Skip to main content

Posts

Перехват BGP-сессии опустошил кошельки легальных пользователей MyEtherWallet.com

Нарушитель ( реальный заливщик btc и eth ) используя протокол BGP успешно перенаправил трафик DNS-сервиса Amazon Route 53 на свой сервер в России и на несколько часов подменял настоящий сайт MyEtherWallet.com с реализацией web-кошелька криптовалюты Ethereum . На подготовленном нарушителем клоне сайта MyEtherWallet была организована фишинг-атака, которая позволила за два часа угнать 215 ETH (около 137 тысяч долларов) на кошельки дропов. Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet AS10297 в Колумбусе штат Огайо. После перехвата BGP-сессии и BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level3 , Hurricane Electric , Cogent и NTT , стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к 5 подсетям /24 Amazon (около 1300 IP-адресов) в течение двух часов перенаправлялись на подконтрольный нарушителю сервер, размещённый в датацентре п

BGP маршрутизаторы по прежнему уязвимы

Исследователи предупредили о недостатках в программной реализации протокола BGP ( Border Gateway Protocol ), которые можно использовать для провоцирования отказа в обслуживании ( DoS ) на уязвимых одноранговых узлах BGP . Уязвимости были найдены во FRRouting версии 8.4, популярном наборе протоколов интернет-маршрутизации с открытым исходным кодом для платформ Linux и Unix . В настоящее время он используется многими вендорами, включая NVIDIA Cumulus , DENT и SONiC , что создает риски для цепочки поставок. Проблемы были выявлены в ходе анализа семи различных имплементаций BGP , проведенного Forescout Vedere Labs: FRRouting, BIRD, OpenBGPd, ​​Mikrotik RouterOS, Juniper JunOS, Cisco IOS и Arista EOS. Список обнаруженных недавно проблем выглядит следующим образом: CVE-2022-40302 (6,5 балла по шкале CVSS) — out-of-bounds чтение при обработке искаженного сообщения BGP OPEN с опцией Extended Optional Parameters Length; CVE-2022-40318 (6,5 балла по шкале CVSS) — out-of-bounds чтение при

Обзор внутренней инфраструктуры безопасности Google

Обычно компании предпочитают хранить в тайне особенности своей инфраструктуры безопасности, которая стоит на защите дата-центров, полагая, что раскрытие подобной информации может дать атакующим преимущество. Однако представители Google смотрят на этот вопрос иначе. На то есть две причины. Во-первых, публикация таких отчетов позволяет потенциальным пользователям Google Cloud Platform (GCP) оценить безопасность служб компании. Во-вторых, специалисты Google уверены в своих системах безопасности. На днях компания обнародовала документ Infrastructure Security Design Overview («Обзор модели инфраструктуры безопасности»), в котором Google достаточно подробно описала свои защитные механизмы. Инфраструктура разделена на шесть слоев, начиная от аппаратных решений (в том числе физических средств защиты), и заканчивая развертыванием служб и идентификацией пользователей. Первый слой защиты – это физические системы безопасности, которые просто не позволяют посторонним попасть в дата-центры. Эта част

Владельцы учёток Google AdSense жалуются на огромное падение доходов RPM

Многие пользователи Google AdSense сообщают о значительном снижении своих доходов RPM (доход от просмотров страницы на тысячу показов) с конца февраля этого года. Произошло это через пару недель после того, как в Google сообщили, что переход с цены за клик на цену за тысячу показов в AdSense не оказал негативного влияния на доходы владельцев учётных запией Google AdSense. Существует множество веток жалоб от издателей Google AdSense на падение доходов и доходов на тысячу показов, но вот одна ветка с сотнями жалоб от издателей на форумах Google AdSense. Издатели Google AdSense заявляют, что их доходы и доход за тысячу показов упали примерно на 70%. Сообщения о падении доходов начали появляться в публичном доступе в конце февраля месяца, но продолжаются и сегодня - уже в апреле. Первый такой топик по этой теме был опубликован 27 февраля от издателя, который написал: «Мой доход и доход за тысячу показов внезапно упал примерно на 50-70% три дня назад. Трафик и показы в норме, реклама показ

Google протестирует работу Topics API на пользователях AdSense

Владельцы учётных записей Google AdSense смогут протестировать Topics API в браузере Chrome с 1 июля этого года. Новая технология позволит показывать рекламу на основе интересов пользователя без необходимости отслеживания cookie-файлов. В Google отмечают, что этот тест должен подтвердить корректную работу технологии, поэтому никакого влияния на доход или производительность сайтов не ожидается. Но рекламодатели, которые предпочитают не участвовать в первоначальном тестировании, смогут от него отказаться, используя настройки Chrome. Отметим, Google представил замену FLoC – Topics API в январе. Согласно Google, с помощью Topics браузер будет определять ряд тем, таких как « Фитнес » или « Путешествия », которые представляют основные интересы пользователя на текущую неделю, исходя из его браузерной активности. Когда пользователь посетит участвующий в проекте сайт, Topics выберет три темы – одну для каждой из последних трех недель, чтобы поделиться ими с сайтом и его рекламными партнерами

Как перехватить BGP-сессию за 60 секунд

Сегодня маршрутизаторы Cisco Systems лежат в основе всемирной паутины. Они достаточно часто встречаются в ходе проникновения в банковские системы, причем с привилегированным доступом level 15, что позволяет использовать их для дальнейшего развития атаки на платежные банковские системы и карточные терминалы. Да, слабые места в Cisco IOS присутствуют, как и в любом другом ПО, но лишь немногие специалисты умеют пользоваться недостатками самого IOS, используя Remote Buffer Overflow... Как идентифицировать маршрутизатор в Сети Для начала проанализируем общее состояние дел с безопасностью Cisco IOS. Сканеры уязвимостей делают большую работу по выявлению устаревших версий IOS. Это хорошо работает для определения, пропатчено устройство или нет, но нисколько не помогает ливщику на банковские счета, который не имеет за плечами большого опыта исследований Cisco IOS. За редкими исключениями, остается небольшое количество служб, которые обычно используются во внутрибанковской сети, и доступ к

Сброс BGP-сессии при помощи TCP Connection Reset Remote Exploit

Уже ни раз рассказывал о протоколе ТСР , так что повторятся особо не буду, напомню лишь основные положения: Transmission Control Protocol описывается в RFC 793 и преимуществом его является надежность передачи данных от одной машины к другому устройству по сети интернет. Это означает, что ТСР гарантирует надежность передачи данных и автоматически определит пропущенные или поврежденные пакеты. Что для нас важно из его конструкции? В общем виде заголовок ТСР пакета выглядит так: Программа передает по сети некий буфер данных, ТСР разбивает данные на сегменты и дальше упаковывает сегменты в наборы данных. Из наборов данных формируются пакеты и уже они передаются по сети. У получателя происходит обратный процесс: из пакетов извлекаются набор данных, его сегменты, затем сегменты передаются в ТСР стек и там проверяются, потом собираются и передаются программе. Sequence numbers Данные разбиваются на сегменты, которые отдельными пакетами направляются по сети получателю. Возможна ситуация, к