не все сервисы одинаково полезны

Незащищённость многих старых систем семейства DOS/Windows в своё время привела к расцвету целой индустрии антивирусного ПО.

И если ряд продуктов действительно пытались делать мир лучше и устранять реальные опасности, многие из этого семейства лишь симулировали деятельность, появился даже отдельный термин «фальшивые антивирусы».

Более того, работая как высокопривилегированная программа, антивирус имеет доступ ко всей информации на ПК, чем некоторые недобросовестные разработчики начали откровенно злоупотреблять, вставляю вмеситор чужой адвари свою и активно приторговывая пользовательскими данными.

Поэтому когда некоторые говнопродукты громко покидают российский рынок, не торопитесь печалиться — говно в золотой фольге по-прежнему остаётся говном по сути, и тут невелика потеря.

Более того скажу — кривой AVG после этих выходок не просто переставал работать, но и своим «типа файерволом» ломал доступ в интернет. Лечится сносом авг.

К сожалению, относится это не только к фейковым антивирусам мелких компаний. Крупняк жжот ничуть не хуже:

Например, яббл, активно снося аутентичные приложения российских банков, совершенно не торопится сносить явно мошеннические приложения, активно потворствуя киберпреступности, если это, конечно, «кого надо» киберпреступность.

Пусть вас не смущает число звёздочек — это всего лишь циферка их из базы данных, и она может быть любой.

И так случится может с любым продуктом или сервисом, который вам неподконтролен и хостится не у вас.

Некоторые затейники даже ведут списки «вирутально усопших» сервисов у гугла и микрософта. Если вы успели подвязаться на какой-то из продуктов списка — ССЗБ.

Если даже используемый вами софт помирать не собирается, это ещё не значит, что его стоит использовать. Вот казалось бы, что может быть опасного от широко известных онлайн-игр ?
Ну, например «античит», являющийся по сути готовым руткитом.
Примеров много.

По мне так, разработчики игр не имеют ни малейших прав и оснований вообще копаться в моём компьютере, не говоря уже об инвазии подобного уровня наглости.

Cisco CVE-2023-20198

В дикой природе хакеры-киберзатейники активно патчат циски, торчащие веб-мордой в интернеты или даже уязвимые локалки.
Рейтинг опасности — 10 из 10, уязвимость в веб-морде. Патчей никаких нет, решение — отключить веб-морду.

Отчет, описание баги и ссылка на чекалку: https://vulncheck.com/blog/cisco-implants
Новость: https://www.cnews.ru/news/top/2023-10-19_10-ballnaya_uyazvimost_v_ios

Красивая диаграмма с распространением сетевой инфекции по странам:

Кто быстро найдёт там Россию — тому плюсик за внимательность.
А вот что странно — вообще нет Китая. Обычно в таких уязвимостях они на почётном втором-третьем месте. То ли они всё зафайерволили (взломанные утсройства есть, но их не видит сканер), то ли они таки в рамках своего китайского импортозамещения таки выперли циску со своего рынка с концами.

Если злоумышленники активизируют всё разлитое по железу — грядут очень нескучные дни.

Это к вопросу о важности минимизации поверхности атаки (кто там забывал ACL-ки писать и ленился лишнюю команду вбить ?) и следовании принципам максимальной простоты и минимума привилегий.

WD летает в облаках =)

Прочитал тут на секулабе окуитительную новость.

Western Digital на протяжении шести дней испытывает трудности с восстановлением услуг облачного сервиса My Cloud после кибератаки. В связи с многочисленными жалобами и эскалацией на уровне руководства, компания приняла решение разрешить локальный доступ к сетевым устройствам хранения данных.

То есть у этих жадных неадекватов, ябблом укушенных, доступ пользователей к собственным файлам на личном устройстве делался только через логин в их облачном сервисе. Соответственно, конторка WD имела возможность полного управления клиентскими устройствами хранения данных и могла в любой момент поставить пользователей своей продукции в позу человеческой многоножки.

