LINUX.ORG.RU

Как Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона за нахождение уязвимости.

 , ,


0

3

Чувак зарегал субдомен wpad.sknt.ru и получил на свой роутер DDOS с запросом фалй wpad.conf из сети провайдера. Решил отключить привязку домена к своему ip, но DDOS не прекратился. Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения, ответа не получил... Стал звонить, где его тоже послали.. И взападло прову, выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

А далее получил приглашение к следаку с просьбой прихватить с собой 2,6 лимона, в качестве компенсации прову..

Подробности тут: https://pikabu.ru/story/kak_piterskiy_interenetprovayder_trebuet_ot_svoego_ab...

Мораль: о уязвимостях стоит рассказывать только тем корпорациям и фирмам, которые их быстро и с благодарностью принимают, остальным не говорить вообще, по крайней мере без средств анонимизации и награду в последнем случае требовать на криптокошельки которыми планирушь не пользоваться несколько лет.
Ну и если выкладываешь информацию о уязвимости, то делать это только там где достигается реальная анонимность.

torvn77 ★★★★ ()

выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

ССЗБ.

mandala ★★★★ ()

И взападло прову, выложил файл wpad.conf с несуществующий проксей, чем и завалил хренову гору клиентов провайдера :)

Это злонамеренные действия.
Повлекшие экономический ущерб.
Судя по слову «взападло» - из хулиганских побуждений.

Но история поучительная. Прежде чем вот так «шутить» - стоит трижды подумать о том, насколько шуточными могут быть последствия.

Жалко парня.

Manhunt ★★★★★ ()
Последнее исправление: Manhunt (всего исправлений: 2)

Питерский интеренет-провайдер требует от своего абонента 2 с половиной миллиона в качестве компенсации ущерба, возникшего в результате умышленной эксплуатации уязвимости.

fixed

Manhunt ★★★★★ ()
Последнее исправление: Manhunt (всего исправлений: 1)

То есть, он поломал работу собственного прова через дыру, о которой ранее этому же прову и сообщал, и теперь ещё выложил в интернет пост о том, как это сделал?

Это просто олень года.

alexferman ()
Ответ на: комментарий от alexferman

Это просто олень года.

Это да, ну справедливости ради пров тоже олень, и юзеры прова тоже олени.

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от mandala

Вообще это дело чувака что выкладывать по http доступу на своём локалхосте, имхо тут должен быть виноваты сотрудники провайдера отправившие запрсы на непринадлежащий и неподконтрольный провайдеру хост.

torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от vasya_pupkin

Пров просто раздолбай. А герой истории - именно олень. Ну или ССЗБ, кому как больше нравится. А юзеры прова при чём вообще?

alexferman ()
Ответ на: комментарий от Manhunt

в качестве компенсации ущерба, возникшего в результате умышленной эксплуатации уязвимости.

Ню-ню.

Чуваку нужен хороший адвокат и не говорить «взападло провайдеру» на допросах. Хотя пост на Пикабу — это, конечно, огонь.

Как тут уже правильно заметили, это личное дело абонента, что выкладывать на своих локалхостах и по каким протоколам.

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от torvn77

Вообще это его дело что выкладывать по http доступу на своём локалхосте

Не совсем.. Тут на лицо злонамеренные действия с целью наживы. Если бы он не звонил и не писал провайдеру про вознаграждение, то я бы согласился. А так он понимал, к чему это приведет..

vasya_pupkin ★★★★★ ()

Вообще, выглядит так, будто чувак осозннано нашёл дыру и попытался стрясти с прова бабосиков, а когда тот его предсказуемо послал - в отместку нагадил через эту самую дыру. Но то как он это всё сделал, настолько сказочно тупо, что я не удивлюсь, если у него на компе Kali Linux стоит.

alexferman ()
Ответ на: комментарий от intelfx

Уже, наверное, не прокатит. Он связывался с провом и говорил о уязвимости, т.е. он знал, что это уязвимость, и заюзал её вполне осознанно.

alexferman ()
Ответ на: комментарий от vasya_pupkin

Нет, цели получения наживы нет, есть цель остановить разрушающие оборудование чувака(роутер) запросы путём предоставления запрашиваемого файла с неприносящими другим людям вреда настройками(прокся ведущая вникуда).
То что по какойто причине это применилось ко всем клиентам провайдара имхо проблема провайдера, чувак о такой возможности не знал и цели положить провайдерскую сеть не ставил.

torvn77 ★★★★ ()

Написал письмо в саппорт, что он нашел уязвимость и поинтересовался насчет вознаграждения, ответа не получил...

