku Androida, w któym w ciągu ostatniego roku, dwóch lat, znaleziono takie ilości krytycznych podatności, a do tego banalnie prostych do wyexploitowania, że nieaktualizowany system musi zostać prędzej czy później przejęty. Nie będzie to oczywiście zawsze widoczne - wykradanie danych, feeda z kamery/mikrofonu, wykorzystanie do ataków DDoS, wykrozystanie do zarażania innych urządzeń to wszystko rzeczy wartośćiowe dla twórców malware a jednocześnie niewidoczne.