1 điểm bởi GN⁺ 2024-06-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • URL là the-pumpkin-eclipse, nhưng phần nội dung được cung cấp không phải bài viết gốc về Nhật thực bí ngô mà là trang blog·news hub của Lumen Technologies
  • Bài viết nổi bật ở đầu trang tập trung vào xu hướng rằng khi AI đang thay đổi cách doanh nghiệp vận hành, cần một mạng có thể lập trình, mở rộng và an toàn
  • Kế hoạch mua lại Alkira của Lumen được đặt như một ví dụ về việc xây dựng control plane cần thiết cho kết nối đám mây thế hệ tiếp theo
  • Các nội dung nổi bật khác tiếp nối với mạng lập trình được, trường hợp Bank of Tennessee dùng Lumen·Zoom AI, và ví dụ hỗ trợ kết nối cho các sự kiện toàn cầu của AWS
  • Khu vực tin mới nhất và khám phá nội dung đồng thời cung cấp tin tức công ty như đề nghị hoán đổi, thăng chức lãnh đạo, kết quả chào mua công khai cùng với bộ lọc theo chủ đề·ngành·dịch vụ

Tính chất thực tế của trang được cung cấp

  • Nội dung là trang blog và news hub của Lumen Technologies, tập hợp các đổi mới công nghệ, chiến lược và chuyên môn liên quan đến chuyển đổi số và mức độ sẵn sàng cho AI
  • Cấu trúc trang được chia thành nội dung nổi bật, tin mới nhất và khu vực khám phá nội dung
  • Dù đường dẫn URL gốc là the-pumpkin-eclipse, nội dung được cung cấp không có bài viết thực tế nào về Nhật thực bí ngô

Mạch nội dung nổi bật

Các mục tin mới nhất

Bộ lọc khám phá nội dung

  • Bộ lọc chủ đề bao gồm Application Protection, Customer Success, Data Center, DIA, Ransomware, SD WAN, API, Artificial Intelligence, Cloud Computing, DDoS Protection, SASE, ZTNA và nhiều mục khác
  • Bộ lọc ngành cung cấp Manufacturing, State and Local Government, Technology, Defense Intelligence, Federal Government, Education, Gaming, Healthcare, Retail, Financial Services, Public Safety và các mục khác
  • Bộ lọc dịch vụ gồm Infrastructure services, Connectivity services, Security services, Communication services, Media Entertainment

1 bình luận

 
GN⁺ 2024-06-01
Ý kiến trên Hacker News
  • Sẽ tốt nếu có thể chặn cập nhật bằng cách can thiệp vào đường write-enable của chip flash chứa firmware, rồi dùng việc khởi động lại hằng ngày để xóa sạch những thứ rác chỉ nằm trong bộ nhớ
    Đây là cách từng làm với đầu thu vệ tinh 20 năm trước, nhưng giờ có lẽ phải xem mọi thiết bị kết nối Internet đều dễ bị tổn thương trước các biện pháp đối phó điện tử tương tự
    Ít nhất với thiết bị của tôi, tôi muốn giám sát việc có cập nhật hay không, và nếu có cập nhật thì đèn báo sẽ bật để biết đó có bình thường hay không

    • Đây là tình thế không thể thắng. Nếu chặn cập nhật firmware thì có thể đã chặn được cuộc tấn công lần này, nhưng cũng sẽ chặn luôn các bản vá bảo mật giúp router không biến thành botnet
      Tuy vậy, điều tôi không hiểu trong trường hợp này là vì sao không thể đưa thiết bị về trạng thái ban đầu. Nếu có thể phá hủy toàn bộ firmware, kể cả bản sao lưu, thì có vẻ như thiết kế đã sai
    • Từng có một dự án phần cứng mở giả lập thẻ SD có thể từ chối ghi: https://github.com/racklet/meeting-notes/blob/main/community...
      Cũng có giả lập mã nguồn mở cho SPI flash: https://trmm.net/Spispy/
      Một số USB drive (Kanguru) và hộp SSD (ElecGear M.2 2230 NVME) có thể chặn ghi bằng firmware và công tắc vật lý, nên hữu ích để boot live ISO tùy biến chạy trong RAM
    • Với người từng dùng thẻ HU ở chợ đen, DirecTV đúng là một ví dụ về mối đe dọa dai dẳng nâng cao. Trước đây tôi chưa từng nghĩ như vậy
    • Tôi không rõ lắm về các giải pháp DSL cho người tiêu dùng, nhưng với cable modem thì firmware và cấu hình do CMTS quản lý. Lý do là khi công nghệ và cấu hình phía headend thay đổi, có thể cần thay đổi phía khách hàng để thiết bị tiếp tục hoạt động
      Khi hạ tầng cáp và thiết bị headend được nâng cấp/bảo trì, kế hoạch tần số, tốc độ tín hiệu, v.v. thay đổi, nên cấu hình biến động khá linh hoạt
      Nếu cố khóa write-enable của EEPROM, cuối cùng việc provisioning modem rất có thể sẽ thất bại
    • Có thể gọi đây là “mã độc first-party
  • Bài viết thiếu các chi tiết thú vị. Tôi tò mò họ đã xâm nhập bằng cách nào, các router này mặc định có cổng và dịch vụ nào mở không, và chúng có phản hồi đáng kể trên Internet không
    Chẳng phải cũng có thể lấy các phiên bản firmware khác nhau về để so sánh sao?
    Có vẻ như họ dùng cách phổ biến là đặt SDK của vendor lên OpenWrt: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    Điều thú vị là có suy đoán rằng vendor có thể đã gửi một bản cập nhật độc hại hoặc bị lỗi: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    Nếu vậy thì vì sao ISP không có thông báo chính thức? Nếu là một cuộc tấn công thì chẳng phải phải có điều tra sao? Tôi không biết ở Mỹ những việc như vậy được xử lý thế nào, nhưng trông thật sự rất lạ
    Có lẽ các thiết bị này đã bị nhiễm bot, rồi vendor đẩy cập nhật vào và làm hỏng tất cả
    Hoặc như bài viết nói, đó là một cuộc tấn công phối hợp có liên quan cả đến ransomware, và mọi người chỉ được thông báo “đây là bản cập nhật firmware lỗi, hãy bình tĩnh”
    Với tư cách khách hàng, người ta sẽ muốn biết có sự cố bảo mật hay không, nên điều đó cũng khá tệ
    Tôi tò mò liệu có image firmware của các thiết bị này hoặc link tới thông tin chi tiết hơn không