Святая простота... Репортить об уязвимости провайдеру, и требовать с денег. В России. Ну вот на что он надеялся ? Ну не работает у нас вознаграждение за баги, тем более, у таких компаний. Сколько уже было историй, а люди ничему не учатся.

Регать себе домен у провайдера - это тоже какая-то особая форма слабоумия. Из той-же оперы что и почтовый домен.

DawnCaster ()
Ответ на: комментарий от alexferman

Вообще, выглядит так, будто чувак осозннано нашёл дыру и попытался стрясти с прова бабосиков

Вот и я так же думаю! Но пля, запилить потом пост на пикабу, это верх идиотизма :))

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от DawnCaster

Регать себе домен у провайдера - это тоже какая-то особая форма слабоумия. Из той-же оперы что и почтовый домен.

Ну хз, оно как правило бесплатное, если есть белый ip. Для домашнего использования вполне норм.

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

Ну хз, оно как правило бесплатное.

Вот, пользуйтесь: http://www.freenom.com . Домены тут тоже бесплатные, и первого уровня. И не сгинут вместе со сменой провайдера.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Вот, пользуйтесь: http://www.freenom.com . Домены тут тоже бесплатные, и первого уровня. И не сгинут вместе со сменой провайдера.

Ну так то да..

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

и первого уровня.

Тьфу, второго уровня, конечно-же. Первого уровня, конечно, просто так не получить )))

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 1)
Ответ на: комментарий от vasya_pupkin

Я дум что то, что он выложил wpad.conf на своём роутере м залепил пост на пикабу как раз указывает что у него небыло злого умысла.
Чувак обычный пользователь который случайно наткнулся на дыру так как эта дыра причиняла ему существенные проблемы и решил эту проблему традиционным для простых пользователей способом.

Я думаю чуваку надо упирать на то что провайдер отказался решать его проблему и он решил её сам доступными ему средствами, считая что сообщённые настройки будут касаться только его.

torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от DawnCaster

Вот, пользуйтесь: http://www.freenom.com

Десять лет интернета и лет семь лора, а про этот сервис я услышал впервые, вот прямо от тебя.

torvn77 ★★★★ ()
Ответ на: комментарий от alexferman

А юзеры прова при чём вообще?

Ну формально не при чем конечно, но юзать IE с включенным автоконфигом прокси, это маразм. Хотя с таким же успехом в олени можно записать и микрософт, который включил автоконфиг по умолчанию :))

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от torvn77

Я думаю чуваку надо упирать на то что провайдер отказался решать его проблему и он решил её сам доступными ему средствами, считая что сообщённые настройки будут касаться только его.

Ты будь внимательнее, чувак отписал прову про уязвимость и поинтересовался вознаграждением, т.е. он уже знал, что произойдет! Отмаза не канает.. А далее злой умысел с целью наживы. Он же сам пишет про 100 запросов в сек файла с конфигурацией.

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 2)
Ответ на: комментарий от torvn77

Ну, вот, теперь ты знаешь ) Если будешь настраивать домены\поддомены через их (тоже бесплатный) NS - то у меня после недавней войны РКН со здравым смыслом с телеграмом, поддомены настраиваются только через VPN

Ну и я не рекомендую ставить на эти домены реальные нагруженные проекты, т.к есть некоторый риск что при большой популярности сайта - домен отожмут и предложат его купить (в договоре вроде был на этот счёт пунктик).

Но для домашнего применения - данный сервис подходит отлично.

