WPAD nome attacco collisione vittima: possibile perdita di informazioni

9

Questa è una rete domestica: un router Linksys wireless che serve circa 5 dispositivi wireless e 3 cablati, due PC e una PS4.

Il router è configurato per servire DHCP ai dispositivi client. Ha un'impostazione per cambiare il dominio DNS della rete, ma viene impostato di default su "domain.name" dalla fabbrica. Questo non è mai stato modificato.

Da qualche giorno, uno dei PC cablati (con Windows 10 in esecuzione) mostrava problemi di internet: connessione lenta, buffering nei video e talvolta addirittura 404 in ogni pagina. Internet Explorer per qualche motivo è stato configurato per rilevare automaticamente le impostazioni del proxy (non so se questa è la configurazione predefinita, ma spero seriamente che non lo sia). La disabilitazione ha risolto il problema.

Tuttavia, durante l'inchiesta, il browser mostrava una pagina "Il proxy non rispondeva", il che mi ha sorpreso. Ha affermato che il proxy, a un indirizzo IP specifico, non rispondeva. Ho quindi proseguito con il collegamento con il browser e, in effetti, è stato scaricato un file DAT, che sembrava fornire due server proxy: uno a Madrid e un altro negli Stati Uniti.

Ricorda che il router fornisce "domain.name" come dominio DNS? Si scopre che qualcuno deve aver impostato qualcosa che serva quel file DAT per WPAD in quel dominio (probabilmente puoi ottenere quel file in questo momento, non fornirò un collegamento nel caso in cui tu possa probabilmente capire l'URL). La mia ipotesi è che quei proxy hanno smesso di funzionare, e quindi il PC ha iniziato a mostrare quei problemi.

Inutile dire che ho cambiato immediatamente il nome del dominio nel router.

La mia preoccupazione principale in questo momento è multiforme:

  • C'è un alto rischio di perdita di dati sensibili? Sto parlando di materiale bancario (che avrebbe dovuto passare attraverso HTTPS quindi penso che non ne risentirà). Non so per quanto tempo il PC in questione è stato compromesso.
  • Dovrei prendere in considerazione la formattazione dei PC o il nuking dell'intera rete?
  • I computer non Windows (la PS4, i dispositivi Android, un Macbook Pro) potrebbero essere stati compromessi?
posta dhcarmona 24.11.2017 - 02:34
fonte

2 risposte

1

Supponendo che tutto possa essere stato compromesso, quindi bilanciare lo sforzo di mettere a tacere ogni cosa contro il rischio di rootkit / intercettazione continua dei dati. (e il valore di mantenere tali dati riservati)

HTTPS può essere facilmente sconfitto da SSLstrip - i proxy non avrebbero mai potuto offrirti una sessione HTTPS, quindi, a meno che non presti attenzione a quali parti della tua pagina web della banca debbano essere crittografate, e controlla che siano, potresti aver inviato la tua banca dati in testo chiaro.

Qualsiasi sistema che scarica e installa software (senza imporre all'installatore di avere firma digitale affidabile, specifica per il fornitore del software) potrebbe essere stato interessato; vale a dire. un virus che si presenta come un aggiornamento software viene eseguito automaticamente come sistema / root da installare.

Qualsiasi nome utente / password che utilizzi per accedere al tuo sistema potrebbe anche essere stato richiesto dal proxy.

    
risposta data 09.01.2018 - 23:56
fonte
1

Mi dispiace tanto dire che non sei solo tu, ma molti utenti di Internet non sanno che link e link e le varianti vengono utilizzate per impostazione predefinita per l'individuazione automatica del proxy. Una volta che ti unisci a qualsiasi rete / wifi, qualunque sia la sicurezza offerta per l'uplink , avrai bisogno di un indirizzo IP servito da un server DHCP che ti indicherà le impostazioni DNS "amichevoli" e wpad è proprio lì, nel mezzo, tra te e il resto di noi. Di chi ti fidi?

    
risposta data 07.04.2018 - 00:42
fonte

Leggi altre domande sui tag