Comodo Secure DNS вёл россиян на фишинговые сайты

[A. 876]

перепечатка с Вебпланеты http://webplanet.ru/news/security/2011/11/...secure_dns.html

--

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

[priv8v 960]

следующий шаг это когда комодо вместо обновлений начнет малварь качать...

[Umnik 997]

И подписывать малварь и выписывать сертификаты сайтам с приватной информацией. WAIT... OH, SHI~

[strat 275]

этожжжж неспроста, еще пара таких ляпов и банкрот как diginotar

[MORDRED 80]

К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo) она обкуреная походу.

[SDA 750]

сюда в новости http://www.epicfail.com/

[ntuser 70]

еще пара таких ляпов и банкрот

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

[SDA 750]

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

C другой стороны какие богатые возможности к накрутке репутации открываются

[A. 876]

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Разницу между пользователями и посетителями сайта андестенд ?

[ntuser 70]

Разницу между пользователями и посетителями сайта андестенд ?

Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

[A. 876]

Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Для тугих, еще раз:

1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

[strat 275]

да ладно, все равно из общей серии - компания занимающаяся безопасностью позволяет каким-либо способом заразиться юзерам.

если у одной строительной компании рухнет строящийся мост, а у другой рядом с офисом упадет плита с крыши на крыльцо с посетителями, то эффект сравним, особенно если жертвы будут.

[MORDRED 80]

3. У ЛК никогда не было проблем с главными серверами и сервисами.

А как же взлом американского сайта касперского в 2009 году? тоже с серверами все ништяк?

"Американское зеркало веб-сайта «Лаборатории Касперского», известного российского производителя антивирусов, был взломан неизвестными злоумышленниками. В течение 3,5 часов официальный интернет-ресурс компании предлагал посетителям скачать вредоносные программы под видом ПО для защиты компьютера.

Как сообщает ресурс PC World, страницы с описанием продуктов от «Лаборатории» автоматически перенаправляли пользователей на мошеннические сайты, которые показывали им всплывающие окна с сообщениями об обнаруженных вирусах и об острой необходимости скачивания новейших «лекарств». Естественно, вместо защитных программ посетителям предлагалось загрузить опасные вирусы."

[ntuser 70]

1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Для нелепо оправдывающихся, еще раз:

1. Пользователи/посетители USA сайта KL попадали на сайт, впаривающий им Fake AV.

2. Вы позволите мне не комментировать эту нелепую ахинею, а просто сделать скриншот на память ?

3. Редирект с сайта компании по безопасности на вредоносный сайт это сущая безделица, понимаю.

[~Джон Доу~ 45]

http://dev.recursive.dns.com/

перепечатка с Вебпланеты

--

...продвинутые пользователи...

...в качестве DNS-серверов указаны "левые"...

8.26.56.26

8.20.247.20

...mail.ru, yandex.ru и другие...

...ЖЖ...

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Раньше адреса DNS-серверов были другие: 156.154.70.22 и 156.154.71.22. © продвинутый пользователь из ЖуЖучки

A., спасибо, улыбнуло, перепечатайте ещё что-нибудь (из ЖЖ или Одноклассничков)

Предпочитаемый DNS: 156.154.70.25

Альтернативный DNS: 156.154.71.25

(с) online HELP

"продвинутый пользователь" наверняка поиск майл.ру пользует

[ntoskrnl 155]

A., думаю, что лучше всё-таки читать мануалы, а не желтушные изданьица. А в мануалах вполне явно написано, что:

Primary DNS : 156.154.70.22

Secondary DNS : 156.154.71.22

для англоязычных пользователей и

Preferred DNS : 156.154.70.25

Alternate DNS : 156.154.71.25

для остальных. Это во-первых.

Во-вторых, 8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

В-третьих, 174.129.145.134 - это сервер, который показывает алерт Secure DNS.

http://help.comodo.com/topic-72-1-284-3002...NS-Service.html

http://dev.recursive.dns.com/switch/

ЗЫ. Очень повеселил "компетентный" камент от "главы пресс-службы Mail.Ru Group Валерии Комиссаровой". Стоило бы ей напомнить, что не так уж и давно mail.ru абсолютно по-настоящему и месяцами распространял самую натуральную малварь через свой кривой редирект, а их саппорт и слышать ничего не хотел про это.

[priv8v 960]

8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

тогда объясните что это было. почему редиректили?

[ntoskrnl 155]

тогда объясните что это было. почему редиректили?

priv8v, мне, если честно, сложно понять, "что это было", поскольку вся приведённая, с позволения сказать, статья - один большой испорченый телефон. CSDNS блочит mail.ru с вердиктами "social" и "phishing", естественно, что в силу специфики он может делать это только "редиректом", если угоден такой термин. Этот факт может быть весьма неудобен для пользователя, о чём много раз говорилось, скажем здесь, тем более, что сервис, в котором пользователь сможет управлять исключениями и блокировками, ещё на бета-стадии, но это не имеет отношения к распространению чего-либо вредоносного, как утверждается. Если внимательно изучить ссылки, приведённые в "статье", то станет ясно, что этот вывод построен целиком на домыслах её автора и на странной интерпретации тех материалов. Один автор заявил, что у него "эксплойты на майлру", другой сделал два "открытия", что CSDNS, "оказывается", "перенаправляет" mail.ru и что серверов CSDNS несколько, третий не нашел ничего умнее, как, по какой-то своей логике, увязать эти факты между собой, четвертый слепил из этого "жареную новость" руководствуясь своми представлениями, скорее всего, начисто отсутствующими, о работе сетей и т.п., в результате на ©"информационно-аналитическом портале по информационной безопасности" мы обсуждаем это бульварное творение.

[~Джон Доу~ 45]

тогда объясните что это было...

перепечатка с Вебпланеты...

... вирусы раздавал сервер 174.129.145.134 igor_krein

Разве "продвинутые пользователи" (1 шт. - dil) не объяснил в ЖуЖу ?

(про то, как правильно установить BETA)

2:47

"Моя дорогая, бедная мама уронила меня с …надцатого этажа."

"…как трахнет меня… с четырнадцатого этажа…"