Как закономерный и предсказуемый итог — массовый взлом, затронувший не только внутренние системы WD, но и работу огромного числа уже купленных устройств, установленных у пользователей. Возможно также (почти навернка, грехз было не воспользоваться таким доступом) похищение огромных объёмов пользовательских данных — причём объём утечки даже приблизительно оценить крайне затруднительно, ибо прошивки такие детальных логов не ведут, и никто не будет обследовать всю массу потенциально скомпрометированных устройств.

Впрочем, после невероятно вероломной амазоновской выходки с деплатформингом парлера репутация любых неподконтрольных/труднопереносимых облачных сервисов у внятных людей должна оцениваться на уровне плинтуса.

IPTV-STB с черепушкой =)

Принесли тут забавную китайскую коробочку — IPTV-приставку/медиаплеер от Beelink с черепом на коробке, купленную на алике.

Череп зач0тный, глаза при включении светятся и переливаются разными цветами.

А вот основанная на андроиде-9 прошивка глубоко и качественно протроянена прямо с завода, и после довольно длительного периода неактивности (~ 3 года) коробочка вышла из анабиоза, начала самопроизвольно включаться по ночам, лазать на китайские сервера за всякими греховными инструкциями, и буквально сразу после включения начинать массовые сетевые атаки, перебирая большие диапазоны хостов в интернете на предмет доступного для причинения насилия порта TCP:5555 :

{
"PORT HIT": ":40946->194.103.x.y:5555",
"MESSAGES": "Array
(
[09:52:42] => CNXNu0001u0000u0000u0001u0000u0000u0010u0000qu0000u0000u0000.,
u0000u0000¼±§±host::
features=remount_shell,abb_exec,fixed_push_symlink_timestamp,
abb,stat_v2,apex,shell_v2,fixed_push_mkdir,cmd
)

Флудит так, что от провайдеров жалобы прилетают пачками.

Не покупайте такое железо, а если обнаружили что-то подобное — избавьтесь или отсеките от интернета. Поверьте, экспириенс Димы Богатова вам точно не нужен.

Зачем изоляция игровым приложениям.

Всем привет.

Я писал ранее про вопросы изоляции приложений с помощью виртуальных машин и отдельных вайн-префиксов.

И если для банковских приложений подобный подход понятен (и то не всем, многие не готовы жертвовать толикой удобства во имя безопасности), то для игр это может показаться странным. Я же скажу, что такой подход было бы неплохо применять к существенному большинству сетевых приложений.

Например, такая древняя игрушка, как CoD MW2. Под неё есть древний эксплойт более чем пятилетней давности, который и через 5 лет активно эксплуатируется.

То есть запускаете вы игруху, подключаетесь к недостаточно доверенному или просто ранее взломанному игровому серверу, и клиент игры запускает нечто стороннее и к игре не относящееся в вашей системе. В последнем случае хакер был гуманный и ограничился лишь демонстрацией возможности. Однако никаких ограничений на тип запускаемого файла в данном случае нет.

В этом плане современные античит-системы, ставящие свои драйверы (а это исполняемый в ядре код, работающий с высшими привилегиями и слабо подконтрольный защитным решениям), которые тоже могут быть написаны весьма небрежно и содержать вагон уязвимостей. Вообще подобные решения под видом «защиты от читеров» позволяют себе недопустимо глубокое вмешательство в систему пользователя и существенно нарушают его приватность.

Так что если вы играете в какие-либо современные сетевые игры, ставящие подобную фигню — не считайте такие игровые машины доверенными, не админьте с них, и уж тем более не используйте там банк-клиенты и криптокошельки. Заведите под доверенные задачи маленький доверенный ноутбук.

Понятное дело, что исповедуемая мной политика нулевой терпимости к подобным руткитам (в приверженности к старым играм есть и свои плюсы 😀 ) не подойдёт активным геймерам, желающим попробовать каждую новинку, да ещё и в сугубо лицензионном её варианте.

Интерфейс для реально неопытных пользователей.

Очень давно, ещё когда Windows XP была актуальной какбы операционкой, вживую довелось наблюдать, как действительно неопытные пользователи пытались использовать MS Excel (97 версии !!) для такой казалось бы простой задачи, как ведение списка посетителей на проходной предприятия.

