چقدر از کاربرای خونگی در خطر از دست دادن اطلاعات شخصی‌شون هستن؟

توی پست قبلی مطلبی در مورد امنیت ضعیف مودم‌های تی‌پی‌لینک نوشته بودم که به نظر اونطور که باید و شاید توجه رو به سمت خودش جلب نکرد.

برای همین در ادامه‌ی اون پست، این مطلب رو اینجا میذارم تا یک مقدار بیشتر با خطراتی که کاربران خونگی رو تهدید میکنه آشنا کنم.

برای شروع برنامه‌ای که توی پست قبل ازش استفاده کرده بودیم رو تغییر میدیم طوری که  به جای ریست روتر، یک راست با دادن آی‌پی طرف، پسورد رو تحویل بگیریم.

حالا با دادن یک آی‌پی به برنامه راحت میشه پسورد روتر رو بدست بیارید. دقت کنید که برنامه ابتدا ip مقصد رو پینگ میکنه و در صورت بالا بودن هاست، میره عملیات بعدی رو  روی اون اجرا میکنه.

Selection_026

با رفتن به آدرس http://ping.eu/ns-whois و دادن آی‌پی ولید خودتون، می‌تونید یک رنج از آی‌پی‌های ولید isp  رو بدست بیارید.

Selection_024

با کمی جستجو در اینترنت به اسکریپت زیر می‌رسیم که رنج ابتدایی و انتهایی ip رو میگیره و در انتها تمام ipهای بینش رو برامون تولید میکنه (خروجی برنامه‌ی زیر سی و پنج هزار آی‌پی هست). 
Selection_025

حالا کافیه به طریقی این آی‌پی‌ها رو به خورد اسکریپت اصلی بدیم که پسوردها رو قراره در بیاره برامون.

برای اینکار از برنامه‌ی xargs استفاده می‌کنیم. xargs خروجی یک برنامه رو میگیره و به صورت آرگومان به برنامه‌ای که مدنظرمونه میده. حالت پیشفرض xargs،‌ خروجی  به آخر برنامه اضافه میکنه. اگه بخوایم خروجی رو به وسط  کامندی که اجرا میکنیم، اضافه کنه از خروجی -I به همراه یک نام (place holder) استفاده مینیم.

 

کامند بالا علارغم ظاهر خیلی پیچیده‌ای که داره خیلی ساده عمل میکنه.

قلب اصلی  همون novid.py که فقط یک ip میگیره و قراره پسورد رو بهمون برگردونه. با اسکریپت Ip.sh و کمک برنامه xargs تعداد زیادی ip رو داریم به خوردش می‌دیم.

اما به دلایل مختلف ممکنه برنامه پیغام‌های خطایی رو برگردونه که اونها رو داریم به dev/null میریزیم (به جای نمایش اونها در صفحه نمایش). سر بعضی از آی‌پی‌ها برنامه کلا متوقف میشه و دیگه جلو نمیره. برای جلوگیری از این اتفاق از timeout استفاده میکنیم و  میگیم حالت نرمال برای پیدا کردن پسورد یک روتر زیر ۲۰ ثانیه‌ست. اگه بیشتر از این زمان برد، بیخیال اون آی‌پی بشو و برو سراغ بعدی.

xargs با استفاده از خروجی -I  به جای اینکه هر آی‌پی رو  انتهای کامند یعنی grep Router بیاره، اونها رو وسط کامند دونه دونه به برنامه میده! {}صرفا یک نام هست که می‌دونیم در کامندی که قراره بارها اجرا بشه هیچ استفاده‌ای نمیشه، میشه به جای اون هر چیز دیگه‌ای هم استفاده کرد.

اون بخش grep رو برای این گذاشتم که برنامه بعد از پیدا کردن پسورد روتر چند خط رو به عنوان خروجی بر میگردونه. پسورد نیز در خطی قرار داره که کلمه‌ی Router وجود داره.

بعد چند ساعت صبر و بسته به سرعت اینترنت، به کلی پسورد روتر خواهید رسید!

