The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от opennews (??) on 31-Янв-17, 12:47 
В беспроводных маршрутизаторах Netgear выявлена (https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017.../) очередная критическая уязвимость (https://www.trustwave.com/Resources/Security-Advisories/Advi...) (CVE-2017-5521), позволяющая без аутентификации узнать пароль входа с правами администратора, отправив специальный запрос к скрипту passwordrecovered.cgi. Проблема вызвана тем, что при определённых условиях скрипт выдаёт информацию о пароле, независимо от прохождения аутентификации и заданных в запросе параметров. Компания Netgear подтвердила (http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Ex...) наличие уязвимости в более 30 моделей своих устройств и уже выпустила обновление прошивки для 18 моделей.

Уязвимость может быть атакована из локальной сети, а при включении интерфейса удалённого управления и через интернет. Компания  Netgear заявляет о том, что web-интерфейс по  умолчанию отключен для внешней сети, но выявивший уязвимость исследователь утверждает, что по его данным в глобальной сети имеется доступ к сотням тысяч уязвимых устройств (вероятно, web-интерфейс включают провайдеры, предустанавливающие оборудование клиентам). Проблема проявляется только при выключенной функции восстановления пароля (по умолчанию отключена и требует задания контрольных вопросов и ответов), поэтому в качестве обходной меры борьбы с уязвимостью рекомендует в web-интерфейсе включить поддержку восстановления пароля.


Для проверки наличия уязвимости опубликован (https://www.trustwave.com/Resources/Security-Advisories/Advi...) прототип эксплоита. По сути достаточно отправить запрос "http://router/passwordrecovered.cgi?id=TOKEN". Значение TOKEN можно узнать на странице аутентификации после неправильного ввода пароля ("http://router/..../unauth.cgi?id=TOKEN"). Если в настройках включена функция восстановления пароля при обращении к passwordrecovered.cgi будет выведены форма с вопросами для восстановления пароля, а если не включена будет сразу показан пароль. Интересно, что компания Netgear  была уведомлена об уязвимости ещё 4 июня 2016 года, но обновления пока выпущены только примерно для половины уязвимых устройств.

URL: https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=45949

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +11 +/
Сообщение от Random (??) on 31-Янв-17, 12:47 
Ждём очередной ботнет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +3 +/
Сообщение от Routers sux on 31-Янв-17, 12:49 
Он и так давно есть. 99% людей никогда не меняют пароль на роутерах. Какой-то местячковый эксплойт ничего не решит.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +2 +/
Сообщение от Routers sux on 31-Янв-17, 12:51 
Вон даже друзей айтишников поспрашивал, меняют или нет: "Зачем? И так все работает нормально", вон оно че!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +5 +/
Сообщение от ТТТ on 31-Янв-17, 13:01 
Это какие-то неправильные айтишники. Как можно не менять пароль, если он часто qwerty, admin или 123456?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +3 +/
Сообщение от Аноним (??) on 31-Янв-17, 13:04 
Проблема здесь не в смене пароля, а в дырявой системе его востановления и оперативности латания дыр производителем.

Эксплоитов новых не будет, добавят дополнительную возможность к старым.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 13:19 
Возможно, они поняли вопрос как "Меняете ли вы пароль _регулярно_?"
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  –3 +/
Сообщение от Аноним (??) on 31-Янв-17, 13:26 
От кого ты защищаешься? Если от ботнетов и неуловимых хакеров, то твой пароль должен быть очень сложным (чтобы взломанный соседский роутер не подобрал его перебором), должен регулярно изменяться, ты должен регулярно просматривать логи.

Кто это делает?

Если ты защищаешься от соседей... Хмм... Зачем вообще от них защищаться? Сними пароль на WiFi, дай анонимным подключениям 128 кбит/сек - и они довольны, и тебе ненакладно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +3 +/
Сообщение от Аноним (??) on 31-Янв-17, 13:28 
Потому что "ну кто туда полезет".

Еще в конторах часто текучка эникейщиков, которым непосредственно приходится щупать эти девайсы. И вместо того, чтобы сделать центральное хранилища данных, решают оставить дефолтные пароли, чтобы новый сотрудник не прикапывался лишний раз с вопросами.

