09.06.2017 13:17:38
Häkitud tõlge – alates subtiitritest ja lõpetades täieliku ülevõtmisega
Check Pointi uurijad avalikustasid uue ründevektori, mis ohustab miljoneid kasutajaid üle terve maailma: rünnak subtiitrite kaudu!
Ründajad panevad kokku pahatahtliku subtiitrifaili, mille ohvri meediamängija laadib alla ja mis võimaldab ründajatel võtta täielikult üle iga tüüpi seadme, kasutades ära haavatavusi, mis leiduvad paljudes populaarsetes voogesitusplatvormides, nagu VLC, Kodi (XBMC), Popcorn-Time ja Stremio. Hinnangute kohaselt on haavatav tarkvara kasutusel ligikaudu 200 miljonis videomängijas ja voogesitajas, mis teeb sellest ühe kõige laiemalt levinud hõlpsasti juurdepääsetava ja nullvastupanuga nõrga koha, millest on viimastel aastatel teatatud.
Kodi sai minu tead ajuba mitu nädalat tagasi patchi...
Ja saadaval on see ka valmis kompileerituna, mitte ainult lähtekoodina. _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
LKits, see pole ju otseselt viirusetõrje ülesanne. Taoline väljuv ühendus peaks hoopis tulemüüri kinni jääma.
Kurb on aga see, et Windowsi tulemüür vaikimisi olekus ju väljuvaid ühendusi ei kontrollil ega piira.
See näidisrünne windowsi pihtsa oli igati tore ja hirmutav, aga on keegi kuskil netivarustes mõne sellise artikli otsa ka komistanud, kus selle sama asjaga mingit ARM'i põhise karbi kallale minnakse?
Väljuva liikluse pordipõhine filtreerimine ei oma erilist mõtet, sest mitte ükski vägi ei keela pahalasel kasutada mõnd levinud porti, nagu näiteks 80 võí 443 või 53 mis on väga tõenäoliselt lahti niikuinii. Ja kui sa tahad nüüd piirata näiteks lahtioleva pordi 80 kaudu liiklust, mis ei ole http, peab sul olema juba palju targem ja võimekam müür, kes saab L7 peal toimuvast aru ja ka inimene, kes natuke asjast aru saab ja oskab probleeme lahendada, kui legitiimsed asjad ei tööta. Neid keskmisel kodukasutajal pole. Ja subtiitripõhine rünne võiks olla sihitud just eelkõige kodukasutaja vastu.
mahno, tõsi ta on.
Lihtlabane pordipõhine filtreerimine on antud juhul muidugi kasutu. Küll aga võiks aidata protsessi/rakenduse põhine filtreerimine. Mul hetkel puudub kahjuks info, kas see VNC server tuleb üles täiesti eraldiseisva/uue protsessina või pannakse "peremees" (KODI, popkorn, VLC) seda tegema. Esimese variandi korral saaks selle ikkagi kinni püüda.
Kuna VNC on igati legitiimne protokoll, siis selle mustrite viirusetõrjes ohtlikuks tembeldamine tekitaks rohkem probleeme, kui ära hoiaks. Mis organ see siis otsustaks, et sellel protsessil on lubatud VNC serverit mängida (RealVNC, TightVNC, jms.) ja mingil teisel pole. Äkki ma tahan ka konkureeriva VNC serveri rakendusega turule tulla? Suht nõme lugu oleks, kui kõik viirusetõrjed minu kätetöö ohtlikuks tembeldaksid.
Lokaalse tulemüüri võimekust spetsiifilist liiklust tuvastada mahno juba mainis. See tähendaks L7 peal analüüsimist/filtreerimist ja sellega tõesti näiteks Windowsi oma müür hakkama ei saa. Krt, kui see suudaks vaikimisi olekus väljuvaid ühendusi kinni püüda, oleks suur osa probleeme juba lahendatud.
Kuna VNC on igati legitiimne protokoll, siis selle mustrite viirusetõrjes ohtlikuks tembeldamine tekitaks rohkem probleeme, kui ära hoiaks. Mis organ see siis otsustaks, et sellel protsessil on lubatud VNC serverit mängida (RealVNC, TightVNC, jms.) ja mingil teisel pole. Äkki ma tahan ka konkureeriva VNC serveri rakendusega turule tulla? Suht nõme lugu oleks, kui kõik viirusetõrjed minu kätetöö ohtlikuks tembeldaksid.
Lokaalse tulemüüri võimekust spetsiifilist liiklust tuvastada mahno juba mainis. See tähendaks L7 peal analüüsimist/filtreerimist ja sellega tõesti näiteks Windowsi oma müür hakkama ei saa. Krt, kui see suudaks vaikimisi olekus väljuvaid ühendusi kinni püüda, oleks suur osa probleeme juba lahendatud.
Kasutaja.
Nagu nutitelefonides, peaks olema ka arvutis tänapäeval võimalik "välja lülitada" programmi "ligipääse".
No telefonis on sul ainult käputäis eelnevalt määratud objekte, kuhu Sa ligipääsu lubada/keelata saad. Tavalise desktop OS'i puhul oleks see "VNC õigus" ju üks väääga paljudest võimalikest protokollidest. Aga OK, ma sain iseenesest aru, kuhu Sa oma mõttega tüürisid.
Aga vaatame korra seda olukorda vähe laiemalt. Täna tekitati ligipääs üle üsnagi standardse VNC protokolli (sellise, millele saab taolise õiguse 'lüliti' teha). Aga homme võib ju selleks mingi täiesti custom protokoll olla. Kirsiks tordil saaks selle veel üle SSL'i vastu porti 443 käima panna. Sedasi pole seal enam väga midagi filtreerida.
Tolle haavatavuse "point" oli ju selles, et subtiitritega sai kaasa panna (ja hiljem käivitada) mingi "kingituse". Hetkel oli selleks lihtsalt VNC.
Ikkagi kummaline - miks peaks player subtiitri, mis on puhas ASCII tekst, alusel hakkama kuskilt netist ja veel ettesöödetud aadressilt kahtlast alla tõmbama ja installima? See on ikka playeri räme tagauks. Op.süsteem on kordades vähem süüdi.
Loodetavasti on nüüdseks mainitud playerid veavabad.
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.