Ve Windows Vista a Windows 7 lze snadno vytvořit podvodnou IPv6 síť

Pavel Houser , 05. duben 2011 11:41 10 komentářů

Jack Koziol ze společnosti InfoSec Institute ukázal, jak lze snadno vytvořit podvodnou síť a na ní zachytávat veškerý provoz, aniž se o tom uživatelé postižených počítačů vůbec dozvědí.

Windows 7
Útok typu Man in the middle vychází z toho, že novější verze Windows
automaticky upřednostňují komunikaci přes novější verzi protokolu IP, IPv6. Výchozí nastavení Windows pak útočníkovi umožňuje vsunout do stávající firemní sítě IPv4 své vlastní síťové zařízení, směrovač (router) i další komponenty. Klientské počítače pak v důsledku způsobu implementace standardu SLAAC (Stateless Address Auto Configuration)
začnou automaticky komunikovat touto cestou.

Postup funguje ve Windows Vista, Windows 7, Windows Serveru 2008 a také na MacOS X (ačkoliv zde nebyl útok ve stylu proof-of-concept zatím demonstrován). Výchozí nastavení např. linuxových distribucí by tímto způsobem podvodnou síť vytvořit umožnit nemělo.

Problém sám o sobě není žádnou kritickou bezpečnostní zranitelností, protože útočník musí dokázat své zařízení do sítě fyzicky připojit (a je fakt, že za těchto okolností už může stejně provádět skoro cokoliv). Pokud se mu to podaří, pak ale odposlouchávání prakticky
nepůjde odhalit. Microsoft jako řešení uvádí zakázat protokol IPv6 na všech zařízeních, které ho aktuálně nepoužívají.

Zdroj: The Register


Komentáře

tsL #1
tsL 05. duben 2011 14:55

Náhodný, pozor na pojmy. Pověstná VÝCHOZÍ bezpečnost. Já sice Windows zrovna moc v lásce nemám, ale velká část rozdílů bezpečnosti mezi Linuxem a Windowsem se dá smazat správným nastavením, bezpečnostní politikou a chováním.

Pavel Šimerda (pavlix) #9
Pavel Šimerda (pavlix) 07. duben 2011 13:28

Ač je článek úplně mimo... tvůj argument sice vypadá logicky a pravdivě...

Ale bezpečnost je právě mimojiné i o tom vyhnout se chybám. A jestliže výchozí nastavení obsahuje hromadu chyb, které se musí zalepit (i když jen konfigurací), zvyšuje se tím šance, že se na něco zapomene (nebo že se na to někdo prostě vy****).

A tohle je právě ten zásadní rozdíl v přístupu k bezpečnosti... na jedné straně zabezpečit a otevřít jen to potřebné... na druhé straně nechat otevřené a zalepovat díru po díře.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 05. duben 2011 14:48

povestna bezpecnost operacneho systemu Windows...

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 05. duben 2011 18:14

Washington Post doporučuje linuxové LiveCD pre on-line banking
http://linuxos.sk/sprava_zobraz_komentare/2893/index.html

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 05. duben 2011 18:15

Windows malware "Trojan OddJob" rabuje účty v online banking
http://linuxos.sk/sprava_zobraz_komentare/3691/index.html

Náhodný kolemjdoucí #5
Náhodný kolemjdoucí 05. duben 2011 18:16
Sten #6
Sten 06. duben 2011 17:18

Mě to přijde jako blbost způsobená nepochopením síťování. Zaprvé to bude fungovat i v Linuxu a BSD, protože SLAAC je i tam (a většinou je zapnutá), zadruhé správně nastavené switche a routery zařvou, že v síti mají RA (resp. neznámé) pakety, které tam nemají co dělat, a zatřetí odposlouchávat můžete úplně stejně i dnes tak, že tam strčíte vlastní DHCP server, a pokud vám nezařve switch ani router, tak se to zase nikdo nedozví.

Karel Wolf 07. duben 2011 11:45

+1

Pavel Šimerda (pavlix) #7
Pavel Šimerda (pavlix) 07. duben 2011 13:22

Jako člověk z oboru a zapálený linuxák můžu říct, že je to úplná blbost (toto slušné slovo jsem chvilku hledal).

Abych byl přesný, název článku v podstatě nelže, ale mystifikuje tím, že vyvolává dojem, že je to problém jen Microsoft Windows a IPv6.

Problém je na všech distribucích operačních systémů víceméně stejný, výchozí nastavení windows není žádnou výjimkou.

Vytváření podvodných sítí je stejnětak možné na IPv4, jako na IPv6

„Výchozí nastavení např. linuxových distribucí by tímto způsobem podvodnou síť vytvořit umožnit nemělo.“

Toto je vyslovená hloupost. Linuxové distribuce používají automatickou konfiguraci v podstatě stejně jako Windows.

Autor článku je amatér. A citovaný zdroj vznikl nejspíš opsáním nějakého linuxáckého aprílu.

Náhodný kolemjdoucí #8
Náhodný kolemjdoucí 11. duben 2011 18:02

Ten problém není zas tak úplne nový a netýká se jen Microsoftu.

Před časem byl poněkud jasněji popsán na lupa.cz v článku <a href="http://www.lupa.cz/clanky/ipv6-myty-a-skutecnost-dil-iv-podpora-autokonfigurace/">http://www.lupa.cz/clanky/ipv6-myty-a-skutecnost-dil-iv-podpora-autokonfigurace/</a>, kapitola "Autokonfigurace a přesah do IPv4 infrastruktury".

RSS 

Komentujeme

Google vs. Oracle: Kdo tahá za kratší konec?

Pavel Houser , 04. duben 2018 11:30
Pavel Houser

Po 8 letech právních sporů vstoupila soudní tahanice mezi Googlem a Oraclem do dalšího kola. Nakolik...

Více







RSS 

Zprávičky

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 1 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů

Starší zprávičky

Arbes převzal slovenský Finamis a posiluje v oblasti řešení pro kapitálové trhy

ITBiz.cz , 18. duben 2018 16:30

Arbes Technologies za nezveřejněnou sumu získala majoritní podíl ve slovenské společnosti Finamis, k...

Více 0 komentářů

Sophos: jsou podniky ohroženy neidentifikovaným síťovým provozem

Pavel Houser , 18. duben 2018 10:30

Správci IT nejsou schopni identifikovat 45 % síťového provozu organizace....

Více 1 komentářů

Kvůli IT na ministerstvu práce padlo trestní oznámení

ČTK , 18. duben 2018 09:00

Vedení ministerstva práce podalo trestní oznámení kvůli pořízení resortního ekonomického informačníh...

Více 0 komentářů

EK: Soudy budou moci vyžadovat předání elektronických důkazů

ČTK , 18. duben 2018 08:00

Policisté a vyšetřovatelé se na provozovatele služeb budou moci obracet jen se souhlasem soudu....

Více 0 komentářů