1 pontos por GN⁺ 2024-06-01 | 1 comentários | Compartilhar no WhatsApp
  • Embora a URL seja the-pumpkin-eclipse, o corpo fornecido é uma página de hub de blog e notícias da Lumen Technologies, não o texto de um artigo sobre um eclipse da abóbora
  • O artigo recomendado no topo se concentra na necessidade de uma rede programável, escalável e segura em um cenário no qual a IA está mudando as operações empresariais
  • O plano de aquisição da Alkira pela Lumen é apresentado como um exemplo de preparação do plano de controle necessário para a conectividade em nuvem de próxima geração
  • Outros conteúdos recomendados seguem com redes programáveis, o uso de Lumen e Zoom AI pelo Bank of Tennessee e um caso de suporte à conectividade de eventos globais da AWS
  • As áreas de notícias recentes e navegação oferecem notícias corporativas, como ofertas de troca, promoções de executivos e resultados de ofertas públicas de aquisição, junto com filtros por tema, setor e serviço

Natureza da página efetivamente fornecida

  • O corpo é uma página de hub de blog e notícias da Lumen Technologies, reunindo inovação tecnológica, estratégia e expertise relacionadas à transformação digital e à prontidão para IA
  • A estrutura da página é dividida em conteúdos recomendados, notícias recentes e área de navegação por conteúdo
  • Embora o caminho original da URL seja the-pumpkin-eclipse, o corpo fornecido não contém conteúdo real de um artigo sobre eclipse da abóbora

Fluxo de conteúdos recomendados

Notícias recentes

Filtros de navegação por conteúdo

  • Os filtros por tema incluem Application Protection, Customer Success, Data Center, DIA, Ransomware, SD WAN, API, Artificial Intelligence, Cloud Computing, DDoS Protection, SASE, ZTNA, entre outros
  • Os filtros por setor oferecem Manufacturing, State and Local Government, Technology, Defense Intelligence, Federal Government, Education, Gaming, Healthcare, Retail, Financial Services, Public Safety, entre outros
  • Os filtros por serviço são compostos por Infrastructure services, Connectivity services, Security services, Communication services e Media Entertainment

1 comentários

 
GN⁺ 2024-06-01
Opiniões no Hacker News
  • Seria bom poder interceptar a linha de habilitação de escrita do chip flash que contém o firmware para impedir atualizações, e eliminar com reinicializações diárias o lixo que fica apenas residente na memória
    Era assim que se fazia em receptores de satélite há 20 anos, mas talvez agora tenhamos que tratar todo equipamento conectado à internet como vulnerável a contramedidas eletrônicas semelhantes
    Pelo menos nos meus equipamentos, eu gostaria de monitorar se há atualizações e, quando uma atualização ocorrer, acender um indicador para saber se é normal ou não