Людям, хорошо знакомым с компьютером, очень сложно понять, в чем может быть проблема — казалось бы, набивай новые данные в новые строчки, да и нормально, в чём, казалось бы, могут быть вообще проблемы на такой простой задаче ?

(далее…)

киберзаражение =)

Всем привет.

Если вам доводилось обслуживать по контракту сети каких-либо организаций, то в какой-то момент рано или поздно вы встретитесь с подобным письмом:

brute-force from your network / domain (*.*.*.*)
An attempt to brute-force account passwords over SSH/FTP by a machine in your domain or in your network has been detected. Attached are the host who attacks and time / date of activity. Please take the necessary action(s) to stop this activity immediately. If you have any questions please reply to this email.

Host of attacker: *.*.*.* => =>
Responsible email contacts: contact@isp-or-company.email
Attacked hosts in our Network: {тут будет куча IP-адресов}

(далее…)

Полезные чек-листы

Иногда полезно проверить, является ли тот софт, который вы используете или только хотите использовать, достаточно доверенным.
Это было разумным во все времена, но сейчас стало особенно актуально.

В практическом инфобезе хорошей практикой считается проверка CVE-List и списков активно используемых уязвимостей для используемых версий софта. Например, американского CISA и/или российского списка ФСТЭК.

После известных событий по «принудительному гуманизированию Украины», появился ещё один список буйных хактивистов:
Техдирский Клуб @ctorecordschat | Случай малвари, шифровальщиков и прочего

Безотносительно того, какую сторону конфликта вы поддерживаете или не поддерживаете, использование открытых проектов для политических дрязг — это 3,14здец какое говно. Просто зашквар. Одна из сильнейших сторон опен-сурсного движения — нейтралитет относительно убеждений/верований/политики.

Да, мы знаем, что северокорейский Ким — лютый диктатор. И что их кривая переделка — наглый спиздинг и нарушение не только лицензий, но и всех норм приличия и морали.

Но означает ли это, что для северокорейских IP-адресов допустимо отдавать вредоносные апдейты или иной вредоносный код при тех же апдейтах ?
Если вы считаете, что да — поздравляю, вы BLM-нутый идиот, верящий в силу «культуры отмены».

На практике это в итоге никаких политиканов совершенно точно не остановит (кто-то наивно верит, что блокировка IP-диапазонов по странам со стороны какого-нибудь всратого guix или gnudb сможет достичь тех целей, которых не смогли достичь санкции США и риск ядерного конфликта ?), но вполне может привести к потере самого ценного, что вообще есть в OSS-проектах и сообществе OpenSource — ДОВЕРИЯ.

Некомпетентные идиоты c BLM-ом головного мозга в угоду текущей политической повесточке готовы похоронить всё то огромное доверие, которое нарабатывалось в опенсурсе десятилетиями ещё со Столлмана, совершенно не понимая, какую медвежью услугу они делают сообществу в долгосрочной перспективе, и какой бонус это даст мерзким монстро-корпорациям типа майкрософта и некоторым около-государственным деятелям от тех же цензурных ведомств.

Самые вопиющие случаи — явное внедрение вредоносных функций. Инцидент с node-ipc (даже по мерках npm-болота, случай запредельный), вредоносная отправка данных в последних версиях phppass и python-ctx — это вообще-то криминальные действия, за которые обычно сажают, безотносительно того, под каким мотивом подобное делается.

Всё равно считаете внедрение явно вредоносного кода допустимым во имя Уркаины ?
Ну хорошо, тогда подумайте о возможной цене ошибки, если аффтар-мудаг в своём говно-бэкдоре вместо $country == ‘RU’ опечатается в ОДНОМ СИМВОЛЕ и по недосыпу/недо-опохмелу/невнимательности впишет туда $country != ‘RU’. В какой-нибудь крупной широко распространённой библиотеке.

Ну и ещё пару штрихов для завершения картины.