    • Có thể nên xem quyết định không đưa ra thông báo chính thức của ISP là dựa trên kết quả điều tra
      Tôi cũng tò mò phần chi phí thay thế được bảo hiểm chi trả sẽ là bao nhiêu. Có lẽ là không có, và khi đó ISP sẽ phải gánh rủi ro nghiêm trọng về tính liên tục kinh doanh. Đó lại là một lý do nữa để không công bố
  • “Lumen đã xác định hơn 330.000 địa chỉ IP duy nhất từng liên lạc với một trong 75 node C2 được quan sát”, nhưng telemetry toàn cầu của Black Lotus Labs làm sao biết IP nào đã liên lạc với IP nào khi họ không kiểm soát đầu nào trong hai đầu? Ai, và cái gì, đang lưu log lưu lượng?
    Nếu họ làm được, tôi muốn được giải thích lại vì sao Tor an toàn. Ý tôi là lời giải thích rằng không thể lần theo packet từ thiết bị của tôi qua các hop onion routing tới exit node, và ở exit node thì cùng packet đó xuất hiện ở dạng không mã hóa

    • Tôi có một người bạn làm ở Black Lotus, có khi chính người đó viết bài này. Black Lotus thuộc Lumen, còn Lumen là một trong những nhà khai thác lưu lượng backbone lớn nhất thế giới, bao gồm Level3 và CenturyLink
      Một tỷ lệ cực lớn lưu lượng toàn cầu đi qua mạng của họ, nên có vẻ họ có thể trực tiếp quan sát lưu lượng có chứa các chỉ báo
    • Khá vỡ mộng. Điều này có nghĩa là gần như không thể tránh dấu vân tay IP theo bất kỳ cách nào sao? Dù dùng Tor hay VM? Trừ khi tự sở hữu máy chủ vật lý, rốt cuộc vẫn chỉ còn cách tin nhà vận hành à?
    • Đây là một tính năng khá tiêu chuẩn trên router backbone. Dù sao thì TCP header cũng phải được parse bằng phần cứng, và các endpoint phổ biến có thể được theo dõi với trạng thái O(1)
      Tất nhiên, ở cực đối lập còn có tình huống NSA gắn tap vào các liên kết Internet cốt lõi, ghi lại mọi thứ có thể và lưu giữ mãi mãi
    • Có lẽ Windstream thường xuyên log lưu lượng của khách hàng. Có thể chỉ là metadata (NetFlow/sFlow/IPFIX, v.v.), nhưng dù sao để có thông tin này thì họ phải ghi và lưu trữ nó
      Hy vọng điều này được ghi rõ trong điều khoản hợp đồng của Windstream
    • Tor dựa trên giả định rằng bạn được bảo vệ nhờ lưu lượng đi qua nhiều node và được trộn lẫn trước khi ra exit. Nếu phần lớn hoặc toàn bộ node nằm trong mạng của họ và họ có thể phân tích lưu lượng, có lẽ một số luồng vẫn có thể bị tìm ra
      Tuy nhiên, một node xử lý càng nhiều lưu lượng thì việc đó càng khó
      Cách đơn giản hơn là cứ vận hành exit node.[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • Từ vài năm trước, tôi đã mua một hộp x86 nhỏ có dual NIC và chạy OpenWRT trên đó. Nó là mã nguồn mở, được hỗ trợ nhiều, cộng đồng tốt và cũng hỗ trợ WireGuard
    Phiên bản mới nhất còn có thể chạy container Docker