    • Essa é uma situação impossível de vencer. Se você bloquear atualizações de firmware, teria bloqueado este ataque, mas também bloquearia patches de segurança que impedem o roteador de virar uma botnet
      O que não entendo neste caso, porém, é por que não foi possível devolver o dispositivo ao estado original. Se dá para destruir todo o firmware, incluindo backups, isso parece um erro de projeto
    • Havia um projeto de hardware aberto de emulação de cartão SD capaz de negar escritas: https://github.com/racklet/meeting-notes/blob/main/community...
      Também há uma emulação open source para flash SPI: https://trmm.net/Spispy/
      Alguns pendrives USB (Kanguru) e gabinetes de SSD (ElecGear M.2 2230 NVME) conseguem bloquear escrita por firmware e por chave física, o que é útil para inicializar uma live ISO customizada executada na RAM
    • Do ponto de vista de quem usava cartões HU do mercado paralelo, a DirecTV era um exemplo de ameaça persistente avançada. Eu nunca tinha pensado nisso dessa forma
    • Não sei muito sobre soluções DSL de consumo, mas, em modems a cabo, o firmware e a configuração são gerenciados pelo CMTS. Isso porque, quando a tecnologia e as configurações do headend mudam, também podem ser necessárias mudanças do lado do cliente para continuar funcionando
      À medida que a infraestrutura de cabo e os equipamentos de headend são atualizados e mantidos, o plano de frequências, as taxas de sinal etc. mudam, então as configurações mudam de forma bastante dinâmica
      Se tentar travar a habilitação de escrita da EEPROM, é bem provável que o provisionamento do modem acabe falhando
    • Dá para chamar isso de “malware first-party
  • O artigo carece de detalhes interessantes. Fico curioso sobre como foi a invasão, se esses roteadores têm portas e serviços abertos por padrão e se respondem de forma significativa na internet
    Não daria para obter versões diferentes do firmware e compará-las?
    Parece usar o método comum de colocar o SDK do fornecedor por cima do OpenWrt: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    O interessante é que se especula a possibilidade de o fornecedor ter enviado uma atualização maliciosa ou defeituosa: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    Se for isso, por que não houve anúncio oficial do ISP? Se foi um ataque, não deveria haver uma investigação? Não sei como esse tipo de coisa é tratado nos EUA, mas parece realmente estranho
    Talvez esses equipamentos estivessem infectados por bots e o fornecedor tenha enviado uma atualização que acabou quebrando tudo
    Ou talvez tenha sido, como diz o artigo, um ataque coordenado envolvendo até ransomware, e todos tenham recebido apenas a mensagem de que era “uma atualização de firmware defeituosa, mantenham a calma”
    Do ponto de vista do cliente, isso também é bem ruim, porque ele quer saber se houve um incidente de segurança
    Fico curioso se existem imagens de firmware desses dispositivos ou links com informações mais detalhadas

    • Pode ser correto ver a decisão do ISP de não fazer um anúncio oficial como baseada nos resultados da investigação
      Também fico curioso sobre quanto do custo de substituição será coberto por seguro. Provavelmente nada, e nesse caso o ISP assume um sério risco de continuidade de negócios. Mais um motivo para não anunciar
  • “A Lumen identificou mais de 330 mil endereços IP únicos que se comunicaram com um dos 75 nós C2 observados”, mas como a telemetria global da Black Lotus Labs sabe quais IPs se comunicaram com quais IPs sem controlar nenhum dos dois extremos? Quem, e o quê, está armazenando logs de tráfego?
    Se eles conseguem fazer isso, gostaria que me explicassem de novo por que o Tor é seguro. Aquela explicação de que é impossível seguir pacotes do meu equipamento pelos hops de onion routing até o nó de saída, e de que, no nó de saída, os mesmos pacotes aparecem descriptografados

    • Tenho um amigo que trabalha na Black Lotus, e talvez ele tenha escrito este texto. A Black Lotus pertence à Lumen, e a Lumen é uma das maiores operadoras de tráfego de backbone do mundo, incluindo a Level3 e a CenturyLink
      Uma porcentagem enorme do tráfego mundial passa pela rede deles, então imagino que consigam observar diretamente tráfego contendo esses indicadores
    • Isso é bem desanimador. Quer dizer que, de alguma forma, evitar uma impressão digital de IP é praticamente impossível? Mesmo usando Tor ou VMs? A menos que você seja dono do servidor físico, no fim das contas sempre precisa confiar no operador?
    • Isso é um recurso bastante padrão em roteadores de backbone. De qualquer modo, o cabeçalho TCP precisa ser analisado em hardware, e endpoints comuns podem ser rastreados com estado O(1)
      Claro que, no outro extremo, há o cenário em que a NSA coloca taps em links centrais da internet para registrar tudo que for possível e armazenar para sempre
    • Provavelmente a Windstream registra rotineiramente o tráfego dos clientes. Pode ser metadados (NetFlow/sFlow/IPFIX etc.), mas, de qualquer forma, para ter essa informação é preciso registrá-la e preservá-la
      Espero que isso esteja claramente descrito nos termos contratuais da Windstream
    • A premissa é que o Tor protege porque passa por vários nós antes de sair e porque o tráfego se mistura. Se a maioria ou todos os nós estiverem dentro de uma rede e o tráfego puder ser analisado, talvez seja possível identificar alguns fluxos
      Ainda assim, quanto mais tráfego um nó processa, mais difícil fica
      Um método mais simples é simplesmente operar um nó de saída.[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • Há alguns anos, passei a comprar uma caixinha x86 com NIC dupla e rodar OpenWRT nela. É open source, tem bastante suporte, uma boa comunidade e também oferece suporte a WireGuard
    A versão mais recente também consegue executar contêineres Docker