В почтовой рассылке RIPE некоторое время шла бурная дискуссия, надо ли сделать экскоммуникацию всех российских AS из глобальной сети.
Нужно ли уточнять, как начали потирать ручки вот эти деятели после таких заявлений ?
Впрочем, через какое-то время в рассылку отписался разумный человек, заметивший, что рушить глобальную связность с крупнейшей страной по заявке какого-то левого анонима — это вообще не тема для обсуждения в столь серьёзной организации и вообще нефиг лить воду на мельницу любителям чебурнета, на чём обсуждение и завершилось.
Ситуация настолько дикая, что исполнительному директору RIPE пришлось дать официальный ответ особо буйным: оригинал, перевод

Аффтар вредоносного кода в node-ipc после столь громкого скандала начал отнекиваться и звиздеть, что его не так поняли.
Впрочем, я не удивлюсь ни капли, если этот же Брэндон Нозаки-Миллер потом будет ныть на весь инет, что его не хотят брать на работу ни в один проект за его активную гражданскую позицию. И в данном случае я ему не сочувствую и сочувствовать не буду. Потому что одно дело — выразить свою гражданскую позицию у себя в личном блоге / на митинге / ещё где-то (это его личный риск и ответственность), и совсем другое — причинить вред массе незнакомых и даже вообще непричастных людей.

Оправдываясь введёнными санкциями, две крупнейших говноконторы удалили банковские приложения сбера. Какие ссанкции при этом допускают одобрение явно мошеннических приложений — не уточняется.
Вооружённый конфликт в другой части мира теперь даёт индульгенцию на соучастие в банковском мошенничестве ?
Ну а вопрос о том, кому реально принадлежит ваш i-говнофон, если его якобы хозяин даже не может просто так управлять тем, какие приложения у него будут работать — предлагаю обдумать самостоятельно.

P.S. Кому хватит ума не вляпываться в говно — тот окажется в выигрыше по итогу.

CCU-422 : сигналка для дома/квартиры/дачи

Всем привет.
Сегодня поговорим про устройства физической безопасности — в частности, про контроллер охранной GSM-сигнализации Radsel CCU-422.
Если вам это интересно — под катом длинное продолжение и много картинок.
(далее…)

Как рулить выборами в США, зная только SQL

Мне тут сообщили, что оказывается выборы в США были очень честными, местные суды нарушений никаких не нашли, а всe, кто сомневается — протрампистские ватники реднеки и злобные попиратели светлой демократии. То, что в светоче демократии попутно зобанели Трампа во всех соцсетях, а соцсеть Parler вообще выперли с облачной платформы Amazon AWS — ну так то тревожный сигнал к импортозамещению и осознанию важности децентрализации шаловливые похождения блудливой невидимой руки свободного рынка.

А теперь к сути.
(далее…)

Big Sur — всё так плохо ?

Всем привет !

Сегодня мы немного подзюбим бета-версию одной очень гламурной и понторезной операционки.
Да, речь пойдёт про MacOS Big Sur — бета-версию ОС для активных геев яблочных компьютеров.

(далее…)

виндовс снова опасносте !

Случилось тут два крайне примечательных события, которые снова шатают и без того не топовый инфобез мира виндофс.
(далее…)

Ниндзя бегает по стенке … и зависает. Это win-ниндзя.

Буквально в начале лета я писал обзор на одну очень героическую попытку сделать секурити/пентест-дистриб из говна и гнилой соломы виндовс:
https://aminux.wordpress.com/2020/05/17/win10-ninjutsu/

Впрочем, авторы на этом не успокоились и выпустили вторую версию.

Ставится оно уже гораздо шустрее — всего полчасика на NVMe, а не два.
Однако при попытке логина в уже просетапленную систему созерцаем прекрасное:

При этом оно не забудет пообщаться с внешним миром:

На этом тестирование предлагаю и закончить.

DDoS Quad Damage

Многие, кто интересуется сетевой безопасностью, наверняка в курсе про такую штуку, как Amplified DDoS. Суть её в том, что конечными источниками флудящего траффика являются вполне легитимные сервера, сетевые протоколы которых такое позволяют.

