Comments 35
UFO just landed and posted this here
Всегда по ІР заходил, даже не знал про существование этих доменов
Вот только неясно, слишком дорого было продлить? По какой причине домены, используемые коммерческой фирмой, были отданы на продажу, когда потенциально пользователи все еще могут туда заходить?
Видимо никого не волнует судьба оборудования пятилетней давности (и его пользователей). Просто с роутерами не так бросается в глаза, как с принтерами (к которым уже через 3 года после выпуска, иногда, на сайте производителя нет драйверов, да и вообще никакой информации о модели тоже)
Продлить домен недорого, обычно просто забывают.
А кто их использует, коммерческая организация или некоммерческая, никого не волнует, — кто зарегистрировал, того и тапки.
А кто их использует, коммерческая организация или некоммерческая, никого не волнует, — кто зарегистрировал, того и тапки.
Это все понятно, мой комментарий осуждает именно действия компании. Я не понимаю как компания могла просто так забыть продлить домен, предполагаю, что это было запланировано, а не случайно.
Большая компания — большая бюрократия, у меня как у хостмастера в месяц в среднем пару инцидентов забывания продления доменов потому что контактное лицо стухло год назад, и на за-месячное предупреждение про потерю домена отреагировал только mailer-daemоn своим failed relivery report.
А что может твориться с доменами, когда 2-3 уровня из них даны на откуп администраторам разных офисов, городов, стран или регионов я вообще лучше вспоминать не буду за всю 15 летнюю практику рабочего стажа в компаниях от трех калек до мобильного оператора и банка :)
А что может твориться с доменами, когда 2-3 уровня из них даны на откуп администраторам разных офисов, городов, стран или регионов я вообще лучше вспоминать не буду за всю 15 летнюю практику рабочего стажа в компаниях от трех калек до мобильного оператора и банка :)
А что там было если не через роутер заходить?
Собственно, там был указан дефолтный адрес 192.168.1.1 который принадлежал роутеру. Поэтому по этому адресу мы попадаем в роутер… но проблема кроется не в этом. Представьте что домен уже не указывает на дефолтный адрес! А на страничку в интернете, которая на 100% совпадает со страничкой логина в веб-интерфейс роутера — логин-пароль от роутера фьюююить на сторону и перенаправит уже на реальный адрес, плюс парочку троянов поселились на вашем компьютере, ведь домен наверняка находится в доверенной зоне якобы локальной сети.
Ну ладно там при начальной настройке роутера, там дефолтные логин-пароль, но ведь в последствии пользователи будут заходить тоже по тому же адресу а не IP-шнику и вводить уже реальные логин и пароль.
Ну ладно там при начальной настройке роутера, там дефолтные логин-пароль, но ведь в последствии пользователи будут заходить тоже по тому же адресу а не IP-шнику и вводить уже реальные логин и пароль.
Давайте я вам скажу логин-пароль к админке моего роутера. Что вы с ним делать-то будете? По умолчанию админки открыты только для локалки, а telnet и ssh отключены. И что вы при наличии даже моего реальника будете делать с парой типа 1d862f5a-48cf-11e6-8e19-00224d878f32:14KQo7VfppODSMY37ZgCXHmK(я только что специально для вас даже создал указанного пользователя с указанным паролем).
Свой ip пожалуйста скажите, там и посмотрим. А пока это просто набор символов, который на всякий можно добавить в словарик для брутфорса, не более.
В данном случае, атака будет произведена изнутри сети, с браузера который точно имеет доступ к роутеру.
«Защита» от мира извне — это иллюзия защиты, в данном случае домен может содержать вредоносную нагрузку, которая атакует роутер уже изнутри сети зная пароль и логин для доступа — секунды и роутер под контролем трояна, а дальше только фантазия атакующего в зависимости от модели и возможностей железа.
«Защита» от мира извне — это иллюзия защиты, в данном случае домен может содержать вредоносную нагрузку, которая атакует роутер уже изнутри сети зная пароль и логин для доступа — секунды и роутер под контролем трояна, а дальше только фантазия атакующего в зависимости от модели и возможностей железа.
Чтобы дыра действительно была, нужно чтобы какая-то сила заставила роутера резольвить этот домен не в свой адрес, привязанный к сетевому интерфейсу, с которого пришел запрос, а в «правильный».
Интересно, зачем замазывать серийник и MAC? И ещё интереснее, зачем оставлять при этом штрих-код? Если вдруг всё же кому-то интересно, то серийник 2147891003770, а MAC-адрес (легко меняющийся стандартными средствами) E8DE27F99874. Хотя, не представляю, кому это может быть интересно. Но безопасность такая безопасность — замазывать данные и прошляпить домен.
P.S. Изображения не первичны, если судить по google images, а значит, такое раскрытие данных не навредит уважаемому хабражителю :)
P.S. Изображения не первичны, если судить по google images, а значит, такое раскрытие данных не навредит уважаемому хабражителю :)
Картинки не мои, да.
Эти данные могут быть интересны саппорту при обращении. Например MAC вполне часто могут спрашивать провайдеры, которые привязывают к ним свою авторизацию и заставить человека не особо грамотного в IT продиктовать буковки из наклейки намного проще чем по телефону заставлять искать его в недрах роутера. Использование серийника более специфичное и кроме обращения к производителю я встречал только раз, когда провайдер использовал его в качестве аутентификатора для Option 82 в своей сети, в специальной кастомной прошивке, где серийник выступал как CID.
По мак-адресу Wi-Fi точки можно вычислить ей примерное нахождение IRL. Спасибо андроидолюбам, которые любезно насобирали эту инфу для гугла.
со стороны производителя правильнее было-бы использовать какой-нить несуществующий домен (аля router.tplink)
тогда владельцы роутеров видели-бы настройки, а остальные — 404
тогда владельцы роутеров видели-бы настройки, а остальные — 404
Совершенно верно. Но сам факт использования домена для входа должен быть пересмотрен. Ибо на ПК юзера можно включить сторонний DNS, тот же яндекс.DNS или гугловский 8.8.8.8, и в этом случае домен роутера не будет виден. В случае реального домена гарантированная дыра в безопасности. Мало ли кто какие пароли и логины ставит в роутер, и сколько из них совпадают с «Одноклассниками» и «ВКонтакте».
а почему доменное имя роутера будет менее приоритетным, чем полученое от внешнего днс сервера? возможно (я не могу утверждать что так можно сделать) лучше было-бы в роутере вообще это хардкорно сделать, условие вставить: чтобы если %requestedUrl% == %routerDomain% возвращать страницу домена
если заранее использовать какой-то маловероятный домен (например, как я привёл выше, а маловероятный — потому что некоторые компании уже получают именные домены первого уровня), то можно обезопасить себя от возможной утери домена, а в будущем, если денег хватит на регистрацию домена первого уровня в честь себя — рекламировать свою продукцию (напомню, что клиенты, купившие роутер, железно будут перенаправлятся на страницу настроек)
если заранее использовать какой-то маловероятный домен (например, как я привёл выше, а маловероятный — потому что некоторые компании уже получают именные домены первого уровня), то можно обезопасить себя от возможной утери домена, а в будущем, если денег хватит на регистрацию домена первого уровня в честь себя — рекламировать свою продукцию (напомню, что клиенты, купившие роутер, железно будут перенаправлятся на страницу настроек)
Вы знакомы с понятием DNS? Запрос делается не по url, как вы считаете, а по ip, который получается от DNS-сервера по url. И если на локальной машине стоит DNS-сервер гугла/яндекса/etc то и запрос уйдет в направлении того ip, который выдаст заданный сервер. По умолчанию у большинства пользователей будет стоять получение DNS от DHCP, соответственно ответ будет выдавать DNS роутера, но если жестко прописать, то кто знает что там вернется в ответ на запрошенный url…
А хардкодить перехват пакетов (а в данном случает только перехват и парсинг заголовков пакета) ИМХО фуфуфу и костыль. Особенно для роутера и еще хуже если это нельзя перенастроить.
А хардкодить перехват пакетов (а в данном случает только перехват и парсинг заголовков пакета) ИМХО фуфуфу и костыль. Особенно для роутера и еще хуже если это нельзя перенастроить.
потому что если у вас в компьютере задан внешний dns-сервер, то вы пойдете по адресу, который указал вам внешний сервер, а что там в роутере — будет глубоко пофиг, потому что к нему компьютер даже не обратится по поводу имени сервера. Обычно стоит «определять настройки автоматически» и проблем нет, но если все-таки задать вручную, то будут использоваться именно ручные настройки.
Такое будет возможно только в случае если роутер будет перехватывать ВСЕ DNS-запросы проходящие через него(а это нехороший прецедент, так роутер запросто может блокировать рекламу конкурентов и много чего ещё что решит производитель), клиент вообще не обязан пользоваться DNS-сервисом роутера и даже спрашивать его не будет. Хотя конечно по умолчанию, клиенты внутренней сети должны использовать только его, но это никто не обязан делать и часто используют напрямую DNS от гула или яндекса в обход аналогичного сервиса роутера. Поэтому, собственно, производитель и имеет такой домен в интернете.
Пробовать в Одноклассниках пароли от роутера, владелец которого знает, как менять на ПК адреса DNS — офигенно хитрый план. Что может пойти не так?
Впрочем, через всякие оперы турбы вероятность поймать ламера становится более осязаемой.
Впрочем, через всякие оперы турбы вероятность поймать ламера становится более осязаемой.
Нет сейчас гарантированно несуществующих доменов. Если router.tplink не зарегистрирован, то только потому что его никто не зарегистрировал, а не потому что нельзя. Дорого такое регистрировать, но если придумать схему как с такого домена получить профит (честно или нечестно), то можно и зарегистрировать.
А что, кто-то из здесь присутствующих еще пользуется штатной прошивкой TP-LINK?
Это пять!
Sign up to leave a comment.
TP-LINK потеряла права на домен, использующийся для настройки роутеров и усилителей