2 posts tagged

Security

Как работают СМС-бомберы

Давно смотрел видос, где чувак рассказывал как можно заспамить любой номер телефона смсками или звонками. Не придал тогда значения этому, но недавно вспомнилась тема сервисов, которые используют SMS для авторизации, и вот какие тонкости обнаружил.

Примечательно в этом виде спама то, что с ним сложно бороться. Множество сервисов регистрируют юзеров с помощью SMS, то есть эти запросы в апи изначально без авторизации. Юзера не забанить, остается только тротл на запросы или номер телефона и IP. Даже если не брать во внимание, что банить входящие по IP не бест практис, так как можно зацепить нормальных юзеров, то все равно сервис может использовать какие-нибудь мобильные прокси и это в принципе потеряет смысл. Остается только ограничение кол-ва запросов по нарастающей, но это все равно не полностью защищает от спамеров, так как 2-3 СМСки на номер они отправить успеют. Этих сервисов существует куча и они вполне себе работают – это только подтверждает мою теорию. Впрочем, если у вас прибыльный бизнес, несколько лишних смс действительно не наносят большого урона, поэтому большие компании просто забивают на эту проблему.

Пример

Хотелось бы, чтобы такое вредительство было уголовно или хотя бы административно наказуемо, но предупрежден – значит вооружен. Идем по ссылке одинокого сервера на Ажуре. Создатель утверждает, что в этот бомбер добавлен 31 сервис. Вводим номер и ждем. Много смсок, наверное, не придет, но как пример для понимания процесса сойдет.
Такой сервер можно смело банить по адресу, но делу это особо не поможет. Человек, который это создал, наверняка поднял еще несколько таких же. Так же я предполагаю, что где-то в даркнете или еще на каких форумах мамкиных хакеров есть обновляемый список всех сервисов, которыми пользуются такие бомберы, с подробным описанием запросов в АПИ, куда надо ходить за СМСками.

Лол. Пока писал этот текст, нашел репу на Гитхабе с этим бомбером. Как я и утверждал выше, в ресурсах простейшие запросы на регу юзеров в KFC, Тинькофф и т.п. Reverse engineering enthusiast =)

Вывод

10 раз подумать, прежде чем начинать работать с SMS. Мало того, что это далеко не самый секьюрный способ авторизации, так еще и приобретаем такой вот геморрой. Мне понравилась система верификации юзеров в Badoo: они позволяют зарегаться без телефона, но при этом реализовали обучающуюся систему определения ботов и спамеров, которая в случае подозрений заставит уже зарегистрировавшегося и активного юзера подтвердить свою учетку по номеру. Я предполагаю, что запрос на код напрямую не отработает, если сервису это будет не нужно. В таком случае задача становится немного сложнее, чем прокинуть пару параметров по открытому методу. На их объемах это разумно, но небольшие сервисы этим заморачиваться не станут, а “реверс интузиазсты” будут и дальше этим пользоваться.
Для обычных юзеров, ставших жертвой бомбера, проблемы решаются через оператора. В видео в начале рассказано, что делать. Ну и, конечно же, не оставляйте свой номер, где попало.

 No comments    6941   2020   Develop   Security

Свой DNS сервис с блекджеком и блокировщиком рекламы

Мы любим Адблоки и не любим рекламу. Но, например, на телевизоре нет Адблока, да и плагина для апки YouTube в SmartTV вряд ли найдется. Да и вообще, зачем этот телевизор ходит по трем разным адресам Самсунга по кд, даже когда им не пользуются? В этот раз про очередные попытки обмануть систему и хакнуть время.

В заметке про борьбу с отвлечениями в работе я приводил в пример пару Адблоков, а так же упомянул, что существует возможность всю эту хрень блокировать на уровне DNS для самых упоротых. Тулза называется Pi-Hole. Это опенсорсная разработка, которая подразумевает установку на Raspberry Pi и подключение напрямую к домашнему роутеру. Но, конечно, ее можно поставить где угодно, так как это обычный пакет для Линукса.

Как это работает?

Нужно просто вручную вписать адрес Pi-Hole в DNS на роутере (или на компе) и трафик пойдет через него. Он в свою очередь все отфильтрует, запишет и пустит в эти ваши интернеты. Заблокирует всю рекламу, сервисы сбора аналитики, трекинговые ссылки – в общем, все что не требуется непосредственно для работы приложений.
По адресу Pi-Hole доступен дашборд, на котором можно полазить и посмотреть весь трафик:

А вот так, например, выглядит лог запросов:

На скрине видно, что блокируется сбор аналитики.

Собственно все. Профит.
Можно создавать свои блек/вайт листы, анализировать топ клиентов и доменов и прочие ништяки. Но уверенно заявляю, что из коробки он свою задачу отлично выполняет, можно не париться.

Как установить

Пару команд. Инструкции на официальном сайте.
Есть мануал и для докера.
Для ленивых – готовая сборка в связке с OpenVPN на маркетплейсе Digital Ocean. Но в ней подвох – сертификаты живут 3 месяца, якобы ради безопасности. А потом нужно создать новый сервер, лол. Странное решение, но сервер действительно ставится в один клик и сразу выплевывает VPN сертификат. В роутер, наверное, этот DNS сервер уже не пропишешь, ибо изначально он доступен только внутри туннеля. Не забудьте включить на Дроплете IPV6 адрес, чтоб не быть лохом.
К слову, работа Пайхола и ВПН сервера будет самым разумным решением, лучше так сразу и делать.

Тормозит?

Задам встречный вопрос – а вы вообще в жизни ощущаете, как работает обычный DNS? Вот тут тоже самое. Я допускаю минимальные задержки, если Pi-Hole захостится где-нибудь в Европе на удаленном сервере (хотя сам не замечаю такого), но если ставить дома, то точно ничего не изменится, а скорее всего станет даже быстрее.

Что еще сделать

Вкатить DOH. В оф доке Пайхола есть страничка о том как настроить DNS over HTTPS через Cloudlfare. Можно стать очень модным.
Конечно, Расбери покупать не обязательно. Можно купить робот пылесос Xiaomi и установить Пайхол на него. Он все равно весь день стоит включенный и сидит в сети. Не шучу – именно так изначально и делал сам. Конечно, был геморрой доустановки пакетов (в дефолтной ОС робота не установлен даже wget), потом естественно закончилось место и последовало несколько сбросов прошивки, получения рут прав и т.п., но в конечном итоге он завелся и работал. Но этот вариант не прижился, так как я не хотел ограничивать использование DNS сервера домом, а пробрасывать робота в мир не хотелось. Так что как будет работать в долгосрочной перспективе – не знаю.

Минусы

  • К этому DNS серверу может подключиться кто угодно – через пару дней использования вы заметите приходящие сканеры в клиентах Пайхола. Не то чтобы это проблема, но как-то неприятно.
  • Админка хоть и запаролена, но по дефолту открыта в вебе. Если сидеть под впном и разместить Пайхол на том же сервере, то по ip/admin любой узнает, что стоит DNS сервер. Как вариант решения – закрыть страницу за авторизацией веб сервера или может за порт хотя бы не стандартный воткнуть.

Итого

  1. OpenVPN
  2. PiHole
  3. Cloudflared
  4. Выебываемся перед корешами.

Референсы

Pi-Hole
Digital Ocean Marketplace
Configuring DNS-Over-HTTPS on Pi-hole – Pi-hole documentation
NetworkConfiguration – Debian WikiLocal DNS Resolver on Ubuntu

 No comments    1763   2020   Linux   PiHole   Productivity   Security