Это то, что я видел на практике.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от слакварявод (ok) on 31-Янв-17, 13:29 
этж уж сто лет назад БЫЛО... прям ТОЖ САМОЕ! год или два назад!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от ryoken (ok) on 31-Янв-17, 13:51 
> Если ты защищаешься от соседей... Хмм... Зачем вообще от них защищаться? Сними
> пароль на WiFi, дай анонимным подключениям 128 кбит/сек - и они
> довольны, и тебе ненакладно.

Щас вроде по закону за бесплатный вайфай надо собирать персональные данные (телефон, MAC-адреса или что там ещё) ?

Хорошо, что я на своем WNDR давно на OpenWRT съехал :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Аноним (??) on 31-Янв-17, 14:00 
И ещё будет, у Дилинька какого-нибудь, например.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 14:12 
Одного факта, что пароль хранится в открытом виде достаточно, что бы понять как там обстоит дело с безопасностью.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Владилен on 31-Янв-17, 15:18 
Каких таких "айтишников"? Случайно не тех, которые специализируется на переустановке виндоуз?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 15:18 
> то твой пароль должен быть очень сложным

< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-100}; echo

Пускай соседский роутер подбирает до посинения.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от cmp (ok) on 31-Янв-17, 15:39 
На железе подобного уровня абсолютно нормальная практика, верить, что этот пароль от чего защищает глупо, прятать за нат, или резать фаерволом. А центральное хранилище, это гугл докс или 3й пень с 1с у бухов, который загнется в любой момент.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Аноним (??) on 31-Янв-17, 16:02 
Пазл сложился: "Если в настройках включена функция восстановления пароля при обращении к passwordrecovered.cgi будет выведены форма с вопросами для восстановления пароля, а если не включена будет сразу показан пароль." & "Facebook предложил новый метод восстановления забытых паролей"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним84701 (ok) on 31-Янв-17, 16:02 
> От кого ты защищаешься? Если от ботнетов и неуловимых хакеров, то твой
> пароль должен быть очень сложным (чтобы взломанный соседский роутер не подобрал
> его перебором),
> должен быть очень сложным

Комбинаторику еще не проходили? О сколько вам открытий чудных готовит просвещенья дух! (А.С.)
https://ru.wikipedia.org/wiki/Возведение_в_степень

Восьмизначный пароль, только маленькие буковки:
26^8 = 208827064576
с циферками:
36^8 = 2821109907456
Маленькие и большие буковки вперемешку:
52^8 = 53459728531456

Теперь считаем:
в году 60*60*24*365 = 31536000 секунд.
Чтобы сосед смог перебрать _все_ пароли за год, eму придется перебирать в последнем случае cо скоростью
52^8 / 31536000 = 1 695 196 п/c (паролей в секунду)
А взламываемый девайс потянет-то такую переборку?

А теперь берем 10 знаков:
26^10 = 141167095653376
141167095653376 / (60*60*25*365) = 4 297 324 п/c
52^10 =  144555105949057024
144555105949057024  / (60*60*25*365) = 4 400 459 846 п/c

Сложным десятизначный пароль без спец. символов и даже цифр я бы никак не назвал, а  взламывать такой пароль перебором – перебиралка сломается.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 16:06 
Какая контора такие и айтишники, хотя даже некоторые крупные провайдеры на своих роутерах пароли стандартные не меняют
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  –3 +/
Сообщение от Аноним (??) on 31-Янв-17, 16:31 
Во-первых, взламывать будешь не ты лично, а простаивающий чужой маршрутизатор.

Во-вторых, база данных слов и частых паролей в 99% случаев дают нужный тебе пароль без перебора всех вариантов.

В-третьих, математически доказано, что подбор пароля перебором быстрее всего осуществить выбирая значения наугад.

В-четвёртых, эта новость как раз о том, что подбирать пароль зачастую вообще не нужно.

