Napadený Mikrotik (klientská jednotka) ISP

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #30 kdy: 07. 06. 2021, 13:39:14 »
a to je odpověď od uživatelské podpory nebo od jednatele společnosti?


Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #31 kdy: 07. 06. 2021, 13:49:26 »
Uživatelská podpora, jednatel... to je tam to stejné + ještě pár techniků, kluků bez praxe....kdysi tam byl i hlavní technik, s ním se dalo všechno a rozuměl tomu, ten už tam ale nepracuje....ale já nevím, čemu se kdo diví, mně to bylo jasné hned... i přes to, jak tady na mě diskutující prskají něco o pachatelích a trestných činech :-)

Ale to je jedno, spíš bych potřeboval teď analyzovat jak to mohlo ohrozit připojená koncová zařízení... reálně, bez přehánění ani podceňování, potom v tom routeru udělat nějaká nastavení, aby šlo chvilku fungovat a tomu útočníkovi jsem to co nejvíce překazil.... a mám další starost - vybrat nového ISP.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #32 kdy: 07. 06. 2021, 13:57:28 »
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.

S tím potvrzením naléhej hlavně proto, aby si ISP uvědomil svoji zodpovědnost. Věta typu:
Citace
"...to potvrzení potřebuji, abych měl doklad, že jsem vás upozornil na hrozící nebezpečí a také abych nemusel hradit vzniklou finanční škodu, pokud někdo provede hackerský útok prostřednictvím vašeho routeru..."
někdy dokáže udělat zázraky. :)

PS: Když se zakládal nějaký bezpečnostní úřad v ČR na koordinaci proti hackerským útokům, tak jsem si říkal k čemu to je, že o své zařízení se musí starat každý sám, ale jestli je spousta ISP, kteří se ke svému napadanému zařízení chovají, tak nezodpovědně jak popisuješ, tak asi nějaký úřad evidentně potřeba je.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #33 kdy: 07. 06. 2021, 14:02:50 »
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #34 kdy: 07. 06. 2021, 15:17:58 »
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.


Zkus se na to podívat policejníma očima. Já jsem vyšetřovatel, úplně tomu nerozumím, ale to vlastně ničemu (kromě toho, jak zúřadovat vyšetřování). A tady vidím vyjádření odborné firmy (která tomu nepochybně rozumí, když to provozuje a funguje to), že zařízení je v pořádku a nenapadené.
Takže trapný pokus pachatele (pardon, zatím jenom sprostého podezřelého) vyrobit si alibi nevyšel. Čili ze začátku budu rozhodně ISP důvěřovat. Později se třeba zadá nějaký znalecký posudek, ale to celé se bude dělat nad logy ISP, které bude mít týdny a měsíce na to, aby pochopilo, že má problém, že pro něj bude výhodnější zamést stopy, než se trapně přiznat, že se trestná činnost děla kvůli jejich zanedbání.


M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #35 kdy: 07. 06. 2021, 17:13:05 »
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
Jistě, zákon o elektronických komunikacích §98 Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací.
Jenomže ono je to kapánek složitější. Podstatné je, co je definováno jako koncový předávací bod mezi zákazníkem a sítí.
Také je prvně nutný předpoklad, zda daný ISP funguje jako veřejná telekomunikační síť, pokud ne, tak se ho tento zákon netýká.
Pokud daný ISP působí jako veřejná telko síť a předávací bod k zákazníkovi je definován až za tento wifi router (metalický Ethernet port) na spoji mezi tímto routerem a routerem zákazníka, tak může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Jestli-že je předávací bod definován před routerem=wifi signál (jestli-že tazatel hovoří o koncové wifi jednotce pro připojení), tak přestože je koncové zařízení majetkem ISP a správu provádí ISP, tak už je to na odpovědnosti zákazníka, co si s daným subjektem nasmlouval a jak si ho ukočíruje. ČTU náleží maximálně kontrola, zda bezdrátová část odpovídá legislativním požadavkům.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #36 kdy: 07. 06. 2021, 18:04:12 »
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.
A tady vidím vyjádření odborné firmy (která tomu nepochybně rozumí, když to provozuje a funguje to), že zařízení je v pořádku a nenapadené....
Asi máš pravdu. Potřeboval by neprůstřelnější alibi než jen potvrzení e-mailem od ISP, že je vše OK.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #37 kdy: 07. 06. 2021, 18:35:31 »
Děkuji za odpovědi, diskuse o legislativě je nepochybně zajímavá, ale já nepředpokládám, že router byl použit k zasílání porna, ani že by přišla policie, ani se nebudu nijak hádat s ISP, tom spíše že bych na něj bonzoval na ČTU... tohle nemám ve zvyku.....byl bych rád kdyby se povedlo diskusi vrátit a probrat to spíše po technické stránce.....

1) z toho co jsem pochopil, tak napadení routeru spočívalo v tom, že došlo k přesměrování DNS a celý smysl napadení bylo zneužití routeru pro těžbu Bitcoinů, je to tak?

2) nevím jak dlouho to bylo, pokud používám svoje DNS adresy na svém routeru a pokud mám svá zařízení za routerem, tak k napadení a indikací koncových zařízení nemohlo dojít, ani nejspíš komunikace nebyla přesměrována na žádné podvodné adresy? Je to tak?

3) co jsem pochopil, tak problém s napadením se týká výlučně Mikrotiků, případně zařízení, které by měly do širokého internetu otevřený SSH port. Je to tak?

4) zařízení, která sice mají pro komunikaci ethernet port a webový server ale neumožňují jednoduchou změnu kódu či firmware prostřednictvím ethernetu by měla být chráněna. Je to tak?