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 1)

А вообще ведь в домене wpad.sknt.ru имя wpad как я прнимаю принадлежит клиенту, а значит wpad.conf как слкдует из его названия должен влиять только на этот домен, почему настройки из этого файла затронули не принадлежащие к домену wpad.sknt.ru компьютеры?
Или почему компьютеры других людей были включены в личный домен клиента wpad.sknt.ru ?

torvn77 ★★★★ ()
Ответ на: комментарий от vasya_pupkin

Он не знал что именно произойдёт, просто домен wpad.sknt.ru должен настраиваться и контролироваться исключительно провайдером и пользователь его должен получать в готовом виде.
И строго новоря это не дыра, ни каких прав на что либо ещё от изменения настроек своего домена клиент провайдера получать не должен.
Но это опасная фича, так как локалхосты по умолчанию должны считаться заражёнными вирусами и троянами и эти трояны могут быть.использованы для вовлечения компьютера чувака в ddos атаку или позволят злоумышленнику действовать от имени домена чувака(wpad.sknt.ru) и соответственно от имени чувака.

И к стати да, чувак настраивал этим файлом свой домен wpad.sknt.ru, а не провайдерский sknt.ru.
Почему настройки более младшего домена применились к всем поддоменам *.sknt.ru и возможно к самому домену sknt.ru
Имхо это явно кривожопость провайдера.

torvn77 ★★★★ ()
Ответ на: комментарий от torvn77

Хоспади, ну хватит уже чушь пороть, серверу больно держать на себе такой бред

alexferman ()

Нельзя говорить об уязвимостях в некоторых государствах. Вообще. Вон в Турции был не так давно прецедент с картой для проезда. А дурачок в РФ решил что-то багрепортить. Тут кто-то свою работу плохо делает сидя на ЗП, а он стучит падла.

peregrine ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Вроде Турция. Хотя может и Венгрия. Или в Турции в то же самое время тоже что-то похожее было, потому что она мне чем-то тогда запомнилась.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 2)
Ответ на: комментарий от torvn77

Он не знал что именно произойдёт, просто домен wpad.sknt.ru должен настраиваться и контролироваться исключительно провайдером и пользователь его должен получать в готовом виде.

Весь прикол в том, что знал. Еще раз говорю, будь внимательней, он письмо прову отправил с описанием уязвимости и по телефону звонил. Если бы он не писал и не звонил, то я бы с тобой мог согласиться.

Имхо это явно кривожопость провайдера.

Спору нет, провайдер тупанул. Но если ты забыл закрыть дверь и тебя обокрали, вина все равно будет на ворах, не так ли ?

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от athost

5. У провайдера разрывается телефон ни у кого из пользователей нет интернета, тех поддержка в ауте пытаясь справиться с потоком звонков и писем. Закономерно с топикстартером разрывают контракт и обращаются в прокуратуру. Убытки то есть.

Не соглашусь с этим пунктом. А какие именно убытки и как их считали ? Так то проблемы софта пользователей прова ну ни как не колышет. MAC видно на свитче, трафф идет - значит все ок, вызывайте специалиста за дополнительную плату..

И не у всех пользователей нет инета, а только у тех, кто ССЗБ и юзает в 21 веке IE...

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 2)
Ответ на: комментарий от alexferman

Я посмотрел твою ссылку и понял что делает домен wpad,.
Так что можешь смотреть на мой пост как на пример того, как простой пользователь путём анализа понимает что ему надо.
Так что кнопочно-чекбоксовое мышление тоже сила, зря линусойды кнопки и чекбоксы принижают.

torvn77 ★★★★ ()

В Советской России ты платишь за нахождение уязвимости.

bdfy ★★★★★ ()
Ответ на: комментарий от alexferman

Ну хорошо.
Я верю что виндузятный пользователь мог придумать доменное имя wpad.
Название программы wordpad.exe к этому вполне подталкивает, особенно тупого виндузятника.
Но так же соглашусь что после твоей статьи обвал провайдера следует признать сознательным.
Но надо учесть два момента.
Провайдер полностью проигнорировал сообщение о уязвимости и не писал ответа с просьбой или требованием эту уязвимость раскрыть без вознаграждения.
То есть вообще не писал ответа.
Дальнейший поступок чувака я понимаю как попытку наказать провайдера но не за отказ платить вознаграждкние, а за отказ проявлять интерес к уязвимости вообще, то есть наказать за плохое выполнение своих провайдерских обязанностей.
В этом отношении я сочуствую ТС и в случае игнорирования своего обращения мог бы поступить так же как он.
Но мог бы, сейчас я если и буду сообщать провайдеру о уязвимости, то только через средства анонимизации.
Ну и в случае игнорирования такой информации буду просто постить информацию о уязвимости в даркнет, а там уже кулхацкеры провайдеру натурально объяснят свою ошибку.