Ты не в состоянии сложить даже 1, 2, 3 и 4. Изучать комбинаторику тебе ещё рано. Ты похож на всезнайку, который может без запинки сказать сколько вариантов паролей можно выбрать на экране Андроид, но забывает про свои жирные пальцы.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  –2 +/
Сообщение от Аноним (??) on 31-Янв-17, 16:54 
>[оверквотинг удален]
> Во-вторых, база данных слов и частых паролей в 99% случаев дают нужный
> тебе пароль без перебора всех вариантов.
> В-третьих, математически доказано, что подбор пароля перебором быстрее всего осуществить
> выбирая значения наугад.
> В-четвёртых, эта новость как раз о том, что подбирать пароль зачастую вообще
> не нужно.
> Ты не в состоянии сложить даже 1, 2, 3 и 4. Изучать
> комбинаторику тебе ещё рано. Ты похож на всезнайку, который может без
> запинки сказать сколько вариантов паролей можно выбрать на экране Андроид, но
> забывает про свои жирные пальцы.

а еще забывает что пароль длиной больше чем его хэш - стойкости не добавляет. может сделать пароль из 256 символов, но достаточно будет перебрать 8 и все случится.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +2 +/
Сообщение от Аноним (??) on 31-Янв-17, 16:57 
Софт и про прошика нетгира - гуано.
Испытывал проблемы с доступом в веб-админку WNDR4300. Как оказалось, они суппортять только браузер IE. В других браузерах жуткие тормоза.
Support меня культурно послал.
Установил OpenWRT и стало ништяк. Так что смело прошивайте свои роутеры с ботнет-Ready прошивками на OpenWRT.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Аноним (??) on 31-Янв-17, 17:14 
А может ты поизучаешь комбинаторику?

Пароль состоящий из больших букв, маленьких цифр, спецсимволов, достаточной длинны, ну скажем 100 символов, бытовой компьютер, а уж тем более роутер будет перебирать десятками миллионнов лет, если не триллионами. Самый быстрый суперкомпьютер будет перебирать несколько десятков миллионов лет. А теперь посмотри какая начинка у маршрутизатора. Даже если объединить несколько тысяч маршрутизаторов в ботнет, пропускная способность будет слишком низкой для быстрого перебора пароля. Да и смысла нет столько ждать. Если тебе нужен чужой пароль, есть куда более эффективные и проверенные на практике десятилетиями, способы его добычи.

Сгенерировал пароль через urandom, 100 символов. Давай посчитаем, какая у него надёжность, с помощью той же комбинаторики:

(100^10)/100/60/60/24/365 ~ 31709791983 лет

Конечно, я не отрицаю того факта, что вычислительные мощности растут, но пользователь не может позволить себе держать суперкомпьютер дома. Да даже имея суперкомпьютер ничего не добьётся. Проще уж использовать другие способы взлома. Перебор уже давно устарел.

А теперь давай ещё погуглим:
https://xakep.ru/2011/08/18/56520/
http://www.securitylab.ru/news/406880.php

Заметь, тут описывается не взлом AES, а только снижение криптостойкости и то в теории. (да, знаю, что статья устарела, но я не слышал пока ничего про взлом AES)

> Новый способ атаки пока представляет собой только теоретический интерес, так как с

практической точки зрения он не позволяет в обозримом будущем сформировать
инфраструктуру для взлома реальных ключей
> на подбор ключа AES-128 с учетом представленного метода атаки потребуется 2 миллиарда лет

Кстати, заметь, ни о каком брутфорсе речи не идёт. Этот лет устарел на десятки лет уже, и давно не эффективен.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Аноним (??) on 31-Янв-17, 17:15 
> а еще забывает что пароль длиной больше чем его хэш - стойкости
> не добавляет. может сделать пароль из 256 символов, но достаточно будет
> перебрать 8 и все случится.

Ну можешь попробовать на своей машине поперебирать прямо сейчас. Случайно сгенерированный только, без дураков. В интернете полно программ и словарей для этого, действуй! ;)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +2 +/
Сообщение от Аноним84701 (ok) on 31-Янв-17, 18:21 
> Во-первых, взламывать будешь не ты лично, а простаивающий чужой маршрутизатор.

А у взламываемого маршрутизатора бесконечные ресурсы, чтобы отвечать на миллионы-миллиарды запросов в секунду, ага.

> Во-вторых, база данных слов и частых паролей в 99%

Дай угадаю - циферки в 99% идут от балды, да?

> случаев дают нужный  тебе пароль без перебора всех вариантов.

Кое-кто перед этим писал
>> пароль должен быть очень сложным

теперь вдруг пароль из базы данных слов. А кроме этих двух крайностей ничего нет, да?


