— unknown (12/08/2010 11:19, исправлен 12/08/2010 11:20)   

Внезапно: /proc/net/stat/arp_cache и ещё много чего доступно на чтение из под юзера, если у вас не запущены всякие grsecurity и SELinuxы. Причём не просто запущены по дефолту, а настроены особо злобно-параноидальным образом.

— BrainSlug (12/08/2010 14:33, исправлен 12/08/2010 14:34)   

Тут стоило бы подумать не о "злонамеренных скриптах" а о самих браузерах.
К примеру^[link1] гугловские браузеры могут оказаться куда более любопытными, чем представляются.

Что касается mac, то эту проблему от части снимает виртуальная машина, хотя и в ней скрипт может получить не мало интересных данных, например, версия процессора.

— Гость (12/08/2010 17:54)   

гугловские браузеры могут оказаться куда более любопытными, чем представляются.

Поэтому шпионско-црушно-фбровско-коповским браузерным поделием от говногугла не пользуюсь, в отличие от некоторых чудаков :)

— Гость (13/08/2010 20:56)   

Внезапно: /proc/net/stat/arp_cache и ещё много чего доступно на чтение из под юзера

ifconfig -a показывает MAC из-под юзера, равно и arp -an — вас это не удивляет? :) Выполнение произвольного кода — вещь такая, и уже обсуждалась^[link2]. Кроме proc и утилит можно сделать прямой syscall на нужную функцию в ядре. Так что виртуалка — это единственное, что могло бы помочь :)

хотя и в ней скрипт может получить не мало интересных данных, например, версия процессора.

В qemu? Или только в гипервизоре типа Xen?

— Гость (15/08/2010 08:54)   

ifconfig -a показывает MAC из-под юзера, равно и arp -an — вас это не удивляет?

от настроек зависит, во многих дистрах по умолчанию выполняются только от суперпользователя.

Кстати, такой вопрос – а если mac-адрес был программно изменен, той же ifconfig, может такой скрипт как-то получить аппаратный мак-адрес?

— Гость (15/08/2010 13:54)   

во многих дистрах по умолчанию выполняются только от суперпользователя.

Это в каких это?! Я такое только в OpenBSD видел, и это не означает что там нельзя посмотреть IP/MAC, сделав syscall.

а если mac-адрес был программно изменен, той же ifconfig, может такой скрипт как-то получить аппаратный мак-адрес?

$ ifconfig fxp0 fxp0: flags=xxx<XXX,XXX,...,XXX> mtu 1500 capabilities=XXX<XXX,...,XXX> enabled=0 address: ТЕКУЩИЙ MAC-АДРЕС media: Ethernet autoselect (100baseTX full-duplex) status: active inet ТЕКУЩИЙ_IP netmask 0xffffff00 broadcast БРОАДКАСТ inet6 IPv6_АДРЕС prefixlen 64 scopeid 0x2 link ХАРДВАРНЫЙ МАC-АДРЕСКак видите, пишутся оба MAC'а.

— Гость (15/08/2010 13:57)   
К тому же, маки, особенно при их смене, потенциально могут утечь в какой-нить dmesg и т.д....

— Гость (15/08/2010 15:45)   

Это в каких это?! Я такое только в OpenBSD видел

В Дебиан например.

Как видите, пишутся оба MAC'а.

У меня не пишутся. По-видимому, потому что я IPv6 на уровне ядра отключил?

это не означает что там нельзя посмотреть IP/MAC, сделав syscall.

К тому же, маки, особенно при их смене, потенциально могут утечь в какой-нить dmesg и т.д....

Это да. Получается, альтернативы вирт. машине или SELINUX нет?
Причем как-то здесь уже разбиралось, что сама по себе виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой.
Получается, что параноидальные настройкие SELINUX?
Вот бы разобраться в нем...

— Гость (15/08/2010 16:16)   

В Дебиан например.

Вы путаете 2 вещи: отсутствие по умолчанию пути /sbin в переменной PATH и запрет на выполнение ifconfig. Попробуйте выполнить /sbin/ifconfig и удивитесь :)

У меня не пишутся. По-видимому, потому что я IPv6 на уровне ядра отключил?

Нет. Просто специфика Linux'а :)

Получается, альтернативы вирт. машине или SELINUX нет?

Да, и это уже обсуждалось. Ещё можно просто купить выделенную машину для анонимного браузинга :)

Причем как-то здесь уже разбиралось, что сама по себе виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой.

Да, чисто потенциально, и поэтому выделенная машина приоритетней виртуальной в плане безопасности.

Получается, что параноидальные настройкие SELINUX?
Вот бы разобраться в нем...

Чем 10 лет разбираться в говнопотрохах ядра Linux, я бы предпочёл настроить виртуалку или купить выделенную машину для анонимного браузинга (в зависимости от паранои). Последняя работала бы через внешний рутер и прозрачную торификацию.

— BrainSlug (15/08/2010 16:46, исправлен 15/08/2010 16:47)   

виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой

В принципе да, но вы представляете стоимость такой атаки?
Перво наперво всегда стоит оценить степень угрозы.
Вы спрашивали про злонамеренные скрипты, это потоковая, частая и не высокобюджетная угроза, это как сеть для тунца скинутая с траулера.

А вот понадобится ли кому снаряжать за Вами одним целое китобойное судно? Плавайте тише.

В qemu? Или только в гипервизоре типа Xen?

В DomU процессор читается as is.
qemu не пробовал.

— Гость (15/08/2010 17:13)   
В случае с выделенной машиной, чтение арп таблицы позволит выяснить мак адрес внешнего рутера.

