id: Гость   вход   регистрация
текущее время 01:24 29/03/2024
Автор темы: Гость, тема открыта 12/08/2010 10:40 Печать
Категории: софт, инфобезопасность, защита сети, ошибки и баги, атаки, программные закладки, модель угрозы
http://www.pgpru.com/Форум/UnixLike/ЗлонамеренныйСкриптЗапущенныйВБраузереПолучаетСведенияОMac-адресе-ВозможноЛиТакое
создать
просмотр
ссылки

Злонамеренный скрипт, запущенный в браузере, получает сведения о mac-адресе – возможно ли такое?


В сей интересной статье http://www.securitylab.ru/news/396431.php прочитал о том, что некий хакер создал скрипт, который при запуске в браузере ворует mac-адреса.
В комментариях к ней высказана мысль о том, что этот скрипт читает таблицу arp.
Как такое возможно, если arp запускается только от root? Если конечно исключить случаи, когда лох-ламер запускает браузер от рута...


 
На страницу: 1, 2 След.
Комментарии
— unknown (12/08/2010 11:19, исправлен 12/08/2010 11:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Внезапно: /proc/net/stat/arp_cache и ещё много чего доступно на чтение из под юзера, если у вас не запущены всякие grsecurity и SELinuxы. Причём не просто запущены по дефолту, а настроены особо злобно-параноидальным образом.

— BrainSlug (12/08/2010 14:33, исправлен 12/08/2010 14:34)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1

Тут стоило бы подумать не о "злонамеренных скриптах" а о самих браузерах.
К примеру гугловские браузеры могут оказаться куда более любопытными, чем представляются.


Что касается mac, то эту проблему от части снимает виртуальная машина, хотя и в ней скрипт может получить не мало интересных данных, например, версия процессора.

— Гость (12/08/2010 17:54)   <#>
гугловские браузеры могут оказаться куда более любопытными, чем представляются.


Поэтому шпионско-црушно-фбровско-коповским браузерным поделием от говногугла не пользуюсь, в отличие от некоторых чудаков :)
— Гость (13/08/2010 20:56)   <#>
Внезапно: /proc/net/stat/arp_cache и ещё много чего доступно на чтение из под юзера
ifconfig -a показывает MAC из-под юзера, равно и arp -an — вас это не удивляет? :) Выполнение произвольного кода — вещь такая, и уже обсуждалась. Кроме proc и утилит можно сделать прямой syscall на нужную функцию в ядре. Так что виртуалка — это единственное, что могло бы помочь :)

хотя и в ней скрипт может получить не мало интересных данных, например, версия процессора.
В qemu? Или только в гипервизоре типа Xen?
— Гость (15/08/2010 08:54)   <#>
ifconfig -a показывает MAC из-под юзера, равно и arp -an — вас это не удивляет?

от настроек зависит, во многих дистрах по умолчанию выполняются только от суперпользователя.

Кстати, такой вопрос – а если mac-адрес был программно изменен, той же ifconfig, может такой скрипт как-то получить аппаратный мак-адрес?
— Гость (15/08/2010 13:54)   <#>
во многих дистрах по умолчанию выполняются только от суперпользователя.
Это в каких это?! Я такое только в OpenBSD видел, и это не означает что там нельзя посмотреть IP/MAC, сделав syscall.

а если mac-адрес был программно изменен, той же ifconfig, может такой скрипт как-то получить аппаратный мак-адрес?

Как видите, пишутся оба MAC'а.
— Гость (15/08/2010 13:57)   <#>
К тому же, маки, особенно при их смене, потенциально могут утечь в какой-нить dmesg и т.д....
— Гость (15/08/2010 15:45)   <#>
Это в каких это?! Я такое только в OpenBSD видел

В Дебиан например.

Как видите, пишутся оба MAC'а.

У меня не пишутся. По-видимому, потому что я IPv6 на уровне ядра отключил?

это не означает что там нельзя посмотреть IP/MAC, сделав syscall.

