Gå til innhold

Nytt virus kan spre seg som trådløst gjennom luften

AfterGlow

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Vel, prosessen er som følger;

  • Establish a list of susceptible APs within the current location.
  • Bypass any encryption security on the AP.
  • Bypass the administrative interface on the AP.
  • Identify and store AP system settings.
  • Replace the AP firmware on vulnerable APs with the virus-loaded firmware.
  • Reload the victim AP system settings.
  • Propagate virus (return to 1).
Så de er avhengige av helt pip åpne routere (ikke engang endra std. admin passord) av en type "viruset" kjenner til for å få gjort punkt 5. Det er ikke helt umulig å få til, men fjernt i praksis.

 

Artikkelen gir vel intrykk av at prosessen er enklere å gjennomføre enn hva den egentlig er, sikkert for å få litt ekstra liv i klikktelleren til hw.

 

Enkelte ting funker best i en lab eller i overskrifter.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Thor.

Thor.

Skrevet
Skrevet

Så for at spredning skal være suksessfull må den:

1. Koble seg til et trådløst nettverk

2. Logge seg på administratorkonto på ruter

3. Installere ondsinnet firmware

 

Det betyr at viruset må ha nettverkspassord, administratorpassord til ruter og et passende firmware til den aktualle ruter må være kjent for at den skal spre seg.

 

Stemmer det, er jeg trygg (så lenge min ruter ikke har exploits som kan utnyttes).

  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Ruterne trenger ikke være pip åpne, så lenge det finnes kjente sikkerhetshull eller passordlistene til Telenor er lekket (dersom modellene kan logges på via WAN). Det finnes titusenvis av slike rutere i Norge, men kanskje ikke tett nok til at et virus kan hoppe mellom.

 

 

Edit: typo

Endret av tommyb
  • Liker 1
Lenke til kommentar
MatseMats

MatseMats

Skrevet
Skrevet (endret)

Vel, prosessen er som følger;

  • Establish a list of susceptible APs within the current location.
  • Bypass any encryption security on the AP.
  • Bypass the administrative interface on the AP.
  • Identify and store AP system settings.
  • Replace the AP firmware on vulnerable APs with the virus-loaded firmware.
  • Reload the victim AP system settings.
  • Propagate virus (return to 1).
Så de er avhengige av helt pip åpne routere (ikke engang endra std. admin passord) av en type "viruset" kjenner til for å få gjort punkt 5. Det er ikke helt umulig å få til, men fjernt i praksis.

 

Artikkelen gir vel intrykk av at prosessen er enklere å gjennomføre enn hva den egentlig er, sikkert for å få litt ekstra liv i klikktelleren til hw.

 

Enkelte ting funker best i en lab eller i overskrifter.

Ligger ikke den meste av sikkerheten til tråløst nettverk i krypteringen? Står jo at denne programvarevirushelvetten finner kjente (og andre?) Sikkerhetshull for å spre seg, noe som da er lett i det tilfellet.

Beste sikkerhet motdette blir vel da og passe på at man bruker noe som er ekstra sikkert i henhold til sikkerhetshull.

For mer vanlige løsninger, så ville vel et apparat for å sjekke om maskina starter på nytt av seg selv eller ikke vert noe å ta i bruk.

Knotete saker...

Endret av MatseMats
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Ruterne trenger ikke være pip åpne, så lenge det finnes kjente sikkerhetshull eller passordlistene til Telenor er lekket (dersom modellene kan logges på via WAN). Det finnes titusenvis av slike rutere i Norge, men kanskje ikke tett nok til at et virus kan hoppe mellom.

Vel, du kan jo plassere deg på de stedene med flest nett i nærheten og sjekke hvor mange routere du vil klare å bytte firmvare på. Så er det jo egentlig bare å bevege seg videre så langt en kommer. Tviler sterkt på det går særlig langt.

Ligger ikke den meste av sikkerheten til tråløst nettverk i krypteringen?

a) Viruset komme seg inn på nettet (WPA passord/kryptering etc).

b) Viruset må deretter bytte firmware på router (admin passord el).

Det gjør at "viruset" må bryte seg inn to ganger.

 

I tillegg vil det kun kunne kjøres på kjente typer routere (de skal jo bytte firmware så de må ha skrevet en egen ny firmware for hver routertype).

Endret av Slettet-Pqy3rC
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Selv i tettbygde strøk er det kritisk forskjell på dersom om de klarer overskrive firmware i 3% eller i 30%. Ved 30% ville dette vært ganske så smittsomt.

 

Det er klart at det vil ikke være særlig effektivt med mindre de for eksempel klarer ta de modellene som støtter WRT eller liknende. Men går man litt under materien så er det veldig mange rutere som f.eks. har busybox installert. Da snakker vi nok om 30% eller mer? Det vil likevel være nødvendig å knekke gjennom de forskjellige typer ytterskall på ett eller annet vis dersom man vil infisere f.eks. busybox. Og jeg antar at de forskjellige ruterne har flere forskjellige ytre brannmurer. Hvis alle brukte kompatible varianter av itables, kunne én feil der ta ned hele byer på så lang tid som det tar å laste opp firmwaren... Bare for å ta et worst case scenario.

Endret av tommyb
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet

Husk på at de må simulere nøyaktig den firmwaren (type/versjon) som finnes hver enkelt router for å hindre at eier merker forskjell etter at firmware er byttet. De kan ikke legge inn en generisk type selv om harware f.eks. er WRT kompatibel (og dermed teknisk sett kunne benyttet samme kode som alle andre WRT kompatible routere).

 

Du har rett i at en enkelt svaket kan gjelde mange ulike typer router firmware og sånn sett øke "smittefaren". Dersom noen oppdager noe sånt tror jeg de fleste får høre om det ganske kvikt, uansett virus fare.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

...Og det var vel det vi gjorde, i denne artikkelen. Vel og merke på et laboratorium, og ikke noe magisk cross-firmware-virus.

 

Når det er sagt, er det strengt tatt ingen som går rundt og sjekker ruteren sin, så lenge funksjonalitet fortsatt virker merker ingen forskjell. Så det blir til dels et spørsmål [når noen gjør dette med ondsinnet hensikt en gang i framtiden] om de trenger overskrive hele firmwaren eller bare legge inn en liten patch.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...