— Гость (15/08/2010 17:55)   

В принципе да, но вы представляете стоимость такой атаки?
Перво наперво всегда стоит оценить степень угрозы.
Вы спрашивали про злонамеренные скрипты, это потоковая, частая и не высокобюджетная угроза, это как сеть для тунца скинутая с траулера.

То есть, такая атака может быть только активной? Код на Java, JS (если они включены – а для некоторых случаев приходиться включать JS, хорошо работаю через внешний рутер + при прозрачной торификации) или php -скрипт, размещенные на злонамеренном веб-сайте, не смогут произвести такую атаку?

В DomU процессор читается as is.
qemu не пробовал.

а во vbox'е?

— Гость (15/08/2010 17:57)   

В случае с выделенной машиной, чтение арп таблицы позволит выяснить мак адрес внешнего рутера.

Собственно, да.
А также маки машин локальной сети, видимо.

— BrainSlug (15/08/2010 18:29)   

а во vbox'е?

И подавно.
VBox даже не рассматривается как полноценная ВМ.

— Гость (15/08/2010 18:45)   
По части непосредственно новости^[link3]:

Kamkar exploited certain weaknesses in routers by finding a way to obtain the Mac address using a remote malicious

Уязвимости в рутерах по всей видимости, плюс наличие в рутере wifi и использованный сервис от гугла. Вот его демонстрационные наработки за более ранние даты: XSS в Verizon FiOS Router^[link4] + использование уязвимости для определения MAC и координат^[link5]

Вероятно большинство рутеров подвержено какой-то новой уязвимости, которая и позволяет получить MAC.

— Гость (15/08/2010 21:09)   

Или только в гипервизоре типа Xen?

В DomU процессор читается as is.
qemu не пробовал.

Я клоню к тому, что в Xen оно и должно читаться: Xen — это гипервизор, т.е. высокопроизводительный виртуализатор, который обеспечивает совместный одновременный доступ разных ОС к одному и тому же железу, не эмулиря его, в отличие от qemu.

В случае с выделенной машиной, чтение арп таблицы позволит выяснить мак адрес внешнего рутера.

А никто не запрещает на рутере программно при загрузке прописывать левый мак-адрес.

То есть, такая атака может быть только активной? Код на Java, JS (если они включены – а для некоторых случаев приходиться включать JS, хорошо работаю через внешний рутер + при прозрачной торификации) или php -скрипт, размещенные на злонамеренном веб-сайте, не смогут произвести такую атаку?

Как раз при конфигурации с внешним рутером, ни Java ни другое активное содержимое по сути ничего не даст злоумышленнику: даже если он сломает целевую машину, он может получить доступ только к информации, хранящейся на ней, но не на рутере или на другой машине в этой же локальной сети (считаем, что нет удалённых уязвимостей). Т.е. он не сможет заставить машину что-то послать в обход Tor в сеть, т.к. трафком от машины управляет неподвластный ей рутер. "Активной" имелось в виду "направленной против вас лично". Т.е. кто-то будет, допустим, целево изучать вашу конфигурацию, софт, его особенности, и писать эксплоиты под конкретно ваш браузер, вашу ОС, и ваш случай. В каких случаях, кто и зачем стал бы это вдруг делать — решать вам :)

Вот его демонстрационные наработки за более ранние даты: XSS в Verizon FiOS Router

Noscript filtered a potential cross-site scripting (XSS) attempt from [samy.pl]. Technical details have been logged to the Console

Как пОшло!

— Гость (15/08/2010 21:42)   

Как пОшло!

В смысле?
Вообще-то по ссылке, посредством XSS через ссылку в iframe, без предупреждений и согласия пользователя, выводит всего-лишь алерт с паролем на wifi для уязвимого маршрутизатора.

— Гость (15/08/2010 22:49)   

Уязвимости в рутерах по всей видимости, плюс наличие в рутере wifi и использованный сервис от гугла. Вот его демонстрационные наработки за более ранние даты: wwwXSS в Verizon FiOS Router + wwwиспользование уязвимости для определения MAC и координат

Что-то не смог протеститься, м.б. потому что ходил через заторенный браузер с выключенной поддержкой J, JS и подобной гадости?

— Гость (16/08/2010 00:08)   

по ссылке, посредством XSS через ссылку в iframe, без предупреждений и согласия пользователя, выводит всего-лишь алерт с паролем на wifi для уязвимого маршрутизатора.

Я надеялся, что после захода по ссылке у меня появится наконец-то и wifi-маршрутизатор и пароль к нему, но этого не произошло. Прийдётся продолжать пользоваться стандартным ISP :(

— Гость (16/08/2010 10:51)   

Что-то не смог протеститься, м.б. потому что ходил через заторенный браузер с выключенной поддержкой J, JS и подобной гадости?

У него примеры с использованием AJAX (требуется js), поскольку необходимо отпарсить страницу с веб морды рутера где отображается его конфигурация, включая MAC.

— Гость (16/08/2010 11:10)   
Его презентация, о которой новость: Black Hat 2010 / Defcon 18: How I Met Your Girlfriend^[link6]

— Гость (16/08/2010 20:39)   
Презентация powerpoint, это не годится.

— Гость (14/02/2011 21:53)   
Сраный гугол, вбил свой мак – показал улицу рядом со мной. Похоже машинки, которые снимали Google Street View, еще и маки пасли. А mail.ru агент, кстати, передает себе на сервер мак рутера в плейнтексте. Зачем-неизвестно.

Это уже не смешно.

— Гость (14/02/2011 22:02)   

ORLY? И как много рутеров это позволяют?

— Гость (14/02/2011 22:26)   
И причем тут unixlike?

— unknown (14/02/2011 22:34)   

Только поэтому и по первым комментариям, которые развивали тему именно в UnixLike окружении.

— Гость (14/02/2011 22:52)   
Тут как и на прыщелабе, читают заголовок новости и начинают комментировать?