К тому же, маки, особенно при их смене, потенциально могут утечь в какой-нить dmesg и т.д....


Это да. Получается, альтернативы вирт. машине или SELINUX нет?
Причем как-то здесь уже разбиралось, что сама по себе виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой.
Получается, что параноидальные настройкие SELINUX?
Вот бы разобраться в нем...
— Гость (15/08/2010 16:16)   <#>
В Дебиан например.
Вы путаете 2 вещи: отсутствие по умолчанию пути /sbin в переменной PATH и запрет на выполнение ifconfig. Попробуйте выполнить /sbin/ifconfig и удивитесь :)

У меня не пишутся. По-видимому, потому что я IPv6 на уровне ядра отключил?
Нет. Просто специфика Linux'а :)

Получается, альтернативы вирт. машине или SELINUX нет?
Да, и это уже обсуждалось. Ещё можно просто купить выделенную машину для анонимного браузинга :)

Причем как-то здесь уже разбиралось, что сама по себе виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой.
Да, чисто потенциально, и поэтому выделенная машина приоритетней виртуальной в плане безопасности.

Получается, что параноидальные настройкие SELINUX?
Вот бы разобраться в нем...
Чем 10 лет разбираться в говнопотрохах ядра Linux, я бы предпочёл настроить виртуалку или купить выделенную машину для анонимного браузинга (в зависимости от паранои). Последняя работала бы через внешний рутер и прозрачную торификацию.
— BrainSlug (15/08/2010 16:46, исправлен 15/08/2010 16:47)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
виртмашина может быть небезопасна, и что из-за высокого уровня привилегий в случае дыры в ней может быть захвачен контроль над системой

В принципе да, но вы представляете стоимость такой атаки?
Перво наперво всегда стоит оценить степень угрозы.
Вы спрашивали про злонамеренные скрипты, это потоковая, частая и не высокобюджетная угроза, это как сеть для тунца скинутая с траулера.


А вот понадобится ли кому снаряжать за Вами одним целое китобойное судно? Плавайте тише.


В qemu? Или только в гипервизоре типа Xen?

В DomU процессор читается as is.
qemu не пробовал.

— Гость (15/08/2010 17:13)   <#>
В случае с выделенной машиной, чтение арп таблицы позволит выяснить мак адрес внешнего рутера.
— Гость (15/08/2010 17:55)   <#>
В принципе да, но вы представляете стоимость такой атаки?
Перво наперво всегда стоит оценить степень угрозы.
Вы спрашивали про злонамеренные скрипты, это потоковая, частая и не высокобюджетная угроза, это как сеть для тунца скинутая с траулера.


То есть, такая атака может быть только активной? Код на Java, JS (если они включены – а для некоторых случаев приходиться включать JS, хорошо работаю через внешний рутер + при прозрачной торификации) или php -скрипт, размещенные на злонамеренном веб-сайте, не смогут произвести такую атаку?

В DomU процессор читается as is.
qemu не пробовал.


а во vbox'е?
— Гость (15/08/2010 17:57)   <#>
В случае с выделенной машиной, чтение арп таблицы позволит выяснить мак адрес внешнего рутера.


Собственно, да.
А также маки машин локальной сети, видимо.
— BrainSlug (15/08/2010 18:29)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
а во vbox'е?

И подавно.
VBox даже не рассматривается как полноценная ВМ.
— Гость (15/08/2010 18:45)   <#>
По части непосредственно новости:
Kamkar exploited certain weaknesses in routers by finding a way to obtain the Mac address using a remote malicious

Уязвимости в рутерах по всей видимости, плюс наличие в рутере wifi и использованный сервис от гугла. Вот его демонстрационные наработки за более ранние даты: XSS в Verizon FiOS Router + использование уязвимости для определения MAC и координат

Вероятно большинство рутеров подвержено какой-то новой уязвимости, которая и позволяет получить MAC.
На страницу: 1, 2 След.
Общая оценка документа [показать форму]
страница еще не оценена