Selection_028جالبه در خیلی پسوردها، نام isp داتک رو میتونستم ببینم که مشخص بود تنظیمات رو خود داتک بر روی روتر طرف انجام داده. بسیاری هم شماره تلفن خونه‌شون رو به عنوان پسورد انتخاب کرده بودن که خیلی راحت میشه به اطلاعات بیشتری از فرد دست پیدا کرد.

کار قشگ دیگه ای که میشه انجام داد اینه که ببینیم بیشترین پسوردی رو که ملت استفاده میکنن چیه؟

برای اینکار با کمی جستجو به اسکریپت count_all_words.py میرسیم.

کافیه همه پسوردها رو در یک فایل به نام PASSWDUSERS.txt ذخیره کنیم و بعد اسکریپت رو اجرا کنیم. برای استخراج پسورد از لیستی که در اختیار داریم، کامند زیر رو اجرا میکنیم.

و برای شمارش تعداد پسوردها نیز اسکریپت count_all_words.py رو اجرا کنیم.

 

جامعه‌ی کاربری بالا ۶۵۵ مورد و همگی از isp داتک بوده. جستجو هم روی ۸۲۰۰ آی‌پی صورت گرفته. نکته اما اینه که همه‌ی این ۸۲۰۰  ip بالا نبودن و اگه آی‌پی‌هایی که در زمان جستجو داون بودن رو حذف کنیم به درصد خیلی خیلی بالایی میرسیم که آسیب‌پذیر هستن. در یک رنج آی‌پی ۲۵۶ تایی تقریبا صد تا از کاربران آنلاین هستن و از این تعداد پسورد ۴۰ تا کاربر رو میشه در اورد. با تقریب خوبی میشه گفت ۴۰ درصد کاربرای داتک این مشکل رو دارن و احتمالا خودشون هم اطلاعی از این وضعیت ندارند!‌

خب حالا اینکه مشخص شد که تعداد خیلی زیادی از روترها مشکل دارن که چی؟ اول اینکه تا جای ممکن سعی کنید دسترسی به روتر از دنیای اینترنت رو غیر ممکن کنید.  هیچ دلیلی نداره که یک کاربر خونگی روترش از بیرون قابل دیدن باشه. برای اینکار روترها گزینه‌های متنوعی دارن. تعدادی مشخصا گزینه‌ای دارن که دسترسی به روتر رو خیلی ساده غیرممکن میکنه از دنیای اینترنت. بعضی نیز بخشی به نام ACL دارن و بخشی نیز از طریق فایروال و بستن ترافیک ورودی این امکان رو برای شما فراهم میکنن. یک راه نیز اینه که تمام ترافیک ورودی به روتر رو به سمت یک آی‌پی داخل شبکه‌تون که وجود خارجی نداره هدایت کنید! برای اینکار در بخش dmz روتر باید یک آی‌پی در رنج شبکه داخلی بدید که البته وجود خارجی نداشته باشه.

و اینکه شاید این نفوذپیذیری رو روتر شما نداشته باشه،‌ اما با گذاشتن پسوردهای خیلی ساده مثل ده مورد بالا این اجازه رو به مهاجم میدید که از طریق یک دیکشنری خیلی ساده بتونه وارد روتر بشه. و اینکه شاید خیلی از نفوذپذیری‌های دیگه باشه که تا سالها مخفی باشه و صداش در نیاد بنابراین همیشه دسترسی به روتر از بیرون رو محدود به یک یا چند آی‌پی شناخته شده کنید.