Для осуществления Amplified DDoS должны сойтись вместе ряд требований:
— протокол без установления соединения (UDP)
— отсутствие внутрипротокольных проверок состояния (подписей, счётчиков, и т.п.)
— провайдер, позволяющий подменять Source IP в сетевых пакетах
— размер ответа, существенно превыщающий размер запроса

(далее…)

покодим для двухфакторки

Всем привет. Некоторое время назад я писал про плохие сценарии двухфакторной аутентификации, и как это можно попробовать исправить. Настало время немного покодить.
(далее…)

Мошенник в мошеннике для мошенников

Всем привет. Сегодня я разберу такую интересную штуку, как мошенническое приложение, созданное для обмана других мошенников =)

(далее…)

💰 Бэкапим 1Cfresh

Всем привет. Сегодня я немного расскажу про такую вещь, как бэкапы с облачного хостинга для 1C от 1cfresh.com . Если интересно — двигаем в подкат.
(далее…)

Двухфакторка, какой она должна быть

Всем привет. Сегодня мы поговорим про двухфакторную аутентификацию, или если более широко — о дополнительных способах усиления / защиты аккаунта через дополнительные факторы аутентификации.
Если вам интересна эта тема, и вам таки есть что скрывать, например данные вашей банковской карточки, приглашаю вас в избу-читальню.
(далее…)

☭ Gov-Cert палит трояны и пишет письма

Недавно одному клиенту вышележащий провайдер переслал одно интересное абузное письмо.

От: GOV-CERT.RU
Тема: Уведомление о зараженной ВПО ПЭВМ – [GOV-CERT.RU#]

Добрый день!

НКЦКИ располагает подтвержденными сведениями о внедрении ВПО типа
Trojan-Banker.Win32.RTM на объект, находящийся в адресном пространстве
вашей компании.

В период с 11 июня по 18 июля зафиксированы факты взаимодействия
представленного во вложении IP-адреса с центром удаленного управления
(C&C). Для получения IP-адресов C&C ВПО осуществляет запрос по адресу
hxxps://chain[.]so/api/v2/get_tx_received/BTC/ (IP-адреса 104.25.48.99,
104.25.47.99). В ответе содержится набор транзакций на счет криптокошелька.

Просим довести данные сведения до владельца указанного объекта для
принятия мер по реагированию на компьютерный инцидент.

О проведенных мероприятиях просим проинформировать.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
Сайт — http://cert.gov.ru/
Почта — gov-cert@gov-cert.ru
Телефон: +7 (916) 901-07-42

Chain.so — это вообще-то эксплорер по самым распространённым криптовалютам.
Конечно, там мог притулиться и C&C, но это совсем уж наглость, размещать C&C
на публичном проекте.

Современные трояны много чего умеют,
но зачем банкеру лазить в блокчейн — не очень понятно.
Такое поведение больше характерно для вирусов-шифровальщиков.

Тем не менее, gov-cert считает эту активность 100% относящейся к банковскому трояну
Trojan-Banker.Win32.RTM.

Обычно подобные письма раньше присылали всякие иностранные секурити-конторы
или автоматизированные IDS-системы. Оказывается, в России тоже создан такой центр,
и судя по письмам — даже начал заниматься чем-то внятным.

Сам троян Trojan-Banker.Win32.RTM тоже весьма интересен:

Троянец-банкер Arnold: TwoBee или не TwoBee

Его ключевая идея — подмена реквизитов для безналичной оплаты в файле обмена данными между банк-клиентом и 1С.
Дело в том, что при большом потоке документов на оплату интеграция банка и 1С обычно настраивается один раз классическим методом через текстовый файлик обмена данными, и забывается надолго. И вот этот вирус как раз таки мониторит обращения к этому файлу, и вместо реквизитов компании-получателя подставляет реквизиты мошенника-однодневки.

Техника весьма изящная и непалевная — с точки зрения банка, просто появляются платежи на новые реквизиты. С точки зрения 1С нечего не меняется — файл переписывается позже и другим процессом. С точки зрения антивируса — всё ок, клиентский софт переписал один-единственный текстовый файлик.

Активность в сторону chain.so выглядит на этом фоне особенно странно. Получается, либо gov-cert ошибся, либо там действительно приютился C&C, либо троян не только пиздит деньги из банк-клиента, но и готовится причинить жертве ещё более серьёзные проблемы. Была мысль, что это анализ именно криптовалютной активности (гэбня роет под юзеров крипты ?!), но для неё нет надёжных подтверждений на текущий момент.
Но есть ещё один весьма логичный вариант — вирусы научились хранить в блокчейне инфу о новом расположении C&C ! Это весьма новая техника для обеспечения доступности C&C, и если это так — мне крайне любопытно получить подтверждение этому, это мощное и очень красивое решение.

Вообще Gov-CERT создан для защиты государственных IT-систем ещё в 2012-м, и курирует его ФСБ.

Тем удивительнее было обнаружить, что они не ограничились защитой только госов и своей внутренней кухней, но и начали участвовать в информировании пострадавших о заражениях.
При этом они смогли избежать тёмного соблазна использовать всякие крипто-про и отечественную крипту в паблике — как и все нормальные cert-ы, используют для подписания писем PGP-ключ с вот таким iD: 4D72 E5BD EA7F 046E 6C33 FB86 B6B8 3E23 25D8 A13B , который выложен у них в контактах.

Что и разумно — гостайной и персданными инфа о червиях не является, а использовать устоявшиеся стандарты для защиты почты более чем логично.

Но само событие более чем любопытное, на него стоит обратить внимание — гос-CERT шлёт письмо провайдеру, что у него есть заражённый банковским трояном клиент, но в качестве примера активности указываются коннекты к блокчейн-эксплореру.

Вот такая вот странная фигня случилась. Если узнаю ещё чего интересное — добавлю в заметку.

☭ Государев MitM для кардеров и фишеров

Если вам не безразличны государевы потуги в борьбе со свободой интернета, то вам будут определённо интересны и возможные побочные эффекты, на которые почему-то редко обращают внимание. Подробности под катом.

(далее…)

Шифровальщик, который смог.

Всем привет. Сегодня мы поговорим о безопасности WINE и важности изоляции вайн-префиксов.
(далее…)

🔐 Почему криптофлешки — хрень по сути.

Всем привет. Сегодня я напишу немного текста про такую штуку, как «секурно защищённые» крипто-флешки. Иногда у некоторых людей, озадачившихся вопросами безопасного хранения чувствительных данных, возникает вопрос, что же применить.
(далее…)

ловим китайских шпионов 🕵

Заметка будет про китайское железо с бэкдорами и сетевую магию для нейтрализации подобной муйни.
(далее…)

Сброс пароля Carcam 2889P 🕵

Стояла у нас на объекте камера — вот такой вот каркам. И в какой-то момент видеосервер перестал писать с неё данные. При этом IP-адрес есть, веб-морда открывается, но никакие пароли — ни наши, ни стандартные- не подходят. На самой камере снаружи никаких кнопок сброса не наблюдается.

Помня про пляски с хиквиженом, я решил прикола ради позвонить в поддержку. Оказалось, что эти крендели сброс пароля теперь классифицируют как «перепрошивка», стоит это 500 р. в их сервисе. На мои возражения, что прошивка там вполне жива, и слетели именно парольные настройки, а я хочу тупо восстановить доступ, мне начали заливать в уши ебанутую хуйню «типа про безопасность».

Мол, если у вас её спиздят, то злоумышленник может её использовать после сброса ! Я аж охуел, это прям фсб головного мозга какое-то.

На мой вопрос, что мешает злоумышленнику сбросить её за 500р. в их же сервисе или просто продать её на запчасти, и о какой вообще безопасности на объекте можно говорить, если там можно камеру просто безнаказанно отковырять, эти крендели мы ничего не ответили. А теперь собственно про безопасность, как её вижу я.

На это дивной камере открыта целая пачка портов:


PORT STATE SERVICE
80/tcp open http
407/tcp open timbuktu
443/tcp open https
554/tcp open rtsp
787/tcp open qsc
8000/tcp open http-alt

На порт 407 можно зайти телнетом и увидеть какой-то странный трейс прямо вот так сразу, без всякой авторизации:
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](2) == 0
[Trace]: AVStreamGetAVDataThread 581: gTransFormStatusFunc[8](1) == 0
[Trace]: AVStreamGetAVDataThread 725: Index = 0 Endflag == 255
[Trace]: AVStreamGetAVDataThread 727: VideoPos = 0
Не удивлюсь, если и на порту 787 чего интересное найдется.