Думаю что и другие рассерженные потребители уже пришли к такому же выводу и будут поступать соответствующим образом, возмржно даже сразу, без обращения к провайдеру с сообщеним о уязвимости.

По этому провайдеру лучше отозвать своё заявление и извинится перед чуваком, а то если у них такие гении администрирования работают то следующий багрепорт в даркнете может превести к намного большим убыткам чем 2.5 миллиона руб, потому что было бы еслиб мошенники реально перехватили и проксировали трафик, обокрав клиентов на кучу еомеров кредитных карт, паролей и прочего, а потом бы выяснилось что это произошло по вине провайдера?

torvn77 ★★★★ ()
Ответ на: комментарий от intelfx

это личное дело абонента, что выкладывать на своих локалхостах и по каким протоколам

Суть в том, что чувак заставил чужие компьютеры работать не так, как они должны были работать. Как технически он этого добился - абсолютно не важно.

Manhunt ★★★★★ ()
Ответ на: комментарий от imul

Ну, если для дома использовать, то получше будет чем у провайдера. Хотя-бы потому что там есть худо-бедно рабочий NS позволяющий там-же в два клика создавать поддомены третьего уровня на любой IP'шник. А ещё данные в Whois скрыты, что тоже хорошо.

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 3)

Я здесь живу! Не, ну это [много мата].

Спасибо.

Расторгаю договор и перехожу к другому провайдеру.

Deleted ()
Ответ на: комментарий от torvn77

потом бы выяснилось что это произошло по вине провайдера

Дядя, ты совсем дурак? Раздолбайство прова - это его внутренние проблемы и с покушениями на преступление никак не связано. Это как если б ты оставил где-нибудь сумку без присмотра и её бы стырили, а виноват был бы ты, ибо лох и не смотрел за вещами.

no-such-file ★★★★★ ()

Бывало и хуже (история с реддита про plaintext в протоколах банковской системы Финляндии, доблестной нацбезопасности и "если кто-то это проэксплуатирует, то виноват по-любому ты).

t184256 ★★★★★ ()
Ответ на: комментарий от no-such-file

Безхозные вещи принадлежат нашедшему.
И потом, пров может быть сколько угодно прав, но что он будет делать если рассерженные люди будут слать багрепорты хакерам, а не сапорту провайдера?
Как его возможная правота это исправит?
Никак.
Если пров думает о будущем то он должен отозвать заявление, сам погасить убытки и извиниться за беспокойство.

torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от DawnCaster

Поддомены третьего уровня можно создавать бесплатно много где. А на бесплатных зонах у фринома такие требования, что проще раз в год 10 баксов заплатить, чем офигевать что домен ни с того, ни с сего в очередной раз отняли.

imul ★★★★★ ()
Ответ на: комментарий от no-such-file

Раздолбайство прова - это его внутренние проблемы и с покушениями на преступление никак не связано.

Вообще это интересный вопрос, обязан ли пров обеспечивать приватность трафика?
А то ведь такая ситуация напоминает следующее: почтальон не запирал служебное помещение почты, ездил в автобусе с незакрытой сумкой, не обращал внимание на ходящих по служебным помещениям посторонних лиц, игнорировал когда в его незакрытую сумку залезали пасажиры автобуса и читали письма.
Мне кажется что если что, то такой почтальйон будет как минимум уволен за служкбное не соответствие, если не будет призван к ответственности наравне с преступниками.

А првайдер ведь у нас то «оператор связи».

torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от Manhunt

Но история поучительная. Прежде чем вот так «шутить» - стоит трижды подумать о том, насколько шуточными могут быть последствия.

Вначале провайдер ему испакостил интернет и не чесался.

Но мне что-то с трудом верится, что он чисто случайно назвал свой поддомен wpad и даже ничего не знал.

В любом случае, рассказывать кому-то об уязвимости не лучшая идея была.

Но провайдер все же жадный до безобразия. 2 ляма за простой интернета сколько там? Часа два лежал и накапало на такую сумму, не верю.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)