سوال دیگه‌ای که پیش میاد اینه که با وارد شدن به روتر،‌فرد مهاجم میتونه چیکار کنه؟ جواب اینه که میتونه برنامه‌ای رو بنویسه که به صورت خودکار علاوه بر در اوردن پسورد روتر، به صورت گروهی بره و dns روتر رو هم تغییر بده. با تغییر dns عملا شما متوجه هیچ مورد مشکوکی نخواهید شد. کافیه فرد مهاجم dns چند ده هزار روتر رو تغییر بده. در زمان حمله نهایی، فرد مهاجم صفحه اول تمام بانکهای معروف رو میسازه و در یک زمان، میاد و ترافیک مثلا بانک‌ سامان و پارسیان و دیگر بانکها رو به سمت سرور خودش تغییر میده! و اینطوری میشه که بجای اینکه وارد سایت اصلی بانک سامان بشید، وارد نسخه‌ای میشید که هکر اون رو طراحی کرده. طبیعتا کسی وارد سایت دستکاری میشه که از dns سرور فرد مهاجم استفاده کنه. پس توصیه مهم دیگه اینه که همیشه برید dns های داخل روتر رو خودتون به شکلی دستی تنظیم کنید. اگه dns رو به صورت دستی تنظیم نکنید،‌ به صورت خودکار روتر اونها رو از سمت isp دریافت میکنه که به نظرم این گزینه هم عاقلانه نیست. اینجور حملات در گذشته در بسیاری از کشورهای دنیا هم اتفاق افتاده.

2014-02-mitr-en

یادتون نره حتی در صورت بستن راه ورود به روتر از طریق اینترنت، مهاجم میتونه حمله رو از طریق خودتون انجام بده. بدین صورت که با وارد شدن به یک سایت آلوده، خودتون تبدیل به یک مهاجم میشید و پسورد مودم خودتون رو ریست میدید! بعد برنامه‌ دیگه‌ای میتونه وارد روتر بشه و از طریق پسوردی که معلوم و مشخصه، dns رو تغییر بده! :)‌

csrf-router-attack-640x410راهکار چیه؟ جواب اینه که فرم‌ویر روتر خودتون رو به dd-wrt تغییر بدید. dd-wrt یک فرم‌ویر اپن سورس مبتنی بر کرنل لینوکس که با دنگ و فنگ و کمی خوش شانسی باید بتونید روی روتر خودتون نصب کنید. ریسک اینکار رو هم قبلش باید بپذیرید که دیگه روتر قابل استفاده نباشه. برای اینکه بفهمید dd-wrt روی روتر شما کار میکنه یا خیر کافیه به این آدرس برید و نام روتر خودتون رو وارد کنید.

راهکار دیگه استفاده از روتر در حالت بریج هست. و اینکه از روتر خوتون در حالت bridge استفاده کنید. در این صورت تنظیمات pppoe که بر روی روترهای ADSL وجود داره به روی سیستم متصل به روتر منتقل میشه و مودم تنها نقش یک پل رو خواهد داشت!‌ افراد داخل شبکه در اینحالت باید از طریق سرور متقل به روتر، ip بگیرن. دیوایسی که برای اینکار در نظر میگیرید باید دو تا پورت لن یا یک پورت لن و یک وایرلس داشته باشه. حالت قشنگش اینه که از رزبری پای استفاده کنید. رزبری پای کلا یک پورت Lan بیشتر نداره. بنابراین باید یک مبدل usp به lan یا wireless نیز داشته باشید. برای os هم می‌تونید از ipfire یا OpenWRT استفاده کنید که هر دوی اونها نسخه مخصوص ARM رو دارن.

openwrt-raspi-network

12 دیدگاه برای “چقدر از کاربرای خونگی در خطر از دست دادن اطلاعات شخصی‌شون هستن؟”

  1. سلام.
    درباره این موضوع آماتور هستم و به‌خاطر همین میرم سر اصل مطلب:
    یک مودم دارم که بعضی وقت‌ها DNS Setup یا Use the following DNS server addresses عوض میشه. وقتی این‌جوری میشه، بعضی صفحه‌هایی که باز می‌کنم اتوماتیک میره صفحه پیوندها. این‌جوری می‌فهمم که دی ان اس عوض شده.
    حالا پسورد مودم، دی ام زد و فایروال رو اوکی کردم. خیلی ممنون از راهنمایی‌‌تون.
    فقط این‌که باز احتمال خطر هست؟ البته تو اینترنت هیچی امن نیست ولی حداقل کاری که میشه انجام. ممنون/

  2. May I just say what a relief to find someone who genuinely understands what they are discussing over the internet.
    You certainly know how to bring an issue to light and make it important.
    More and more people need to check this out and understand
    this side of the story. I was surprised that you aren’t more popular given that you definitely possess the
    gift.

