re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Pois é meu caro Demattos e colegas... Agora eu estou esperando uma posição da OIW para a correção do problema.
Eu estou tão preocupado quanto vocês e todos que tem esse modelo de CPE, desde de que notei isso na rede da empresa em que trabalho procurei informar a OIW sobre o assunto.
Aqui na empresa sempre estou observando os firewall. Não passa um "ai" nem um "ui" sem que tomemos conhecimento.
Muitos provedores devem estar com o mesmo problema e nem sabem do que se trata. trazendo lentidão para rede etc.
E quanto ao william dizer que não se tratar propriamente de um virus eu concordo com ele. Um virus é um virus.. Um cliente botnet são outros quinhentos..
Um cliente botnet fica a coletar informações e a enviar de forma criptografada para o server botnet que depois faz a classificação das informações, só isso ao meu ver já é uma grande invasão de privacidade tanto da empresa quanto dos clientes que possuem essa CPE.
Isso não é muito serio.. é seríssimo..
Pelo que estou notando estrategia dos camaradas pelo visto mudou quanto a disseminação de pragas. Pois a maioria dos computadores tem mecanismos de defesa como antivirus etc..E como não se pode passar um antivirus, spyware, adware etc no firmware..rsrs
Agora eles estão usando as firmwares como zumbis para ficar coletando informações e enviando para a Botnet que fica na china.
Para quem não sabe as firmwares para radios com chipset 8186 funciona com base no sistema linux.. portanto qualquer modificação no kernel do mesmo pode tornar uma bomba o firmware.
Botnet para quem não sabe: é uma coleção de agentes de software ou bots que executam autonomamente e automaticamente diretivas de sistemas. O termo é geralmente associado com o uso de software malicioso.
Vale lembrar que varias botnets foram fechadas pelo mundo nesses ultimos anos.
Para corrigir o problema eu poderia retirar o firmware da OIW e colocar qualquer um de minha preferencia como AProuter etc..O problema é que até nisso os chineses pensaram. todo o lote de antenas que temos aqui esta bloqueado para qualquer outro firmware só aceitando o firmware da OIW.
Outro problema é que todas as 70 antenas estão instaladas já nos clientes portanto seria inviável a atualização das mesmas a não ser que seja o mesmo firmware com a correção, por que o mesmo tem a opção de preservar as configurações da CPE apos atualização!
Estou no aguardo da correção do erro.
A firmware que estou usando é ultima disponibilizada no site do fabricante 1.2.11
Como a firmware foi fabricada na china, nada impede de algum empregado espertinho e gênio de programação tenha feito tal proeza a fim de prejudicar a nossa estimada OIW.
Quero deixar bem claro que não abri este tópico com a intenção de prejudicar os negocios da OIW mas sim para todos ficarmos alertas com as firmware que temos atualmente em nossos radios e cpe.
Acredito que a OIW seja tão vitima quanto a empresa em que trabalho em ter adquirido essas CPE com firmware problematico. Pois as CPEs são fabricadas na china juntamente com a firmware segundo informações da propria OIW.
Quanto a Hardware custo, beneficio a CPE é otima.
Cabe agora a OIW solucionar esse problema da firmware da melhor forma possivel.
Vamos ficar no aguardo de uma nova versão atualizada da firmware com a correção desse problema das CPE no site do fabricante.
Qualquer novidade pelo que notei o fabricante se pronunciara aqui nesse tópico, por enquanto estou bloqueando todo e qualquer envio ou recebimento de informações no firewall para a china.
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Rafael, detalhe melhor para nós como é feito a detecção deste tipo de tráfego.
Tenho muitas destas CPEs e queria ver se ocorre isso aqiui.
Carlos
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Citação:
Postado originalmente por
1929
Rafael, detalhe melhor para nós como é feito a detecção deste tipo de tráfego.
Tenho muitas destas CPEs e queria ver se ocorre isso aqiui.
Carlos
Estimado Carlos e colegas do under...
Para detectar a ação da botnet cliente em firmware voce precisa ligar a CPE ,rádio ou qualquer outro equipamento que funcione com sistema embarcado e deixar ele em modo ocioso sem navegação feita pelo cliente.