% apg -m 10 -x 10 -M cl
beodbulsyo
Wolereriac
ClupefifNi
hevIjEacec
itNurvyeph
CoabPaunRi

И как, много тут слов из словарей и баз?

> В-третьих, математически доказано, что подбор пароля перебором быстрее всего осуществить  выбирая значения наугад.

А знание теорвера позволит нам утверждать, что достаточно перебрать n/2 всех комбинаций, классно да? Правда, если уж на то пошло, то в нашей реальности есть такая вещь, как распределение символов в паролях
https://habrahabr.ru/post/122153/

Ну лады, специально для знатоков опеннета,  облегченная версия – 10 знаков, есть уже хэш, не нужно ждать ответа устройтсва. В общем, все условия для того, чтобы продемонстрировать нам все "плевость" и "однопалцевость" задачи  =)


% wpa_passphrase anonnet $( apg -m 10 -x 10 -M cl -n 1)
network={
    ssid="anonnet"
    #psk=########
    psk=895fefa4a3b2d46d91264c5080fbce3aa08dac26c4f191da03620be2f8d12bf8
}


> В-четвёртых, эта новость как раз о том, что подбирать пароль зачастую вообще не нужно.

Я понимаю, читать на что отвечаешь - скучно и не про шибко вумных анонимов, но как бы,  эта конкретная ветка об очередном размышлизме анонимов про
>>  то твой пароль должен быть очень сложным (чтобы взломанный соседский роутер не подобрал  его перебором)

внезапно, да.


> Ты не в состоянии сложить даже 1, 2, 3 и 4. Изучать
> комбинаторику тебе ещё рано. Ты похож на всезнайку, который может без
> запинки сказать сколько вариантов паролей можно выбрать на экране Андроид, но
> забывает про свои жирные пальцы.

Ты похож на очередного анонима, сморозившего глупость и теперь всеми силами делающего вид, что окружающие просто не поняли всей гениальности великого :)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним84701 (ok) on 31-Янв-17, 18:32 
> а еще забывает

А если я вам вышлю аватарку на мыло, вы мне будущее предскажите?

>  что пароль длиной больше чем его хэш - стойкости
> не добавляет. может сделать пароль из 256 символов, но достаточно будет
> перебрать 8 и все случится.

Я понимаю, уважаемый Вангователь погрузился в пучину предсказаний вероятного будущего, но речь шла  не о рукожопстве, типа МСшного или как в ICQ, а о том, что
>> Если от ботнетов и неуловимых хакеров, то твой
>> пароль должен быть очень сложным (чтобы взломанный соседский роутер не подобрал
>> его перебором),

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

37. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +8 +/
Сообщение от Zema on 31-Янв-17, 18:48 
OpenWRT всё, щас все перешли на LEDE (как и 90% команды OpenWRT).
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 19:14 
> Ты похож на очередного анонима, сморозившего глупость и теперь всеми силами делающего вид, что окружающие просто не поняли всей гениальности великого :)

Он похож на очень жирного тролля. Я такого давно не видел.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Anonim (??) on 31-Янв-17, 21:06 
У меня здесь типа такого. Зачем менять, кому мой аккаунт нужен?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

42. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от angra (ok) on 31-Янв-17, 21:11 
> а еще забывает что пароль длиной больше чем его хэш - стойкости
> не добавляет. может сделать пароль из 256 символов, но достаточно будет
> перебрать 8 и все случится.

А теперь расскажи, какова криптографическая "длина" пароля из 8 алфавитно-цифровых символов?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

43. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от angra (ok) on 31-Янв-17, 21:20 
> Сгенерировал пароль через urandom, 100 символов. Давай посчитаем, какая у него надёжность, с помощью той же комбинаторики:
> (100^10)/100/60/60/24/365 ~ 31709791983 лет

И что ты здесь посчитал? Я вижу разве что пароль длиной в 10 символов из набора в 100 знаков, который подбирается со скоростью 100 попыток в секунду.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

44. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 31-Янв-17, 21:53 
Они уже решили мерджнуться обратно - http://lists.infradead.org/pipermail/lede-dev/2016-December/...
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

45. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Анонимс on 31-Янв-17, 22:10 
по недосмотру бабника-тестера, пьяницы-кодера и взбрыкнувшего программера по ошибке была выпущена прошивка без уязвимостей.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

46. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Аноним (??) on 31-Янв-17, 22:14 
Надо и тут было поставить свой любимый пароль от почты!
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от biomassa on 31-Янв-17, 22:56 
> Пароль состоящий из ... маленьких цифр,...

