Внимание! мейл.ру

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Защита информации в бизнесе »   Внимание! мейл.ру
RSS

Внимание! мейл.ру

<<Назад  Вперед>>Страницы: 1 * 2
Печать
 
CI-KP
Администратор

Откуда: Екатеринбург
Всего сообщений: 5730
Рейтинг пользователя: 24


Ссылка


Дата регистрации на форуме:
15 мая 2009
А также комментатор v_komissarova

Тема: Официальный ответ от Mail.Ru Group

Суть произошедшего такова: компания Comodo специализируется на
безопасности в Интернете и в частности предлагает юзерам использовать их
DNS для защиты от плохих сайтов. Если на сайте обнаруживается вирус,
DNS-сервера Comodo перестают пускать пользователя на сайт. Произошло
следующее - сервис Comodo взломали (по другой версии - произошел
внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru
и другие - размещены не в наших дата-центрах, а на неком "левом" сервере.
Таким образом, у всех пользователей, на компьютере которых были прописаны
DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая
страница. К счастью, таких пользователей немного (только те, кто
установил и использует антивирус и защитные программы от Comodo).

Ирония ситуации в том, что Comodo, специализирующийся на безопасности, к
сожалению, регулярно попадает в подобные ситуации. Например, недавно
через него подделали сертификаты для Google, Yahoo, Skype и других
сайтов, см. например

threatpost.com/en_us/blogs/phony-web-certificates-issued-google-yahoo-skype-others-032311

Mail.Ru с большим вниманием относится к безопасности пользователей. Чтобы
чувствовать себя защищенным - привяжите свой аккаунт Почты к номеру
мобильного телефона. В этом случае Вы сможете легко восстановить доступ,
даже если забудете или утратите пароль.

Валерия Комиссарова, пресс-служба Mail.Ru Group

---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru
Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь.
CI-KP
Администратор

Откуда: Екатеринбург
Всего сообщений: 5730
Рейтинг пользователя: 24


Ссылка


Дата регистрации на форуме:
15 мая 2009
А пользователь den_nat задал вопрос:
Интересно...как определили

---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru
Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь.
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
в продолжение темы - _ttp://webplanet.ru/news/security/2011/11/02/comodo_unsecure_dns.html

[q]

...
Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!
It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.
8.26.56.26
8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.
...
[/q]
CI-KP
Администратор

Откуда: Екатеринбург
Всего сообщений: 5730
Рейтинг пользователя: 24


Ссылка


Дата регистрации на форуме:
15 мая 2009
Как человеку, который не очень хорошо разбирается в эксплойтах, мне вот что хотелось бы понять.

1. Как было установлено что на сайте мейл.ру. вроде как, висят эксплойты?

2. Официальной реакции Comodo (который и обвинен в инциденте), как я понимаю, пока не было? Если Comodo все же взломали - это могло привести к компрометации почты пользователей Мейл.ру или нет?

---
Ющук Евгений Леонидович, профессор УрГЭУ. www.razvedka-internet.ru; www.ci-razvedka.ru
Не всегда нужно стремиться совершать кражу со взломом там, где можно войти через дверь.
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

CI-KP написал:
[q]
Как было установлено что на сайте мейл.ру. вроде как, висят эксплойты?
[/q]


Видимо стали ругаться антивирусы, которые обнаружили на страницы всякие разные айфрэймы


CI-KP написал:
[q]
Если Comodo все же взломали - это могло привести к компрометации почты пользователей Мейл.ру или нет?
[/q]

.
Увы, могло, так как при заходе на фишинговый сайт перехватывались логины-пароли от почты.
Не зря же мастер Лу предупредил...
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009

Vinni написал:
[q]
Увы, могло, так как при заходе на фишинговый сайт перехватывались логины-пароли от почты.
[/q]

Это, я так понимаю, могло случиться только при попытке входа в почту с главной страницы mail.ru (где и мог быть осуществлен перехват), но не могло, если в ящики входили через почтовые клиенты или напрямую, минуя главную страницу?

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

Искендер написал:
[q]
Это, я так понимаю, могло случиться только при попытке входа в почту с главной страницы mail.ru (где и мог быть осуществлен перехват), но не могло, если в ящики входили через почтовые клиенты или напрямую, минуя главную страницу?
[/q]


Угу
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009
Для: Vinni

Спасибо! :hi:

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Loo
Модератор форума

Всего сообщений: 238
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
18 июня 2009
Для: Искендер ну и если пароли в браузере не сохранены.

---
Убиваю принцесс, спасаю драконов
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009

Loo написал:
[q]

Для: Искендер ну и если пароли в браузере не сохранены.
[/q]

Не, такого баловства мы себе не позволяем.

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
<<Назад  Вперед>>Страницы: 1 * 2
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Защита информации в бизнесе »   Внимание! мейл.ру
RSS

Последние RSS
Новые видеоуроки по программе СайтСпутник для начинающих
Технологическая разведка
SiteSputnik. Мониторинг Телеграм
СайтСпутник: возврат к ранее установленной версии
SiteSputnik. Доступ к результатам работы из браузера
Анализ URL
ВС разрешил пропускать работу без разрешения работодателя
Браузер для анонимной работы
Топливно-энергетический комплекс
Профессиональные сообщества СБ
Несколько Проектов в одном, выполнение Проектов по частям
SiteSputnik-Bot: Боты в программе СайтСпутник
К вопросу о телеграм
SiteSputnik: Автозамены до и после Рубрикации или Перевода
Демо-доступ к ИАС социальных сетей
Лог-файл в программе СайтСпутник
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК

Самые активные 20 тем RSS