Работа в Стамбуле

Рубрика: Без рубрики

Скачать CiscoWorks • Скачать Cisco Prime LAN Management Solution 4.1 для Windows
Пакет CiscoWorks LAN Management Solution (LMS) содержит набор средств управления, необходимых для упрощения развертывания, администрирования, мониторинга и диагностики различных кампусных инфраструктур от Cisco.

Используя общие централизованные системы и сведения о сети, CiscoWorks LAN Management Solution предоставляет уникальный набор функций, позволяющих снизить время развертывания сети и расходы на администрирование.

Основные свойства Cisco LMS:
- Надежный набор средств уровня 2 для обнаружения устройств и подключений, детализированной визуализации топологии, настройки услуг уровня 2 и отслеживание оконечных станций, облегчающее настройку, управление и понимание физической и логической сетевой инфраструктуры.
- Представление сетевых устройств на основе графического пользовательского интерфейса с отображением в реальном времени динамических данных о состоянии позволяет упростить диагностику и устранение неисправностей устройств.
- Обнаружение неисправностей в реальном времени, функции анализа и отчета, использующие подробные сведения об устройствах и правила поиска неисправностей, основанных на лучших методах компании Cisco.
- Упрощенные задачи администрирования, требующие меньших затрат времени, и централизованное управление сетью с помощью управления заменой устройств, сетевой конфигурацией и образами программного обеспечения, доступность сети и анализ неисправностей.
CiscoWorks LMS состоит из следующих программных компонентов:
- CiscoWorks Common Services — базовая платформа, осуществляющая общее управление интеграцией со сторонними системами сетевого управления, контроль административного доступа и сервисами для всего семейства решений CiscoWorks.
- CiscoWorks LMS Portal — собственно, CMS сайта.
- CiscoWorks Assistant — появился с версии 3.0, представляет собой набор визардов для первичной настройки компонентов.
- Resource Manager Essentials (RME) — для управления критичными сетевыми ресурсами через Интернет с использованием web-интерфейса. Предоставляет набор инструментов для поиска и устранения неисправностей в сети, сбора детализированных отчетов, централизованного обновления программного обеспечения и конфигураций устройств, управления и конфигурации VPN, CallManager и др.
- Internet Performance Monitor (IPM) — для анализа, оптимизации производительности и отладки неисправностей сетевых соединений на основе Cisco IP SLA.
- CiscoView — графическое средство управления устройствами.
- MiniRMON — инструмент для работы с RMON и RMON2.
- Campus Manager (CM) — для обнаружения и управления L2/L3 устройствми, конфигурирования и управления VLAN и ATM LANE, а также определения подключения пользователей и IP телефонов.
- Device Fault Manager (DFM) — обеспечивает обнаружение и определение причин сбоев сетевого оборудования в режиме реального времени.
- Virtual Network Management (VNM) — появился с версии 3.2, занимается визуализацией топологии виртуальных сетей и их диагностикой, VRF.
- Health and Utilization Monitor (HUM) — появился с версии 3.0.1, идёт как Add-On, требует отдельной лицензии. занимается сбором, отображением и мониторингом параметров производительности, уведомлением о превышении пороговых значений. Поддерживает только cisco-устройства, может мониторить до 1000 устройств.
Все эти компоненты имеют свою нумерацию в рамках конкретной версии LMS, скачать Cisco Prime LAN Management Solution 4.1 для Windows
02.12.2022
Россия зависила от импортных товаров более чем на 75%

   Несмотря на декларируемую политику властей, направленную на импортозамещение, Россия все больше зависит от импортных товаров. Так, по итогам текущего года доля товаров зарубежного производства в России превысила 75%. Об этом сообщает Центр экономической экспертизы Института государственного и муниципального управления НИУ ВШЭ. По мнению специалистов, большая часть товаров повседневного спроса – это импортные товары.

Структура импорта в России

   К примеру, импортными являются 95% автозапчастей, 92% игр и игрушек, 87% обуви, 86% телекоммуникационного оборудования, 82% одежды, 73% текстиля и галантереи. Меньше всего зависимость страны от импорта – в продукции косметики, парфюмерии и моющих средств (57%), а также в спортивных товарах (48%).

   В прошлом году доля импортных товаров составляла 73,5%, а в 2020-м превысила 75%, несмотря на пандемию и закрытие границ.

   В настоящее время большая часть розничной торговли непродовольственными товарами повседневного спроса формируется за счет импорта. Исключением здесь является топливо. Эксперты ВШЭ видят причину этого в структурных факторах, сдерживающих производство в России, а также психологию потребления: российский потребитель считает, что товары импортного производства более качественные и будут служить дольше. При этом отмечается, что даже товары российского производства на 50% зависят от импортных компонентов, поэтому сегодня говорить о полном цикле производства товара на территории РФ не приходится.

17.11.2022
Celer Bridge incident analysis or why the BGP hijacks still having success

On 17 August 2022, a BGP spoofer was able to steal approximately USD 235,000 in cryptocurrency by employing a BGP hijack against the Celer Bridge, a service that allows users to convert between cryptocurrencies.