Это как? :D

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +4 +/
Сообщение от angra (ok) on 01-Фев-17, 02:59 
Ну например такой: ⅐⅑⅒⅓⅔⅕⅖⅗⅘⅙⅚⅛⅜⅝⅞

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Наркоман on 01-Фев-17, 05:31 
Вопрос — зачем менять пароль, если вебгуй доступен только из локалки?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

51. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  –1 +/
Сообщение от Аноним (??) on 01-Фев-17, 07:41 
Ты считаешь сколько будет перебираться в секунду, а тут посчитано сколько будет перебираться примерно. Это разные вещи. Но естественно тут не учитываются варианты типа повторяющихся символов. Очень примерный расчёт просто.

К ознакомлению:
http://e-maxx.ru/algo/generating_combinations

Перебор всех возможных вариантов с помощью кодов Грея.

Ещё немного инфы (в комментариях):
https://habrahabr.ru/post/101102/

> Я, кажется, понимаю их алгоритм, они смотрят, сколько комбинаций потребуется для перебора всех вариантов такого размера, полагая примерно 10-15 миллионов вариантов в секунду.

У анона тоже самое.

З.Ы. Нашёл, откуда это анон взял. Формула, однако, неправильная (или запятая потеряна):

10000000000 (кол-во всех возможных комбинаций) / 100 (получим количество секунд) / 60 (получим количество минут) / 60 (получим количество часов) / 24 (получим количество дней) / 365 (получим примерное количество лет), что равно примерно 3 года

То есть для пароля с 100 символами будет бритится примерно 3.170979e+190 лет.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

52. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от Roxotron on 01-Фев-17, 11:50 
Кто решил? Что решил? На официальном сайте ничего такого нет.

https://lede-project.org/

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

53. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 01-Фев-17, 12:50 
>1. Results from meeting at prpl OpenWrt summit
>Agreed upon:
>- merging back together
>Timeframe:
>- target january to merge back together and have time to resolve differences between the teams

https://forum.lede-project.org/t/new-lede-project-home-page/...

Вопрос когда окончательно - еще не решили до конца, либо какие-то формальности мешают.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

54. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 01-Фев-17, 14:31 
Можно вкратце по-русски - что и зачем они делают? Они же разделились из-за какой-то консервативной политики OpenWRT чтоли, вобщем что-то неподелили. Теперь опять в старый сарай, или чего? Что там происходит?
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от ommm on 01-Фев-17, 15:07 
"love" "god" "sex" (c)Hackers :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

56. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от t (??) on 01-Фев-17, 15:34 
Тем не менее, сегодня анонсировали LEDE v17.01.0-rc1
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от adminlocalhost (ok) on 01-Фев-17, 22:29 
Запрещаем https
Делаем открытый wifi
Собираем аутентификацию по номеру телефона
Собираем аккаунты VK.
...
Профит!
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

58. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от angra (ok) on 02-Фев-17, 01:40 
Я смотрю этот тред просто переполнен "гениями". Ты долго искал и нашел то, что я за две секунды понял по виду формулы. При этом ты так и не допетрил, что количество комбинаций считается неверно, а скорость перебора 100 в секунду слишком мала. Ну ничего, побегай еще по хабру, почитай умные комментарии, может и дойдет что-нибудь когда-нибудь.

А пока немного комбинаторики на пальцах. Есть у тебя пароль, состоящий из n символов, каждый из которых выбран из набора длиной k. Например, пароль из трех цифр это n=3 и k=10. Из пяти латинских букв это n=5 и k=26. Для первого символа есть k вариантов. Для каждого из этих вариантов второй символ может быть также выбран из k вариантов. Значит для пароля из двух символов общее количество вариантов это k*k или k^2. Если добавим третий символ, то к каждому и k^2 вариантов двухсимвольного пароля можно k способами добавить третий символ. А значит общее количество это (k^2)*k=k^3. Ну и так далее, легко догадаться, а с помощью индукции строго доказать, что общее количество вариантов будет k^n. Так что когда мы видим в формуле 100^10, это k=100 и n=10, а значит не 100 символов длина, в всего 10, а вот набор возможных значений для символов как раз 100. Ну а если посмотреть на указанный выше вариант команды для urandom, то мы увидим там набор из 26(a-z)+26(A-Z)+10(0-9)+1(-)+1(_)=64. То есть в формуле должно было быть 64^100, а не 100^10.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

59. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +1 +/
Сообщение от angra (ok) on 02-Фев-17, 02:09 
Отдельно отмечу, что все эти подсчеты сложности пароля исходят из того, что атакующему известен набор и хотя бы примерное количество символов в пароле. Однако на практике ему известны лишь ограничения системы, но не конкретного пароля. Для оптимизации он может разве что перебрать малый набор для ограниченной длины, а потом вынужден перейти к полному набору с увеличивающимся количеством символов. А значит достаточно длинный пароль, состоящий из  всего-лишь букв abc, практически не менее безопасен, чем состоящий из смеси больших и малых букв, цифр и спецсимволов.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 02-Фев-17, 07:21 
> То есть в формуле должно было быть 64^100, а не 100^10.

А я тебе ещё раз говорю, что там считается примерно и НЕ УЧИТЫВАЮТСЯ повторяющиеся числа, большие-маленькие буквы и прочее. Чё ты начинаешь то?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

61. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 02-Фев-17, 07:28 
> Отдельно отмечу, что все эти подсчеты сложности пароля исходят из того, что
> атакующему известен набор и хотя бы примерное количество символов в пароле.
> Однако на практике ему известны лишь ограничения системы, но не конкретного
> пароля. Для оптимизации он может разве что перебрать малый набор для
> ограниченной длины, а потом вынужден перейти к полному набору с увеличивающимся
> количеством символов. А значит достаточно длинный пароль, состоящий из  всего-лишь
> букв abc, практически не менее безопасен, чем состоящий из смеси больших
> и малых букв, цифр и спецсимволов.

Это смотря какой алгоритм используется. Я конечно читал истории на харбре, как за 15 минут взломать достаточно сложный пароль, но чёрт подери, всё-таки длинные пароли+соль играют свою роль, не так ли? Что-то я не видел, чтобы так быстро их ломали, да и зачем?

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

62. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от angra (ok) on 02-Фев-17, 16:24 
Понятно, математика не для тебя, даже школьного уровня.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

63. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от angra (ok) on 02-Фев-17, 16:30 
> но чёрт подери, всё-таки  длинные пароли+соль играют свою роль, не так ли?

Само собой. Я лишь указал, что начиная с какой-то длины, не играет особой роли, какой набор символов был использован в _конкретном_ пароле, атакующему все-равно придется ориентироваться на _потенциальный_ набор взламываемой системы. Поэтому оценки сложности длинного пароля по использованым в нем символам меня смешат.

Соль это про способ хранения пароля и защиту от rainbow tables, а не про его устойчивость к перебору.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

64. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 02-Фев-17, 18:47 
Согласен, можно и на LEDE. На тот момент LEDE еще не существовал.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

65. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 02-Фев-17, 18:50 
> Можно вкратце по-русски - что и зачем они делают? Они же разделились
> из-за какой-то консервативной политики OpenWRT чтоли, вобщем что-то неподелили. Теперь
> опять в старый сарай, или чего? Что там происходит?

На сколько помню, LEDE хочет обновить инфраструктуру и привести ее в адекватный вид, а так же обзавестись нормальной документацией. Вот тут и возникли терки с теми, кто не хотел ничего менять. Больше ничего утверждать не могу, нужно читать ихний "манифест".

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

66. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Аноним (??) on 02-Фев-17, 18:53 
> Кто решил? Что решил? На официальном сайте ничего такого нет.
> https://lede-project.org/

Некоторые люди, иногда путают обсуждения с решениями :) А некоторые из этого делают сенсации, иногда их называют журналистами :)

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

67. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от Клыкастый (ok) on 03-Фев-17, 14:59 
pwgen же
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

68. "В маршрутизаторах Netgear выявлена уязвимость, позволяющая у..."  +/
Сообщение от mmmo on 03-Фев-17, 20:06 
> "love" "god" "sex" (c)Hackers :)

admin:admin (c) Mirai

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру