Как открыть 1500 шлагбаумов Москвы

habr.com — Чпок-чпок, и в продакшн. Вообще ничему не удивлен.
Новости, Технологии | Дим Димский 11:13 08.01.2022
25 комментариев | 92 за, 1 против |
#1 | 11:15 08.01.2022 | Кому: Всем
Простите за захабривание родного ресурса, камрады. Просто тема для меня актуальная, а всю простынь в первый каммент тянуть-не комильфо.
#2 | 11:56 08.01.2022 | Кому: Всем
По-моему, самое вкусное в обсуждаемой статье — ссылки на SIP-сервисы подмены номеров звонящего. А уязвимости, если верить автору, уже пофиксили.
Сова
надзор »
#3 | 12:03 08.01.2022 | Кому: Всем
Админ лошара!
#4 | 12:24 08.01.2022 | Кому: Всем
Интересно было бы узнать уровень зряплат у разрабов.
#5 | 13:19 08.01.2022 | Кому: dse
Да эти ссылки уже тыщщу лет как известны . Я сам открываю шлагбаум одного СНТ через давно забытую СИП-звонилку, там подмена номера идет как опция.
Подмена номера- зло, я в своем поселке отключил гсм-открывашку, за открывание ворот отвечает телеграмный бот.
#6 | 13:33 08.01.2022 | Кому: Всем
Тему видеонаблюдательных облачных сервисов и популярных ip-камер для чайников типа: "достал из коробки, воткнул интернет - работает" лучше даже не затрагивать. Мои админы тут занялись недавно опробацией внедрения у всех мелких клиентов сервиса IPS/IDS на периметре. Сначала голый NIDS Сурикату из коробки поставили, без допиливания, получили по 100-200 алярмов в секунду на одном шнуре 30Мбит от провайдера. Начали разбираться: сканирование из сотен источников всех портов с различными сигнатурами. Думали, может IP такой где-то засвеченный, поставили другому клиенту - та же картина. Сменили через провайдеров айпишники, та же картина.
В целом 10-15% трафика в интернете, это различные кулхацкеры и ботнеты сканят весь интернет на предмет наличия IoT устройств, камер, технических средств (типа тех же шлагбаумов) которые не спрятаны за dmz и фаерволами, а торчат голой жопой на мороз.
Степень рукожопости настройщиков и жадности заказчиков многими не кажется большой, а я лично наблюдал не однократно, как охуенные специалисты по видеонаблюдению выставляли вебморды китайских видеорегистраторов с паролем 123456 в интернет через домашние роутеры уровня D-Link DIR-300.
А в любимом некоторыми местными камрадами даркнете (который они используют исключительно чтобы читать vott) продаются целые ботнеты на китайских устройствах, ведь китайозы не сильно парятся за софт для своих железок - кастрированный линух, не обновляемый никогда, без фаервола, даже в самой задрипанной камере за 800р.
#7 | 15:21 08.01.2022 | Кому: speaktr
> Сначала голый NIDS Сурикату из коробки поставили, без допиливания, получили по 100-200 алярмов в секунду на одном шнуре 30Мбит от провайдера. Начали разбираться: сканирование из сотен источников всех портов с различными сигнатурами. Думали, может IP такой где-то засвеченный, поставили другому клиенту - та же картина. Сменили через провайдеров айпишники, та же картина.

Так надо ж банить по IP-шникам на неделю после первой же попытки неавторизованного сканирования. После этого 100-200 алармов в секунду скукоживаются до 5-10, а всё остальное бесшумно давится на месте.

А вообще, добро пожаловать в волшебный новый мир, в котором постоянно идёт невидимая глазу война, идут непрерывные боевые действия, в которых стоит один раз широко зевнуть, как тебя бесшумно и незаметно поимеют, и рот закрыть уже не удастся.
#8 | 16:25 08.01.2022 | Кому: dse
Банить по айпишнику - пустое занятие. Каждое новое поиметое устройство - член ботнета с новым айпишником.
Никаких мощностей на файерволе не хватит. А тут еще IPv6...
Тут только интеллектуальное сканирование трафика.
#9 | 16:47 08.01.2022 | Кому: speaktr
> Банить по айпишнику - пустое занятие.

Опыт показывает, что вовсе не пустое. После внедрения этой банилки все попытки подбора пароля как отрезало.

> Каждое новое поиметое устройство - член ботнета с новым айпишником.


Ну да, и что?

> Никаких мощностей на файерволе не хватит.


Это некоторое преувеличение. Вот прямо сейчас 15000 заблокированных адресов, адрес блокируется на неделю сразу же за любую попытку обращения к наиболее ходовым сервисам вроде SSH, POP3, IMAP, SMTP, Oracle listener, MS SQL, HTTP, HTTPS, WWW proxy, Squid proxy, Socks proxy, NetBIOS, microsoft-ds и так далее, а также за попытки перебора портов. В итоге занято всего 164Мб ОЗУ из 1Гб, переполнения памяти ни разу не наблюдал, процессор не загружен вообще.

> А тут еще IPv6...


Это да. Но со стороны IPv6, как ни странно, попыток сканирования вообще не наблюдаю. Правда, он у меня ублюдочный, 6to4.

> Тут только интеллектуальное сканирование трафика.


Как пишут во всех руководствах по информационной безопасности: «Любая попытка сканирования — это подготовка к атаке с последующим взломом». Поэтому — банить на месте, безо всяких разговоров.
#10 | 17:31 08.01.2022 | Кому: dse
> > Банить по айпишнику - пустое занятие.
>
> Опыт показывает, что вовсе не пустое. После внедрения этой банилки все попытки подбора пароля как отрезало.

Да я не спорю, только банилка отсекает один вид атак. А если не подборы паролей, а сканирования на уязвимости, в том числе и протоколов шифрования по их портам, сканирования веб-сервера одновременно со 100 000 разных IP, банилка тут не помогает.


>

> > Никаких мощностей на файерволе не хватит.
>
> Это некоторое преувеличение. Вот прямо сейчас 15000 заблокированных адресов, адрес блокируется на неделю сразу же за любую попытку обращения к наиболее ходовым сервисам вроде SSH, POP3, IMAP, SMTP, Oracle listener, MS SQL, HTTP, HTTPS, WWW proxy, Squid proxy, Socks proxy, NetBIOS, microsoft-ds и так далее, а также за попытки перебора портов. В итоге занято всего 164Мб ОЗУ из 1Гб, переполнения памяти ни разу не наблюдал, процессор не загружен вообще.

А 10 миллионов? А сколько будет занято CPU, если у тебя таблица будет на 10 миллионов записей, как быстро FW будет по ней бегать? Ну это я уже в DDoS атаки завернул, в повседневности оно не так. Что не отменяет вопроса: как обычный FW без функций IDS/IPS может определить, что обращение к открытому для твоего веб-сервера порту является легальным, а не попыткой сломать старый не обновленный nginx известным эксплойтом, или попыткой применить эксплойт к дырявому php.
Алекс
надзор »
#11 | 17:45 08.01.2022 | Кому: speaktr
> А 10 миллионов?

ASIC в помощь.
#12 | 19:42 08.01.2022 | Кому: speaktr
> Да я не спорю, только банилка отсекает один вид атак.

Внезапно, банилка отсекает абсолютно все виды атак. После того, как адрес попал в список блокировки, никакие атаки с него провести уже невозможно, все обращения с него заканчиваются таймаутами.

> А 10 миллионов?


А ты прикинь, сколько будет стоить его создателю такой ботнет, и будет ли он специально травить им какого-то истеричного недотрогу, который банит любого за одну-единственную попытку стукнуться, например, в 22/tcp, теряя при этом время, которое, как известно, деньги, если рядом полным-полно ротозеев с открытыми дырявыми сервисами на 80/tcp?

> А сколько будет занято CPU, если у тебя таблица будет на 10 миллионов записей, как быстро FW будет по ней бегать?


«Что ты думаешь, доедет то колесо, если б случилось, в Москву или не доедет?» (с)

> Что не отменяет вопроса: как обычный FW без функций IDS/IPS может определить, что обращение к открытому для твоего веб-сервера порту является легальным, а не попыткой сломать старый не обновленный nginx известным эксплойтом, или попыткой применить эксплойт к дырявому php.


Для нищих без IDS/IPS есть давно и хорошо известный трюк с пересадкой своих сервисов с широко известных портов на рандомные, известные лишь тебе и ограниченному кругу твоих клиентов, и немедленный бан всех, кто ломится к тебе на широко известные. Само собой, данный трюк неприменим в случае, если нужно оказывать услуги неустановленному кругу лиц сервисами на широко известных портах. Тут без IPS/IDS обойтись не получится, но даже в этом случае на слабом оборудовании проще сразу же банить весь адрес, с которого IDS зафиксировала хотя бы одну попытку взлома, потому что обход списка блокированных адресов по бинарному дереву всяко дешевле проверки сигнатур.
#13 | 19:45 08.01.2022 | Кому: Алекс
> ASIC в помощь.

Ага. Только он как раз чаще всего используется в устройствах с UTM.
Использовать преимущества ASIC только для банилки по IP - это забивать гвозди микроскопом.
#14 | 20:58 08.01.2022 | Кому: dse
> > Да я не спорю, только банилка отсекает один вид атак.
>
> Внезапно, банилка отсекает абсолютно все виды атак. После того, как адрес попал в список блокировки, никакие атаки с него провести уже невозможно, все обращения с него заканчиваются таймаутами.

Ээ. Вот у тебя опубликован наружу сервер сбора телеметрии с gps-терминалов. Заметь, сервер у тебя не на самом МСЭ, а в DMZ. А на МСЭ только ACL, разрешающий соединение. И вот ты 100 лет не обновлял ПО для твоего gps-сборщика и к нему есть определённый эксплойт. Злоумышленник стучится в открытый на МСЭ порт и получает ответ "я gps-трекер версия 1.1.2". Оппа, есть эксплойт, давай его применим. Злоумышленник еще раз засылает данные на "я gps-трекер", в результате чего тот выполняет некие действия и становится мурзилкой.
Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера? Да никак, он не заблочит этот IP, с которого было обращение.
А теперь давай представим, что злоумышленник - я. Мне надо найти пользователей "я gps-трекера, версия 1.1.2", так как у меня есть эксплойт. Я запускаю сканирование диапазона IP всего рунета, но по одному порту: 3501 (например). Нахожу открытые, которые мне правильно отвечают, так как настройщики не удосужились сменить порт. И я применяю к ним эксплойт. Теперь допустим, что я знаю, что в компании "Бобруйская Логистическая Компания" с IP 80.40.20.10 используется "Я GPS-трекер". Тогда я возьму ботнет на 65535 хостов и с каждого IP постучусь на каждый порт. Или 32768 хостов два раза стукнусь в два порта. Или с 16384 четыре раза в 4 порта. Или... На каком пороге твоя банилка сработает? Не важно. Важно, что я таки получу ответ хоть на одном порту, что "я gps-трекер, версия 1.1.2" и далее уже запущу эксплойт с еще какого-нибудь другого IP.
Таким образом мне не надо сканирование каждого IP, чтобы сломать что-то. А вот владельцу трекера нужен анализатор трафика, чтобы предотвратить любые сценарии.

>

> > А 10 миллионов?
>
> А ты прикинь, сколько будет стоить его создателю такой ботнет, и будет ли он специально травить им какого-то истеричного недотрогу, который банит любого за одну-единственную попытку стукнуться, например, в 22/tcp, теряя при этом время, которое, как известно, деньги, если рядом полным-полно ротозеев с открытыми дырявыми сервисами на 80/tcp?

При веерном сканировании ищутся именно ротозеи. А при адресной атаке твоя банилка ни о чем.

> на слабом оборудовании проще сразу же банить весь адрес, с которого IDS зафиксировала хотя бы одну попытку

> взлома, потому что обход списка блокированных адресов по бинарному дереву всяко дешевле проверки сигнатур.

Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись.
И в этом заключается моя услуга по подписке некоторым моим клиентам. Сейчас как раз в ОПЭ на 5-ти клиентах, которые сильно беспокоятся за свои данные. Жду результатов эффективности. Начал внедрять как раз после того, как одного целенаправленно сломали, через общеизвестный в РФ криптошлюз, но про это я пока не могу рассказывать, пока они патчи не сделают.
#15 | 22:53 08.01.2022 | Кому: speaktr
> общеизвестный в РФ криптошлюз

Эм... А хотя бы первую букву названия криптошлюза ?
Алекс
надзор »
#16 | 07:19 09.01.2022 | Кому: speaktr
> Только он как раз чаще всего используется в устройствах с UTM.
> Использовать преимущества ASIC только для банилки по IP - это забивать гвозди микроскопом.

Безусловно. Я просто вас по диагонали прочитал и не так понял посыл.
Алекс
надзор »
#17 | 07:20 09.01.2022 | Кому: Дим Димский
Да их не дофига популярных.
Континент, випнет да Дионис какой нибудь.
#18 | 15:44 09.01.2022 | Кому: Дим Димский
> Эм... А хотя бы первую букву названия криптошлюза ?

Пока тикет открыт и патча нет очень сильно просили молчать, аж NDA прислали на подпись.
#19 | 15:46 09.01.2022 | Кому: Алекс
> Да их не дофига популярных.
> Континент, випнет да Дионис какой нибудь.

Диониса и Континента не знаю.
Навскидку те, с которыми работал, которые внедрял или просто вертел в руках и игрался:
МагПро, Ideco (даже сертификат где-то валяется по их курсам), S-Terra, КриптоПро nGate.
Алекс
надзор »
#20 | 15:54 09.01.2022 | Кому: speaktr
Кроме магпро слышал за всех. Работал правда только с стерра.

А континент это МСЭ/апкш от код безопасности, может слышал.

P.s. есть ФСТЭК версия fortigate, я когда узнал, у меня уже глаз задёргался.
#21 | 20:12 09.01.2022 | Кому: speaktr
> Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера?

Никак, моя стратегия для этого не предназначена. Об этом русским языком было написано во всех моих предыдущих постах, но ты всё равно читаешь одно, а думаешь что-то своё, другое.

> При веерном сканировании ищутся именно ротозеи.


Стратегия пересаживания сетевых сервисов на нестандартные порты и немедленного бана при попытке обращения к широко известным портам, на которых ничего нет, уже исключает применяющего её из категории ротозеев. Более того, это её единственное предназначение. Но при наличии вокруг 95% ротозеев этого вполне хватает для защиты домашних пользователей и мелких офисов, которые, максимум, выставляют наружу VPN-концентратор для своих удалённых сотрудников и SSH для сетевика-аутсорсера.

> А при адресной атаке твоя банилка ни о чем.


А при адресной атаке ничего вообще ни о чём. Аплинк забивается, и, привет, сделать ничего нельзя.

> Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись.


Выяснилось оно, my ass! Это, как бы, и так очевидно безо всяких дополнительных выяснений.
#22 | 23:26 09.01.2022 | Кому: dse
> > Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера?
>
> Никак, моя стратегия для этого не предназначена. Об этом русским языком было написано во всех моих предыдущих постах, но ты всё равно читаешь одно, а думаешь что-то своё, другое.

Стратегия перевешивания сервиса на левый порт и бана IP? Тогда уж логичным будет Port knocking, как продолжение темы.
Да, стратегии которые ты описываешь для маленьких контор, у которых денег мало, вполне могут сойти как спасение от мамкиных хацкеров.
Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования.
Я то, наверное, действительно рассказываю про другое. А ты про своё.


> Стратегия пересаживания сетевых сервисов на нестандартные порты и немедленного бана при попытке обращения к широко известным портам, на которых ничего нет, уже исключает применяющего её из категории ротозеев. Более того, это её единственное предназначение. Но при наличии вокруг 95% ротозеев этого вполне хватает для защиты домашних пользователей и мелких офисов, которые, максимум, выставляют наружу VPN-концентратор для своих удалённых сотрудников и SSH для сетевика-аутсорсера.


