Serpent (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} hadert) wrote,@ 2009-05-07 03:01:00 |
|
| Entry tags: | прокопьевский хакер |
по делу
Ознакомился наконец-то с материалами по делу, которые выложил у себя Джон. "Доказательства" потрясают. Эксперт установил, что в указанный период обвиняемый действительно выходил в интернет и как ни в чём ни бывало пользовался ICQ и электронной почтой, однако никаких признаков того, что он это делал при помощи чужого ADSL-подключения, не обнаружено. Тем не менее, суд решил, что сам факт его пользования интернетом в указанный период подтверждает его виновность. Далее, упоминается теоретическая возможность скачать с хакерского сайта вредоносную софтину и ею воспользоваться для выхода в инет под чужим аккаунтом, а затем удалить, так как никаких следов использования подобного софта экспертиза не обнаружила. Казалось бы, не пойман - не вор! Однако, суд опять же решил иначе: раз мог воспользоваться и удалить, значит, виновен. Восхитительно. Наконец, уже упоминавшийся факт отсутствия личной выгоды, ибо у Джона был безлимитный тариф, не принят к рассмотрению. Цитирую: "указанный довод не влияет на существо предъявленного обвинения, поскольку из показаний Некрасова установлен иной мотив". Какой?! Ответа на этот вопрос в приговоре нет. И, кстати, из приведённых показаний лично мне не представляется возможным установить какой-либо мотив. Ломаю голову, напрягаю фантазию - не получается, и всё тут. А вот суду это кажется настолько очевидным, что как бы даже и упоминания отдельного не заслуживает.
Но перейдём к главному - к технической части. В показаниях обвиняемого есть ссылка на упоминание следователем аналогичных прецедентов несанкционированного выхода в интернет под теми же логином и паролем из разных городов Кемеровской области, в том числе Анжеро-Судженска. Он, кстати, упоминал это и в личной беседе во время своего прошлогоднего визита в Томск, когда шло следствие. А вот теперь есть и документальное тому подтверждение. Поскольку это показание не оспаривалось судом, надо полагать, что оно подтверждается протоколом соответствующего допроса. Оставим в стороне недоумение, почему же из всех этих случаев "раскрыт" был только один, коль скоро логи Сибирьтелекома столь непогрешимо свидетельствуют истину. Важно другое. Это очень похоже на ботнет. Собственно, даже и без этой обмолвки следователя такой вариант стоило бы принимать в расчёт в первую очередь: кто вообще сейчас, будучи в здравом уме, устроит атаку с собственного компьютера?!
И экспертиза вроде бы как уделяет внимание этому предположению. Сообщается, что на компьютере обвиняемого установлен антивирус Касперского, который регулярно обновлялся, в том числе и в указанный период; следов заражения вирусами не обнаружено. Примерно то же - правда, без экспертизы, только согласно свидетельским показаниям - говорится о компьютере потерпевшей стороны. Но... позвольте, какое это имеет значение? В материалах неоднократно и совершенно недвусмысленно сказано, что логин и пароль хранятся в памяти DSL-модема, а не компьютера (коих, кстати, и подключить к нему можно несколько через коммутатор, ибо модем этот маршрутизирующий, так что конечные хосты и WAN-овский линк к провайдеру вообще находятся в разных сетях - но это я уже забегаю вперёд, до этого следствие не дошло). Стало быть, если атака направлена на изменение учётных данных ADSL-подключения, объектом атаки должен быть именно модем. Разве его операционка не может содержать уязвимостей? Экспертизы модема не проводилось, и суд счёл это требование излишним. Что ж, попытаемся поработать удалённо.
В списке вещественных доказательств фигурирует модель ADSL-модема: ZyXEL P-660. Гуглим на предмет уязвимости сей модели. Ссылок мало, но они есть.
Исследователи из DroneBL сообщили, что в процессе устранения нацеленной на их сервис DDoS -атаки обнаружили нетипичный ботнет. Его изучение показало, что распространяемый на зараженные компьютеры червь под названием psyb0t захватывает роутеры и DSL-модемы, не причиняя вреда самими компьютерам. Угрозе подвержены маршрутизаторы на базе Linux/MIPS.
[...]
Специалисты DroneBL пришли к выводу, что нынешняя версия червя более совершенна. Теперь он взламывает маршрутизаторы, перебирая пары логинов и паролей по списку. Более того, если раньше «зомбированные» роутеры не использовались координирующим центром для конкретных целей, то теперь с их помощью была инициирована DdoS-атака.
Однако на модемах ZyXEL стоит своя, закрытая операционка. Как выясняется, она ничуть не менее уязвима: тут же находим обсуждение вышеприведённой статьи, в котором упоминаются случаи заражения точно такой же модели модема, что и у Джона. Какая модель у потерпевшей стороны, к сожалению, в опубликованных материалах не указывается и вероятно, что в деле нет вообще (хотя этого всё равно мало - нужна как минимум версия прошивки и сведения о том, обновлялась ли она со времён инцидента).
Ну, и ещё один огрызочек:
большинство модемов снабжены функцией встроенного фаерволла и еще невесть чего так что в этом смысле имеет некоторые преимущества
проблема в том что прошивка может содержать некоторые уязвимости, а широко распостраненных моделей не так уж много, в отличие от софта который у вас на компе стоит.
я уже как то писал, что в целой партии зухелей был по дефолту разрешен админский доступ из внешней сети, а настраивается он если не ошибаюсь только телнетом что требует некоторой соображалки
Этого, конечно, мало, и не все источники надёжны. Но похоже, что копать надо именно в этом направлении. Требуются спецы по секьюрити... желательно, имеющие опыт исследования уязвимостей DSL-модемов. Не самая распространённая специализация, но что поделать.
P.S. посты с этим тегом идут без лж-катов - сейчас и далее. Кому не нравится, можете расфрендить.