  3. The Indian poker scene remains to be very young, however each year
    the sport turns into more and more well-liked as players around the country are uncovered
    to it. For a few years it was troublesome for players to enjoy
    the sport, since Indian casinos were not allowed to supply desk
    games. The approval of the Nagaland bill is expected to result in extra
    regulated online poker in India. The tiny state of Nagaland in North East India lately turn into the primary playing jurisdiction in India to award a license to a web based poker operator.
    Adda52 is by far the busiest Indian online poker website
    with a huge database of poker players and an incredible offering of poker promotions.

    And at stake is a prize cash of Rs 3.36 crore (which can be won by a crew with 9
    gamers). The favorite two kinds of the Poker on-line card game is
    Texas Hold’em and Five card stud. All of because of this anybody
    enjoying at Bet365, 888Poker, or the opposite big poker rooms is in impact playing outside of
    the legislation.

    Ring Sport Poker: That is arguably the world’s hottest online poker format by which you play a single poker deal, after which you’re free to exit or migrate to completely different tables.

    Trickett’s last sponsorship was with Everest Poker Earlier than that, he
    represented and Titan Poker. In this vein, India’s favorite online poker
    web site, Khelo365 is officially India’s first authorized on-line poker website.
    Khelo365 is run by a bunch of ex-poker gamers who very nicely understand the needs of poker players and cater to the identical…

    The rake is the bottom in any Indian poker portal.
    Thus, a game which is mere playing can never be a sport as
    a result of it includes no skill.

    Earlier even entry to many websites the place all types of card video games and poker games were banned
    and solely allowed in few said nonetheless this is not
    the scenario now. Whereas the Price may need jurisdiction over business playing all through the UK, they don’t have any authority over websites being operated overseas which shall be accessed by UK punters, and would possibly therefore provide little protection to residents in Britain. The variety of on-line poker
    websites in India is now better than ever with plenty of new card recreation websites arising every year.
    To proceed, quite a few fee aggregators or processors, throughout the framework of the RBI (Reserve Financial institution of India) are offering
    deposit and withdrawal services for playing on-line rummy and online poker in India.

    In India particularly, of course, the primary consideration is whether they’re totally coated legally.

    At present, is the most effective poker information portal
    free of charge poker content, offering on-line poker site evaluations and exclusive on-line poker bonus offers.
    Barely totally completely different from Texas Holdem, Omaha is most well-liked amongst poker video games for the challenge it affords.
    Thrill Poker has been providing satellites to the IPC since mid-December and
    can ship plenty of gamers to the tour’s 17th version that kicks off in a pair days.
    Nagaland’s new legal guidelines haven’t quite opened up the market for on-line poker, however they’re main the way in what will likely be an important market.

    His newest movie Skyfall featured a well-liked on line casino scene which
    impressed production of poker sets in all places.
    What’s extra- you may choose your tables at Pokabunga’s on-line poker rooms based on stakes, variety
    of gamers and restrict variant, in addition to create personalized
    private tables and host a game with your friends with
    the assistance of the tool-equipment offered by us crammed with final hand history,
    hand rank guides, and advanced disconnection administration. The match was designed
    to advertise poker in India and is held at
    the Casino Carnival in Goa. It will appear that the unregulated poker business in India is on tilt right now,
    making dangerous choices like exceptionally excessive-raked video games,
    gamers with mounds of debt who proceed to borrow, extortionist cash collectors, and medicines, lots of medication.

