форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от opennews (ok) on 24-Май-16, 11:10
Организация US-CERT опубликовала (https://www.us-cert.gov/ncas/alerts/TA16-144A) предупреждение о возможном совершении новых MITM-атак с использованием протокла WPAD (https://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol) (Web Proxy Autodiscovery Protocol), применяемого для автоматической настройки работы через прокси-сервер. WPAD поддерживается в большинстве web-браузеров и операционных систем, и обычно применяется в корпоративной среде для организации подключения устройств через локальный прокси. Проблема возникла после введения (https://newgtlds.icann.org/en/about/program) организацией ICANN новой программы регистрации доменных имён первого уровня (gTLD), позволяющей атакующему зарегистрировать свой домен первого уровня, совпадающий с доменом, применяемым во внутренней сети компании. В дальнейшем данный домен может быть использован для перенаправления пользователей на подконтрольный атакующему прокси (например, когда с ноутбука, настроенного на получение конфигурации WPAD, осуществляется выход в интернет не из корпоративной сети). URL: https://www.us-cert.gov/ncas/alerts/TA16-144A Новость: http://www.opennet.ru/opennews/art.shtml?num=44480
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблемы с безопасностью при использовании протокола автомат..."	+3 +/–
Сообщение от AnotherReality (ok) on 24-Май-16, 11:10
wpad изначально была не секурной? не?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 24-Май-16, 15:43
	А толку от секурности? Ну устанавливалось бы там защищённое соединение, атака-то всё равно с помощью доменного имени. Если твоя операционка привыкла лазать на wpad.somеthing (который есть в корпоративной сети), то она полезет на него и вне сети. А вне сети этот wpad.somеthing уже управляется совсем не админом корпорации, а злоумышленником.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Проблемы с безопасностью при использовании протокола автомат..."	–1 +/–
Сообщение от Аноним (??) on 24-Май-16, 11:18
Звучит как кусочек Systemd для реализации шифрования Wi-Fi
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 24-Май-16, 18:24
	Вот и выросло поколение, не понимающее значения буквы d?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	23. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 25-Май-16, 07:30
	Не, выросло поколение без чувства юмора.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

3. "Проблемы с безопасностью при использовании протокола автомат..."	+2 +/–
Сообщение от sage (??) on 24-Май-16, 11:20
Год назад уже делали, ну https://habrahabr.ru/company/mailru/blog/259521/ Мои друзья тоже нарегистрировали себе доменов, wpad.school получает довольно много хостов в сутки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проблемы с безопасностью при использовании протокола автомат..."	+1 +/–
Сообщение от Аноним (??) on 24-Май-16, 14:08
применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и прокатить
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от sage (??) on 24-Май-16, 14:50
	Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBios, причем прокси будет использоваться даже в том случае, если жертва подключилась к VPN.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Проблемы с безопасностью при использовании протокола автомат..."	–1 +/–
	Сообщение от DmA (??) on 24-Май-16, 15:45
	> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может > и прокатить в корпоративной сетичасто не бывает собственного днс сервера!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	16. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от _ (??) on 24-Май-16, 17:43
	эээ ... мнэиааа ... НО КАК?!?!? 8-о  (С) Доктор Ватсон
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	18. "Проблемы с безопасностью при использовании протокола автомат..."	–1 +/–
	Сообщение от нах on 24-Май-16, 18:31
	банально - 8.8.8.8 У сильно продвинутых еще и .4.4 И таких, прости Г-ди "корпораций", к сожалению, пруд-пруди. От размера, кстати, не зависит.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	19. "Проблемы с безопасностью при использовании протокола автомат..."	+5 +/–
	Сообщение от Аноним (??) on 24-Май-16, 20:13
	так это го⁠вно, а не корпоративная сеть, ты не путай
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	12. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от DmA (??) on 24-Май-16, 16:09
	> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может > и прокатить Ну почему же чепуха? Я меняю имя своего компьютера на wpad и ввожу его в домен, и вот я могут управлять сетевыми настройками всех компьютеров домена. Пущу их все через прокси и выловлю, всё что мне надо...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	22. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 25-Май-16, 00:16
	корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделывает свою же проксю
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	24. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 25-Май-16, 07:34
	Они сами напросились! Это же чистой воды bofh.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	27. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от DmA (??) on 26-Май-16, 20:05
	не все корпоративные сети заточены под AD, но DDNS может быть! Либо тот-же AD с некоторыми продвинутыми пользователями с правами админов
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

7. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от DmA (??) on 24-Май-16, 15:45
Я тут пару месяцев назад баловался  включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка  и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от Аноним (??) on 24-Май-16, 15:50
	Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе за много денег зону .andrey, чтобы поиметь всех Андреев планеты. Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет домен с таким именем) никто в здравом уме такие деньги отваливать не станет.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от DmA (??) on 24-Май-16, 16:19
	> Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе > за много денег зону .andrey, чтобы поиметь всех Андреев планеты. > Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет > домен с таким именем) никто в здравом уме такие деньги отваливать > не станет. а зачем покупать  такое днс имя провайдеру? Ваш компьютер запросит днс имя wpad.anrrey, а провайдеру не нужно покупать какое-то имя, ему нужно будет вернуть  ip из своег диапазона и сделать там поддельный сервер с настройками прокси.Ваш ИЕ,Хромме или фарефокс загрузит с этого левого севреар провайдера нужные настройки... Это один вариант событий. А второй - я  говорил о том,что если днс сервер у провайдера находится, то провайдер легко идентифицирует клиента по его имени компьютера. Последние версии виндовс обычно сами придумывают достаточно уникальное имя для компьютера.Так что такие запросы проходят при включении компьютера и позволют легко идентифицировать разные устройства, даже если они находятся за одним ip адресом. Если провайдер увидит запросы с одного ip типа таких wpad.zina wpad.petr wpad.ipad-lena То он увидит и сколько устройств в доме и кто их владелец и статистику использования этих устройств!
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от DmA (??) on 24-Май-16, 16:34
	а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать! Есть ещё один публичный днс сервер, который заставляют в  российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15) Так что используйте публичные днс сервера, только под страхом смертной казни!
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	25. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от vdb on 25-Май-16, 16:05
	> …достаточно уникальное… Немножко беременный?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

9. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от Аноним (??) on 24-Май-16, 15:47
В качестве костыля можно запретить использование доменов "wpad". То есть, чтобы сайты вида "wpad.work" существовать не могли. Это не решит проблему корпораций, у которых в интранете домены вида "office.work", поскольку вредоносный адрес будет уже иметь поддомен (wpad.office.work), но лучше, чем ничего.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от DmA (??) on 24-Май-16, 15:54
Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
	Сообщение от DmA (??) on 24-Май-16, 16:37
	> Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server > Global Query Block List" где перечислены имена, которые должны быть заблокированы > на DNS сервере организации, если не используются! Ещё бы и автодобавление  к имени www в начале и com конце несуществующего адреса отключить! И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Проблемы с безопасностью при использовании протокола автомат..."	+1 +/–
Сообщение от CHERTS (??) on 24-Май-16, 20:58
в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см. dnscmd /info /enableglobalqueryblocklist и dnscmd /info /globalqueryblocklist
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от Аноним (??) on 24-Май-16, 21:28
или я чего не понимаю или новость из недалекого прошлого. еще когда впервые разбирая логи шлюза и узнав о неизвестном мне wpad удосужился загуглить это слово, то одни из первых ссылок были как раз на данную проблему. а было это с год как назад
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Проблемы с безопасностью при использовании протокола автомат..."	+/–
Сообщение от Аноним (??) on 26-Май-16, 17:10
Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD? И кстати говоря, недоадминчики WPAD вовсю используют с проксированием, не умея настроить транспарентный прокси. Он же типа не нужен, нэ трэба, ёптыль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема