Ve Windows Vista a Windows 7 lze snadno vytvořit podvodnou IPv6 síť

Pavel Houser , 05. duben 2011 11:41 10 komentářů

Jack Koziol ze společnosti InfoSec Institute ukázal, jak lze snadno vytvořit podvodnou síť a na ní zachytávat veškerý provoz, aniž se o tom uživatelé postižených počítačů vůbec dozvědí.

Windows 7
Útok typu Man in the middle vychází z toho, že novější verze Windows
automaticky upřednostňují komunikaci přes novější verzi protokolu IP, IPv6. Výchozí nastavení Windows pak útočníkovi umožňuje vsunout do stávající firemní sítě IPv4 své vlastní síťové zařízení, směrovač (router) i další komponenty. Klientské počítače pak v důsledku způsobu implementace standardu SLAAC (Stateless Address Auto Configuration)
začnou automaticky komunikovat touto cestou.

Postup funguje ve Windows Vista, Windows 7, Windows Serveru 2008 a také na MacOS X (ačkoliv zde nebyl útok ve stylu proof-of-concept zatím demonstrován). Výchozí nastavení např. linuxových distribucí by tímto způsobem podvodnou síť vytvořit umožnit nemělo.

Problém sám o sobě není žádnou kritickou bezpečnostní zranitelností, protože útočník musí dokázat své zařízení do sítě fyzicky připojit (a je fakt, že za těchto okolností už může stejně provádět skoro cokoliv). Pokud se mu to podaří, pak ale odposlouchávání prakticky
nepůjde odhalit. Microsoft jako řešení uvádí zakázat protokol IPv6 na všech zařízeních, které ho aktuálně nepoužívají.

Zdroj: The Register


Komentáře

tsL #1
tsL 05. duben 2011 14:55

Náhodný, pozor na pojmy. Pověstná VÝCHOZÍ bezpečnost. Já sice Windows zrovna moc v lásce nemám, ale velká část rozdílů bezpečnosti mezi Linuxem a Windowsem se dá smazat správným nastavením, bezpečnostní politikou a chováním.

Pavel Šimerda (pavlix) #9
Pavel Šimerda (pavlix) 07. duben 2011 13:28

Ač je článek úplně mimo... tvůj argument sice vypadá logicky a pravdivě...

Ale bezpečnost je právě mimojiné i o tom vyhnout se chybám. A jestliže výchozí nastavení obsahuje hromadu chyb, které se musí zalepit (i když jen konfigurací), zvyšuje se tím šance, že se na něco zapomene (nebo že se na to někdo prostě vy****).

A tohle je právě ten zásadní rozdíl v přístupu k bezpečnosti... na jedné straně zabezpečit a otevřít jen to potřebné... na druhé straně nechat otevřené a zalepovat díru po díře.

Náhodný kolemjdoucí #2
Náhodný kolemjdoucí 05. duben 2011 14:48

povestna bezpecnost operacneho systemu Windows...

Náhodný kolemjdoucí #3
Náhodný kolemjdoucí 05. duben 2011 18:14

Washington Post doporučuje linuxové LiveCD pre on-line banking
http://linuxos.sk/sprava_zobraz_komentare/2893/index.html

Náhodný kolemjdoucí #4
Náhodný kolemjdoucí 05. duben 2011 18:15

Windows malware "Trojan OddJob" rabuje účty v online banking
http://linuxos.sk/sprava_zobraz_komentare/3691/index.html

Náhodný kolemjdoucí #5
Náhodný kolemjdoucí 05. duben 2011 18:16
Sten #6
Sten 06. duben 2011 17:18

Mě to přijde jako blbost způsobená nepochopením síťování. Zaprvé to bude fungovat i v Linuxu a BSD, protože SLAAC je i tam (a většinou je zapnutá), zadruhé správně nastavené switche a routery zařvou, že v síti mají RA (resp. neznámé) pakety, které tam nemají co dělat, a zatřetí odposlouchávat můžete úplně stejně i dnes tak, že tam strčíte vlastní DHCP server, a pokud vám nezařve switch ani router, tak se to zase nikdo nedozví.

Karel Wolf 07. duben 2011 11:45

+1

Pavel Šimerda (pavlix) #7
Pavel Šimerda (pavlix) 07. duben 2011 13:22

Jako člověk z oboru a zapálený linuxák můžu říct, že je to úplná blbost (toto slušné slovo jsem chvilku hledal).

Abych byl přesný, název článku v podstatě nelže, ale mystifikuje tím, že vyvolává dojem, že je to problém jen Microsoft Windows a IPv6.

Problém je na všech distribucích operačních systémů víceméně stejný, výchozí nastavení windows není žádnou výjimkou.

Vytváření podvodných sítí je stejnětak možné na IPv4, jako na IPv6

„Výchozí nastavení např. linuxových distribucí by tímto způsobem podvodnou síť vytvořit umožnit nemělo.“

Toto je vyslovená hloupost. Linuxové distribuce používají automatickou konfiguraci v podstatě stejně jako Windows.

Autor článku je amatér. A citovaný zdroj vznikl nejspíš opsáním nějakého linuxáckého aprílu.

Náhodný kolemjdoucí #8
Náhodný kolemjdoucí 11. duben 2011 18:02

Ten problém není zas tak úplne nový a netýká se jen Microsoftu.

Před časem byl poněkud jasněji popsán na lupa.cz v článku <a href="http://www.lupa.cz/clanky/ipv6-myty-a-skutecnost-dil-iv-podpora-autokonfigurace/">http://www.lupa.cz/clanky/ipv6-myty-a-skutecnost-dil-iv-podpora-autokonfigurace/</a>, kapitola "Autokonfigurace a přesah do IPv4 infrastruktury".

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

ČTÚ vyhlásil aukci kmitočtů v pásmu 3,7 GHz

Pavel Houser , 27. březen 2017 14:27

Český telekomunikační úřad dnes vyhlásil aukci kmitočtů v pásmu 3600–3800 MHz pro vysokorychlostní d...

Více 1 komentářů

Většina nadnárodních společností kyberútoky nezvládá

Pavel Houser , 27. březen 2017 13:47

Téměř tři čtvrtiny organizací neumějí identifikovat a plně ochránit svá firemní aktiva a procesy. ...

Více 1 komentářů

Xopero vstupuje na český trh

Pavel Houser , 27. březen 2017 12:24

V souvislosti s otevřením lokálního zastoupení dochází také k rozšiřování stávající partnerské sítě....

Více 0 komentářů

Starší zprávičky

Twitter poprvé zvažuje předplatné pro některé uživatele

ČTK , 27. březen 2017 07:00

Provozovatel sociální sítě Twitter zvažuje, že nabídne profesionálům prémiovou verzi svého rozhraní ...

Více 0 komentářů

MPO do konce března vypíše výzvu na dotace pro rychlý internet

ČTK , 26. březen 2017 14:00

Ministerstvo průmyslu a obchodu by mělo do konce března vypsat první část výzvy k čerpání evropských...

Více 0 komentářů

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 3 komentářů