    • Nhưng trường hợp lần này là modem DSL. Đến một lúc nào đó vẫn phải có một giao diện nối với mạng ở phía WAN, dù đó là DSL, cáp đồng trục hay cáp quang
      Ngay cả adapter DSL cho khe PCIe thực chất cũng là một hệ thống dạng thanh, chỉ là không có vỏ, và vẫn có đầy đủ chức năng lẫn lỗi của một “router”
    • Thứ bị ảnh hưởng là modem, nên OpenWRT có lẽ cũng không bảo vệ được
    • Tôi đang dùng một bo mạch PC Engines cũ chạy OpenBSD, và nó hoạt động ổn định đáng kinh ngạc trong khoảng 8 năm qua
    • “Phiên bản mới nhất còn có thể chạy cả container Docker” cơ à, có gì mà có thể sai được chứ…
  • Cài backdoor vào 600.000 router rồi đưa lỗi firmware vào một trong các bản vá thì sẽ thành ra thế này
    Không thể triển khai cập nhật theo từng giai đoạn sao? Có vẻ tác giả malware và người dùng của họ quá ngầu để chấp nhận các thông lệ vận hành tiêu chuẩn

    • Áp lực kinh tế của họ chỉ khác thôi. Thứ bị biến thành cục gạch không phải phần cứng của họ, và khả năng họ phải chịu trách nhiệm cũng thấp
  • Không hiểu tiêu đề bài viết có nghĩa là gì

    • Cuộc tấn công này xảy ra vài ngày trước Halloween năm 2023 nên là “bí ngô”, còn việc số lượng thiết bị kết nối Internet giảm mạnh có lẽ giống như nhật thực đột ngột mang bóng tối đến
      Chỉ là cách hiểu của tôi thôi, và tôi cũng thấy tiêu đề khó hiểu
    • Vài giờ trước chẳng phải tiêu đề dễ hiểu hơn sao?
  • Nói thêm cho những ai bị tiêu đề làm rối: đây không phải là router trị giá 600.000 đô la, mà là 600.000 router nhỏ riêng lẻ đã bị phá hủy

  • Nếu HN có điểm karma, có lẽ nên cộng thêm điểm cho người đăng vì đã cải thiện tiêu đề clickbait tệ hại ban đầu
    Ở đây họ đang dùng thì hiện tại cho một sự việc xảy ra hồi tháng 10 năm ngoái

    • Cũng có thể trừ điểm những bài đăng có tiêu đề trông như đang kích động gây hại
  • Bài liên quan của Ars Technica: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • Cái đó giống một bài viết lại từ nguồn gốc hơn là bài liên quan. Không có chi tiết bổ sung nào của riêng họ
  • Tôi đã mua một máy tính dạng appliance mạng cho mạng gia đình. Về cơ bản đó là một máy i3 bình thường hỗ trợ VT-x, vỏ không quạt, có 4 NIC 2.5GiB
    Tôi cài một bản phân phối Linux ổn định có cập nhật bảo mật tự động định kỳ cho cả host lẫn VM, và map 3 NIC vào VM đó. NIC còn lại không cắm vào đâu trừ khi tôi muốn SSH vào host
    Trong VM, tôi dùng UFW và Shorewall để xử lý firewall và routing. Nếu muốn chỉnh gì thì SSH vào VM đó. Tôi cũng có snapshot đĩa VM để nếu lỡ tay có thể dễ dàng quay lại trạng thái tốt đã biết
    Tôi cũng mua vài điểm truy cập WiFi thương mại rẻ hơn và đặt trong nhà, cấu hình kênh để giảm nhiễu tối đa
    Trước đây tôi đã thử nhiều sản phẩm mạng của Apple, Google, ASUS, nhưng tất cả đều gặp vấn đề về hiệu năng và độ ổn định. Ví dụ như trong cuộc họp Zoom, thỉnh thoảng packet bị rớt ngẫu nhiên 3–5 giây, cực kỳ khó chịu
    Từ khi tự cấu hình thì hoàn toàn không còn vấn đề, và tôi cũng tin tưởng hơn rằng nó được thiết lập an toàn và đang nhận các bản cập nhật bảo mật liên quan. Tóm lại, miễn là một phần đáng kể thế giới đang dùng cùng bản phân phối Linux nổi tiếng, ổn định đó không đồng loạt gặp sự cố, thì mạng gia đình của tôi cũng sẽ không sao

    • Cuộc tấn công lần này ảnh hưởng đến modem, nên dù có phần cứng xịn như vậy thì bạn vẫn sẽ mất Internet
    • Hỏi vì tò mò: bạn đã mua máy tính dạng appliance mạng nào vậy?