    • Mas este caso é de um modem DSL. Em algum ponto, precisa haver uma interface que conecte a rede ao lado WAN, seja DSL, coaxial ou fibra
      Mesmo um adaptador DSL para slot PCIe é, na prática, um sistema em formato de bastão; só não tem gabinete, mas tem todas as funções e bugs de um “roteador”
    • O afetado foi o modem, então o OpenWRT não teria protegido
    • Uso OpenBSD em uma placa antiga da PC Engines e, por cerca de 8 anos, ela funcionou de forma surpreendentemente livre de problemas
    • “A versão mais recente também consegue executar contêineres Docker”; o que poderia dar errado…
  • É isso que acontece quando você coloca um backdoor em 600 mil roteadores e introduz um bug de firmware em um dos patches
    Não dava para distribuir a atualização de forma gradual? Parece que criadores e usuários de malware são descolados demais para adotar práticas operacionais padrão

    • As pressões econômicas deles simplesmente são diferentes. O hardware que vira tijolo não é deles, e a chance de serem responsabilizados é baixa
  • Não entendo o que o título do artigo quer dizer

    • Esse ataque ocorreu alguns dias antes do Halloween de 2023, então talvez seja “abóbora”, e a grande queda no número de dispositivos conectados à internet talvez seja parecida com um eclipse trazendo escuridão de repente
      É só a minha interpretação, e eu também acho o título difícil de entender
    • Algumas horas atrás o título não era mais fácil de entender?
  • Para quem ficou confuso por causa do título: isto não é sobre um roteador de 600 mil dólares, e sim sobre 600 mil pequenos roteadores individuais que foram destruídos

  • Se o HN tivesse pontuação de karma, eu talvez desse pontos extras ao autor do envio por melhorar o título original, péssimo e caça-cliques
    Aqui, estão usando o tempo presente para um incidente de outubro do ano passado

    • Também daria para tirar pontos de envios cujo título parece incentivar causar dano
  • Artigo relacionado da Ars Technica: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • Aquilo é menos um artigo relacionado e mais uma reescrita do texto original. Não há detalhes adicionais próprios
  • Comprei um computador em formato de appliance de rede para a rede de casa. Basicamente é uma máquina comum com i3 compatível com VT-x, gabinete sem ventoinha e 4 NICs de 2,5 GiB
    Instalei uma distribuição Linux estável, com atualizações automáticas regulares de segurança, tanto no host quanto na VM, e fiz o mapeamento de dispositivo de 3 NICs para essa VM. A NIC restante não fica conectada a nada, exceto quando quero entrar no host por SSH
    Dentro da VM, uso UFW e Shorewall para cuidar do firewall e do roteamento. Se quero ajustar alguma coisa, entro nessa VM por SSH. Também tenho snapshots do disco da VM para poder voltar facilmente a um estado bom conhecido caso eu cometa algum erro
    Também comprei alguns pontos de acesso WiFi comerciais mais baratos e os distribuí pela casa, configurando os canais para minimizar interferência
    Antes, usei várias vezes produtos de rede da Apple, Google, ASUS e afins, mas todos tiveram problemas de desempenho e estabilidade. Por exemplo, os pacotes caíam aleatoriamente por 3 a 5 segundos durante reuniões no Zoom, o que era extremamente irritante
    Desde que configurei tudo por conta própria, não tive problema nenhum, e também tenho mais confiança de que está configurado com segurança e recebendo as atualizações de segurança relevantes. Resumindo: a menos que uma parte considerável do mundo que usa a mesma distribuição Linux famosa e estável tenha problemas ao mesmo tempo, minha rede doméstica também não terá

    • Este ataque afetou o modem, então mesmo com esse hardware tão bacana você ainda teria ficado sem internet
    • Por curiosidade, gostaria de saber qual computador em formato de appliance de rede você comprou