5) co ještě bych měl na tom routeru aspoň provizorně změnit, smazat? Myslím, že už jen to, že jsem adminovi dal jen read musí útočníka, který tam právě přes admina lezl pěkně dopálit, zrušil jsem mu ssh, zrušil jsem mu ten VPN , ještě se pokusím deaktivovat spouštění skriptu....vím, že to určitě není ideální a dostačující, ale jde mi o to vyhrabat se z největšího bahna....

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #38 kdy: 07. 06. 2021, 18:40:59 »
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Na druhou stranu udělá dobrý skutek. Předpokládám, že napadeny jsou i ostatní routery daného ISP. A tyto routery jsou součástí botnetu a způsobují škody jiným lidem. Kdyby někde u silnice byl natažený ostnatý drát, který poškozuje auta, tak by to většina řidičů nahlásila. Ve virtuálním světě je to (zatím) složitější něco takového nahlásit.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #39 kdy: 07. 06. 2021, 18:43:02 »
tom spíše že bych na něj bonzoval na ČTU... tohle nemám ve zvyku.....
Takže ten ostnatý drát u silnice bys taky nenahlásil jen proto, abys nebyl bonzák?

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #40 kdy: 07. 06. 2021, 19:44:48 »
Včera mi tu skoro všichni nadávali, že jsem proti nebohému ISP a snažím se umravnit jeho krabičku....dnes je zase špatně, že ho nechci nahlásit ČTU...chlapi, dohodněte se:-D....pojďme to prosím rozebrat spíše z té technické a bezpečnostní stránky...

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #41 kdy: 07. 06. 2021, 20:34:22 »
tady má každý jiný názor, za své kroky neseš kůži na trh ty a nikdo tady za to odpovědnost nenese, jenom bych rád upozornil na to, že existují i paragrafy o neoprávněném přístupu, např. u par.230
http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230
upozorňuji zejména na odst. 2d, 3b a kdo ví, zda by někdo neprokázal i 4e
u par. 231 odst. 1b

proč se chceš montovat do cizího routeru? Je tvůj nebo jejich? Zkus se zeptat právníka nebo soudce jak tyhle věci chodí, před trestným senátem se ozývají hlášky "ale takhle to dělají všichni" a odpověď - byť většinou nepronesená nahlas - bývá "ale vás za to zavřem"

až bude mít ISP problém se zneužitím napadeného routeru k nějakým útokům a zjistí, že 'ses jim vrtal v routeru, hádej, kdo za jejich problém bude moct a koho udaj' když se po nich začnou vozit?


 

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #42 kdy: 07. 06. 2021, 21:22:06 »
Pavle, mě už potom, co jsem si dnes přečetl nejde o nic jiného, než ochránit si vlastní zařízení....a jak tu někteří psali, klidně jim to pak hodím do továrního nastavení a vrátím..... ale je hezké, jak se tady řeší hlavně právo...

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #43 kdy: 07. 06. 2021, 22:08:36 »
1) z toho co jsem pochopil, tak napadení routeru spočívalo v tom, že došlo k přesměrování DNS a celý smysl napadení bylo zneužití routeru pro těžbu Bitcoinů, je to tak?
2) nevím jak dlouho to bylo, pokud používám svoje DNS adresy na svém routeru a pokud mám svá zařízení za routerem, tak k napadení a indikací koncových zařízení nemohlo dojít, ani nejspíš komunikace nebyla přesměrována na žádné podvodné adresy? Je to tak?
3) co jsem pochopil, tak problém s napadením se týká výlučně Mikrotiků, případně zařízení, které by měly do širokého internetu otevřený SSH port. Je to tak?
4) zařízení, která sice mají pro komunikaci ethernet port a webový server ale neumožňují jednoduchou změnu kódu či firmware prostřednictvím ethernetu by měla být chráněna. Je to tak?
5) co ještě bych měl na tom routeru aspoň provizorně změnit, smazat? Myslím, že už jen to, že jsem adminovi dal jen read musí útočníka, který tam právě přes admina lezl pěkně dopálit, zrušil jsem mu ssh, zrušil jsem mu ten VPN , ještě se pokusím deaktivovat spouštění skriptu....vím, že to určitě není ideální a dostačující, ale jde mi o to vyhrabat se z největšího bahna....
Z toho odkazu na mikrotik.com jsem pochopil, že správné řešení je netinstall (což i sám píšeš v úvodním komentáři). Nevíš kolik malware tam máš (teda oni mají), a jestli si ten malware (co jsi odhalil) vytvořil backdoor, tak budeš bojovat s větrnými mlýny. Pokud nehodláš měnit ISP nebo udělat brutální zásah do cizího zařízení v podobě netinstall, tak musíš:
  • se smířit s tím, že první zařízení směrem do internetu je napadeno,
  • zabezpečit tvůj router před útoky z venčí (myslím, že není rozdíl jestli útok přijde z routeru ISP nebo z cizího serveru z internetu),
  • zajistit, aby komunikace mezi internetem a tvým routrem probíhala šifrovaně. Protokol http pro tebe odedneška skončil :)

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #44 kdy: 07. 06. 2021, 22:12:56 »
Pavle, mě už potom, co jsem si dnes přečetl nejde o nic jiného, než ochránit si vlastní zařízení....a jak tu někteří psali, klidně jim to pak hodím do továrního nastavení a vrátím..... ale je hezké, jak se tady řeší hlavně právo...
Je hezké , jak se snažíš ochránit vlastní zařízení, ale to na co se tě snaží Pavel upozornit, je že bys měl chránit taky sebe před žalobou za zneužití přístupu k výpočetní technice. A ta je reálná, na rozdíl od stíhání ohledně zneužití IP adresy. Ale je to tvoje volba, jestli se jim v tom chceš vrtat.
« Poslední změna: 07. 06. 2021, 22:19:17 od FKoudelka »