Да занимался я этим самым с 2008 по 2019-й. Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать. Видимо ты не сталкивался.

>

> > А при адресной атаке твоя банилка ни о чем.
>
> А при адресной атаке ничего вообще ни о чём. Аплинк забивается, и, привет, сделать ничего нельзя.

Мы не про ддос.

>

> > Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись.
>
> Выяснилось оно, my ass! Это, как бы, и так очевидно безо всяких дополнительных выяснений.

Очевидно было для больших контор.
А теперь у хацкеров появились инструменты, которые эффективно и дёшево позволяют и ломать и мелкие конторы.
Наблюдаю попытки ломать всё и везде, раньше такого напора не наблюдалось.
Довольно изощренные атаки, даже на какое-нибудь говно типа мелких кафешек с одной кассой и манагерским компом.
Видать у высаженных на удалёнку студентов появилось дохуя свободного времени, а запиздрячить себе свой ИИ на нейросети, который будет интеллектуально ломать всё подряд, становится всё проще и дешевле.
#23 | 11:40 10.01.2022 | Кому: speaktr
> Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать.

Перестала работать именно стратегия немедленного бана при попытке обращения к любому широко известному порту? Точно?

> Видимо ты не сталкивался.


Не, не сталкивался.

> Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования.


А эти дурни вообще непонятно зачем выставили свои сервисы в интернет. VPN, VPN, и ещё раз VPN. Можно же купить свою изолированную APN у какого-нибудь мобильного оператора, укомплектовать всё своё оборудование (шлагбаумы и GSM-кнопки для открытия шлагбаумов) симками с доступом только к этой APN и больше никуда и раздавать эти кнопки своим клиентам. Видимо, показалось слишком дорого. Ну, скупой платит постоянно.
#24 | 14:02 11.01.2022 | Кому: dse
> > Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать.
>
> Перестала работать именно стратегия немедленного бана при попытке обращения к любому широко известному порту? Точно?

Злоумышленники перестали тупо долбиться и сканить. Действуют более интеллектуально, с использованием ИИ, с использованием сложных алгоритмов поиска уязвимостей, задействуют обширные ботнеты со сложным управлением. Ну да тут уже тебе к пентестерам за подробностями, я сам обращаюсь по серьёзным вопросам к партнёрам, которые занимаются исключительно безопасностью.
А мамкины хацкеры и тупые сканилки "на лоха", это уже такой фон в трафике, как реликтовое излучение.

>

> > Видимо ты не сталкивался.
>
> Не, не сталкивался.

Повезло.

>

> > Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования.
>
> А эти дурни вообще непонятно зачем выставили свои сервисы в интернет. VPN, VPN, и ещё раз VPN. Можно же купить свою изолированную APN у какого-нибудь мобильного оператора, укомплектовать всё своё оборудование (шлагбаумы и GSM-кнопки для открытия шлагбаумов) симками с доступом только к этой APN и больше никуда и раздавать эти кнопки своим клиентам. Видимо, показалось слишком дорого. Ну, скупой платит постоянно.

Нет. Не показалось слишком дорого, они не знают про такие вещи.
Я общался с большим количеством всяких монтажников видеокамер, СКД, пожарок и охранок, АСУТП.
Они просто не знают, что такое VPN. Уж тем более APN. Если железка умеет работать из коробки при втыкании шнура, то доп.настроек не требуется. Ну может параметры там свои специфические подкрутят.
Например из всех вышеперечисленных только 1 из 5-ти настраивают синхронизацию времени и чаще всего это АСУТПшники, а остальным насрать.
#25 | 14:18 11.01.2022 | Кому: speaktr
> Я общался с большим количеством всяких монтажников видеокамер, СКД, пожарок и охранок, АСУТП.
> Они просто не знают, что такое VPN. Уж тем более APN. Если железка умеет работать из коробки при втыкании шнура, то доп.настроек не требуется. Ну может параметры там свои специфические подкрутят.

Господи! Да они ж идиоты! Мы все обречены.
Войдите или зарегистрируйтесь чтобы писать комментарии.