    Indian Poker has seen an enormous change in the current past, a number of the most notable faces from the industry sat down to debate
    the evolution of Indian poker and its future as witnessed by
    them first hand. I’ve played in countless free tournaments, each
    on-line and offline and I nonetheless all the time play to win. This was the concept that bought FMCG
    main Dabur’s vice chairman Amit Burman to plan a poker league in India.
    Belgian professional Mihail Stoykov who’d been making waves recently on the Indian poker circuit confirmed exactly why his sport is regarded so highly by taking down the IPC 12k Headhunters title.

    Collusion principally represents purposeful flawed play, where an individual plays the game in company of two or more gamers to take out
    or weaken different gamers on the table. Orders containing gadgets Fulfilled by Amazon value Rs.499 or more are eligible for FREE delivery.

    Our detailed methods to play guides, blog posts and different info can be found
    that can assist you enhance and harness your skills.
    Online gaming has helped me sharpen my recreation expertise and I have received some huge cash too in the process.
    Here is excellent app Play Poker at Poker Sq. for studying and taking part in on-line poker
    legally in India.

    The approval of the Nagaland invoice is predicted to lead to further regulated on-line poker in India.

    Many poker periods stretch over 10-12 hours with gamers typically needing cocaine or other medicine to assist keep alert.

    There are already plans in place to start out manufacturing a variety of our goods here in India
    and also will allow us to export to the remainder of the world.

    Day 2 was anticipated to have more gamers since it was the
    beginning of the weekend with the 10k Friday Night Tournament kicking issues off.
    Again, the dialogue is extra targeted on some entertaining
    phrase play relatively than reality. From being 5 out of the final 42 and so near the cash
    bubble to bustingin 42ndposition was disappointing.

    By the end of late entries, there have been a complete of seventy eight players who would do battle to take dwelling the title.
    Apply your poker skills with free poker and then play with actual money to win money.
    Bankroll Management is among the key facets
    every poker player should grasp, as a way to achieve success.
    Likewise, the poker tables ought to be uncluttered and player pleasant to forestall any avoidable misclicks.

    It should be famous, nevertheless, that there’s a definition of gambling in the Constitution of India.
    By the point late registrations obtained finished, there have been precisely 100 players battling for the title and the
    top 5 finishers would also obtain that seat into the Saturday night match.

    Whereas the language used right here isn’t exactly clear and
    concise, it does counsel that anything where you
    can threat cash to win cash is perhaps thought of playing.
    This proving floor is the best way to boost players game by enabling them to maximize their revenue.
    In fact since only the top 10% of the sector would there could be only eight payouts which implies 2 gamers will walk away from this last desk without something.
    On-line card video games stakeholders should not be misguided by the deceptive and incorrect media reports about the order
    of the Supreme Court. With regard to on-line poker’s legality in India,
    court rulings by the country’s Supreme Court docket have
    found poker to be a sport of ability, which poker gamers have recognized for ages, of
    course.

    Even Apple has removed Blockchain software from its app retailer to
    make sure compliances with laws of various jurisdictions, including India.

    Ankit, who has now been enjoying for the last four years
    usually, brings residence at least 2 lakh a month by his prowess
    at the poker tables. Then again, some Indian States expressly prohibit any type of on-line gaming and gambling in their jurisdictions.

    Starting from the app variations of Facebook to the standalone app, Poker grew to become a web based sensation. You possibly
    can select from a variety of world-class online poker including Texas Maintain’em Poker Video games, Ring
    Recreation Poker Video games, Sit ‘n Go Poker Games Tables, Multiple Desk Collapsible Tournaments, Multi- Desk Tournaments,
    Free-Roll Tournaments, Fun Money Poker Video games Tables, and many more! http://freakcityxxx.com/user/1574176/Flor93J377/info

  4. Hmm it looks like your blog ate my first comment (it was super long) so I guess I’ll just sum it up what
    I submitted and say, I’m thoroughly enjoying your blog.

    I as well am an aspiring blog writer but I’m still new to everything.
    Do you have any recommendations for rookie blog writers?
    I’d really appreciate it.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *