Eavesdropping on Internal Networks via Unencrypted Satellites
Исследователи с помощью обычного спутникового оборудования провели наиболее полный анализ геостационарных спутниковых коммуникаций и обнаружили шокирующее количество незашифрованного трафика. Среди уязвимых данных оказались критическая инфраструктура, корпоративные и правительственные коммуникации, личные голосовые звонки и SMS, а также интернет-трафик из бортовых Wi-Fi и мобильных сетей. Доступ к этой информации возможен с помощью оборудования стоимостью всего несколько сотен долларов, а один транспондер может быть виден с территории, покрывающей до 40% поверхности Земли.
Уязвимости выявлены в различных секторах: от мобильной связи и военных систем до коммерческих сетей и критической инфраструктуры. Исследователи связались с ответственными сторонами, и некоторые из них, включая T-Mobile, WalMart и KPU, уже внедрили исправления. Эксперты рекомендуют организациям рассматривать спутниковые каналы как незащищенные и использовать шифрование на всех уровнях, а обычным пользователям — применять VPN и приложения с end-to-end шифрованием для защиты своих данных.
Комментарии (34)
- Сигналы спутниковой связи не зашифрованы, что делает их уязвимыми к перехвату и анализу, но это не новость для специалистов и, похоже, не для компаний, которые продолжают использовать незашифрованные каналы связи.
- Исследование показывает, что даже сегодня множество спутниковых каналов связи остаются незашифрованными, что делает возможным перехват трафика с помощью доступного оборудования.
- Участники обсуждения отмечают, что отсутствие шифрования в спутниковых каналах связи является известным фактом, и что исследование не вносит новизны, но вместо этого лишь подтверждает известное.
- Некоторые комментаторы подчеркивают, что отсутствие шифрования может быть связано с тем, что компании не хотят внедрять шифрование из-за дополнительных затрат и сложностей, а также из-за того, что это может повлиять на производительность и удобство использования.
- Также обсуждается, что хотя технически возможно перехватывать и анализировать трафик, но это не обязательно означает, что это будет сделано, и что в конечном счете ответственность за обеспечение безопасности каналов связи лежит на плечах самих пользователей.
Analysis of the GFW's Unconditional Port 443 Block on August 20, 2025
20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.
Ключевые факты
- Цель: только 443/tcp; 22, 80, 8443 не трогались.
- Механизм:
- из Китая:
SYNилиSYN+ACKвызывали три поддельныхRST+ACK; - в Китай:
RSTпосылались только наSYN+ACKсервера.
- из Китая:
- Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.
Примеры трафика
Из Китая наружу
CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)
Снаружи в Китай
192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)
Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.
Комментарии (128)
- Пользователи обсуждают масштабные сбои/блокировки в китайском интернете, многие называют это «комендантским часом» и опасаются повторения на Западе.
- Возникли вопросы о топологии «Великого фаервола»: централизован ли он, действует ли между всеми узлами или только между домашними и коммерческими сетями.
- Некоторые считают инцидентом ошибку конфигурации, другие — «сухую тренировку» перед будущими ограничениями, особенно в военное время.
- Упоминаются последствия для удалённых работников и иностранцев: падение VPN, пропущенные созвоны, поиск запасных каналов (Starlink, LoRa, V2Ray).
- Подчёркивается, что внутри Китая даже запуск личного блога требует лицензии ICP, а HTTPS-сертификаты часто отсутствуют.
Critical Cache Poisoning Vulnerability in Dnsmasq
Критическая уязвимость кэш-подмены в Dnsmasq
Тип: логическая ошибка защиты от кэш-подмены
ПО: все версии Dnsmasq
Оценка: критическая
Условия: атакующий вне сети, перебирает TxID и порт (~2,5 ч)
Суть
Dnsmasq пересылает запросы со спецсимволами (~, !, *, _) вышестоящим резолверам. Некоторые из них молча отбрасывают такие запросы, не отвечая NXDomain/ServFail. Dnsmasq не замечает тишины и ждёт, открывая большое окно для подбора 16-битного TxID и порта (birthday-paradox).
Результат
- 20/20 успешных экспериментов
- Среднее время атаки ≈ 9 469 с
- Позволяет отравить любой кэшированный домен без фрагментации IP или побочных каналов
- Усиливает известные атаки SADDNS и Tudoor
PoC
Для домена viticm.com запросы с «тихими» символами приводили к молчанию upstream, что использовалось для надёжного отравления кэша.
Рекомендации
- Детектировать молчание upstream
- Ввести rate-limit и защиту от spoof, как в PowerDNS
Комментарии (90)
- dnsmasq пересылает «невалидные» запросы (с символами вне ASCII) к апстрим-резолверу, который молча их отбрасывает; злоумышленник, находясь на пути, может подобрать 32-битный (порт+ID) ответ и отравить кэш.
- Проблема не новая (известна с 1993 г.), но в dnsmasq уже второе за последнее время серьёзное упущение.
- Большинство потребительских роутеров с dnsmasq никогда не обновятся; предлагается «право на ремонт» и публикация прошивок/ключей.
- OpenWrt, если стоит за NAT/файрволом, теоретически недоступен извне, но всё равно можно заменить dnsmasq на Unbound или другой DNS-сервер.
- Эффективная защита — DNSSEC; временно помогает апстрим-резолвер, который быстро отвечает NXDOMAIN (8.8.8.8, 1.1.1.1, 9.9.9.9).