Прошивка тивоизирована, и сколько там прошито бэкдорных учеток — без реверсинга и не скажешь. Китайцы придумали классный наебизнес — убрать с прямой видимости кнопку резета, написать ебанутую на всю голову и априори уязвимую процедуру удаленного сброса настроек, после чего назвать это непотребство «безопасностью».

В случае с каркамом 2889 все оказалось проще — кнопка спрятана внутри герметичного корпуса. Так что откручиваем внешнее стопорное кольцо, извлекаем саму круглую камеру, и с помощью маленького ключа-шестигранника выкручиваем три винтика сзади. После снятия задней крышки видим кнопочку:

Internal reset button
for carcam 2889P

Выключаем питание, зажимаем кнопку, включаем питание (при зажатой кнопке!), держим 15 секунд, вуаля. И вот за вот это действо сервис хочет 500р , рассказывая тупые баечки про безопасность.

Так и только так — локальной кнопкой — должен быть реализован сброс настроек ! И никак иначе !
Любые «генераторы кодов сброса» при первой же утечке ключей или нахождении уязвимости откроют двери злоумышленникам к миллионам устройств, и даст рождение новым гигантским ботнетам.

Некоторые особо охуевшие конторки хотят скан паспорта. За сброс настроек, ага.

Запомните : вы не обязаны делиться своими перс-данными, тем более такими, как скан-паспорта, со всякими левыми говноконторами, не осилившими кнопку резет, чтобы восстановить доступ к своему же железу!

Кстати, российский закон о персональных данных и европейский GDPR прямо запрещают подобное.

Так что хакайте это сраное говножелезо как только можно, и в паблик, всё в паблик.

Заметочка 1 : прошивка сраное говно, веб-интерфейс работает только в ие после установки сторонних компонентов. Использовать веб-морду строго внутри виртуальной машины!

Заметочка 2 : Китайское железо откровенно бэкдорнутое, и может остукиваться китайцам. Размещайте камеры в изолированных вланах, не имеющих никакого выхода в интернеты. Доступ до своего ntp-сервера и сервера видеонаблюдения более чем достаточен.

Cisco CVE и пятничный бодрячок

Вечер пятницы пошел отлично. Вместо фитнеса после работы пришлось бороться с упавшей железкой.
Старая древняя циска-3750 пала жертвой неуловимых американских хакеров.

Один довольно свежий эксплоит «Бодрячок»:

https://pikabu.ru/story/uyazvimost_v_cisco_cve2018017_ili_klassicheskaya_pyatnitsa_5829430

, примерно 8 млн уязвимых девайсов и дурная мода циски на небезопасный по-умолчанию конфиг, в котором включено куча всего, плюс традиционная админская лень (сомнительный принцип «работает — не трогай») сделали своё дело.
Смотрю я в текущий конфиг — а там ни интерфейсов, ни ацл-ок, ни хрена.
загрузочный конфиг вообще порадовал:

Don’t mess with our elections…
~JHT
usafreedom_jht@tutanota.com

… и американский флаг в ASCII-графике.

На экране 200%-ое доказательство вмешательства американских спецслужб посредством эксплойта «Бодрячок». Срочно разбомбить Вашингтон. Выслать всех дипломатов. Попросить Путина больше не выбирать Трампа президентом США.

Пока я созерцал эту чудную аски-графику и со своего ноута переносил бэкап циско-конфига на tftp, в это время мне уже позвонил мой коллега, и сообщил, что ломают массово. Так что первым делом конфигурим минимальный сетевой интерфейс, пишем no vstack, и восстанавливаем конфиг из бэкапа, не забывал проверить злосчастную опцию. write memory, reload.
Чекать конфиг, обновлять фирмварь, выключать неиспользуемые технологии.

Всем хороших выходных, свежих прошивок и хороших конфигураций.