Qualquer comunicação da CPE ou rádio feita sem o conhecimento do usuario ou admisnistrador da rede com algum endereço remoto caracteriza a existência de uma botnet client.
Após isso vá na função TORCH no mikrotik e adicione IP da CPE e clike em START. Fique de olho bem atento na tela, pois a requisição para o endereço ip remoto dura apenas 0,5 segundos com uma rajada de varios pacotes. Essas rajadas acontecem de 10 em 10 segundos no meu caso mas pode variar de acordo com as diretivas adicionadas no sistema de kernel.
Também é possível a instalação de um sniffer com capacidade de filtro por IP, apos a instalação do sniffer adicione um IP da rede que esteja com a CPE ociosa "sem uso pelo cliente".
Outra coisa interessante é você ir nas Queue do MK, vá em reset counter para zerar o contador de trafego e depois notei que todas as cpe se comunicavam ao mesmo tempo gerando os mesmos pacotes com a mesma quantidade de bytes.
Qualquer dúvida estamos ai..
A partir de agora estamos em alerta maximo.
Jamais pensei que os caras fossem fazer sacanagem até em firmware.
Nós que somos técnicos e administradores de rede precisamos ficar atentos a isso, afim de manter sempre em perfeito estado o funcionamento da rede e qualidade dos serviços prestados.
Aguardo uma posição da OIW e uma solução.
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Eu até hoje não entendi porque o pessoal (fabricantes, usuários) não apoia os firmwares abertos como o OpenWRT. Algo feito e mantido na comunidade dificilmente teria uma sacanagem destas.
Citação:
Postado originalmente por
rafaelhol
Para detectar a ação da botnet cliente em firmware voce precisa ligar a CPE ou rádio e deixar ele em modo ocioso sem navegação feita pelo cliente. Após isso vá na função TORCH no mikrotik e adicione IP da CPE e clike em START após isso fique de olho bem atento na tela, pois a requisição para o endereço ip remoto dura apenas 0,5 segundos com uma rajada de varios pacotes. Essas rajadas acontecem de 10 em 10 segundos.
Outra coisa interessante é você ir nas Queue do MK, vá em reset counter para zerar o contador de trafego e depois note que todas as cpe se comunicava ao mesmo tempo gerando os mesmos pacotes com a mesma quantidade de bytes.
Qualquer dúvida estamos ai..
A partir de agora estamos em alerta maximo.
Jamais pensei que os caras fossem fazer sacanagem até em firmware.
Nós que somos técnicos e administradores de rede precisamos ficar atentos a isso, afim de manter sempre em perfeito estado o funcionamento da rede e qualidade dos serviços prestados.
Aguardo uma posição da OIW e uma solução.
re: Firmware OIW RTL8186 com Botnet Distribuindo SPAM
Citação:
Postado originalmente por
sergio
Eu até hoje não entendi porque o pessoal (fabricantes, usuários) não apoia os firmwares abertos como o
OpenWRT. Algo feito e mantido na comunidade dificilmente teria uma sacanagem destas.
Sinceramente estimado Sérgio.. Acredito que seja falta de conhecimento de programação da maioria mesmo. Pois vontade todos temos..
O único que teve coragem de fazer um firmware livre realmente foi o pessoal da krazer que nesse momento merece nossos parabéns pela iniciativa.
Se alguém souber me diga ao menos um código fonte ou SDK aberto que realmente funcione ao se modificar e compilar. Eu só conheço um que é o da UBNT mas que só é compatível com a linha de fabricação própria deles.
Aqui no under-linux já vi varias iniciativas de firmware free mas nada vingou.. ou se vingou ninguém sabe.
Quanto a firmware da CPE oiw é muito bom quesito funções, só falta algumas coisas como localização de Bssid mostrando redes ocultas como o aprouter 7.1 e 7.3 faz.
Outra função que falta é o SSH.
E uma função no firewall que permite só o ip cadastrado navegar na internet como no aprouter 7.3. Pedi para o pessoal da oiw fazer essas melhorias mas nada fizeram até agora..Agora com esse outro problema veremos se eles darão o devido suporte ao qual prometem ao firmware nativo do equipamento.sendo que as mesmas cpe são bloqueadas para qualquer outra firmware que não seja a própria nativa do equipamento.