In this blog post, I discuss this and previous infrastructure attacks against cryptocurrency services. While these episodes revolve around the theft of cryptocurrency, the underlying attacks hold lessons for securing the BGP routing of any organization that conducts business on the Internet.

The BGP hijack of Celer Bridge

In a detailed blog post earlier this month, the threat intelligence team from Coinbase explained how the attack went down (Note: Coinbase was not the target of the attack). In short, the attacker used a BGP hijack to gain control of a portion of Amazon’s IP address space.

Doing so allowed it to impersonate a part of the Celer Bridge infrastructure, which was hosted by Amazon, and issue malicious smart contracts. These ‘phishing contracts’ stole the victim’s assets by redirecting them to the attacker’s wallet.

To ensure the BGP hijack would be successful, the attacker needed to make certain its malicious BGP announcements wouldn’t get filtered by an upstream network by taking two steps. First, it managed to insert bogus route objects (shown below) for QuickhostUK in AltDB, a free alternative to the IRR databases managed by RADB and the five RIRs. At this time, it is unclear whether QuickhostUK was also a victim of this attack.

irrd.log-20220817.gz:31106270-ADD 96126

irrd.log-20220817.gz:31106280-

irrd.log-20220817.gz:31106281-as-set: AS-SET209243

irrd.log-20220817.gz:31106306-descr: quickhost set

irrd.log-20220817.gz:31106332-members: AS209243, AS16509

irrd.log-20220817.gz:31106362:mnt-by: MAINT-QUICKHOSTUK

irrd.log-20220817.gz:31106392-changed: crussell()quickhostuk net 20220816

irrd.log-20220817.gz:31106438-source: ALTDB

irrd.log-20220817.gz:31147549-ADD 96127

irrd.log-20220817.gz:31147559-

irrd.log-20220817.gz:31147560-route: 44.235.216.0/24

irrd.log-20220817.gz:31147588-descr: route

irrd.log-20220817.gz:31147606-origin: AS16509

irrd.log-20220817.gz:31147626:mnt-by: MAINT-QUICKHOSTUK

irrd.log-20220817.gz:31147656-changed: crussell()quickhostuk net 20220816

irrd.log-20220817.gz:31147702-source: ALTDB

Credit: Siyuan Miao of Misaka on NANOG list

Since network service providers build their route filters using these IRR databases, this step was necessary to ensure upstream networks wouldn’t filter the bogus announcements coming from QuickhostUK.

Secondly, the attacker altered the AS-PATH of the route so that it appears to be originated by an Amazon ASN (specifically AS14618). This also caused the route to be evaluated as RPKI-valid; more on that later.

After the hijack in August, I tweeted the following Kentik BGP visualization showing the propagation of this malicious route. The upper portion shows 44.235.216.0/24 appearing with an origin of AS14618 (in green) at 19:39 UTC and quickly becoming globally routed. It was withdrawn at 20:22 UTC but returned again at 20:38, 20:54, and 21:30 before being withdrawn for good at 22:07 UTC.

Amazon didn’t begin announcing this identical /24 until 23:07 UTC (in purple), an hour after the last hijack was finished and more than three hours after the hijacks began. According to Coinbase’s timeline, victims had cryptocurrency stolen in separate events between 19:51 and 21:49 UTC.

Previous BGP hijacks against cryptocurrencies

The Celer Bridge attack wasn’t the first time that a cryptocurrency service was targeted using a BGP hijack. In April 2018, Amazon’s authoritative DNS service, the former Route 53, was hijacked in order to redirect certain DNS queries to an imposter DNS service, as illustrated below.

The imposter authoritative DNS server returned bogus responses for myetherwallet.com, misdirecting users to an imposter version of MyEtherWallet’s website. When users logged into their accounts (after clicking past the certificate error, ∗sigh∗), the cryptocurrency was drained from their accounts.

Within a couple of months of this incident, Amazon had published ROAs for their routes including those of its authoritative DNS service. This move enabled RPKI ROV to help offer some protection against such an attack in the future.

Since public DNS services like Google DNS peer directly with Amazon and reject RPKI-invalids, it would be difficult, if not impossible, to fool Google DNS like this again. If an attacker surreptitiously appended an Amazon ASN to the AS-PATH of its hijack route in order to render it RPKI-valid, it would be unlikely to be selected over the legitimate route from Amazon because of its longer AS-PATH length.

The BGP hijack against Amazon was not to be the last to target cryptocurrency.

Earlier this year there was another incident that involved the manipulation of BGP to target a cryptocurrency service. Attackers were able to make off with over USD 2 million in cryptocurrency by employing a BGP hijack against KLAYswap, an online cryptocurrency exchange based in South Korea.

Henry Birge-Lee and his colleagues at Princeton authored an excellent post on this incident. In this incident, the attackers went after the users of the KLAYswap cryptocurrency exchange by performing a BGP hijack of the IP space of a South Korean hosting provider (Kakao), as illustrated below.

This is because Kakao was hosting a javascript library that was loaded when users were on the KLAYswap platform. The BGP hijack enabled the attackers to impersonate Kakao and return a malicious version of this library redirecting user transactions to destinations controlled by the attackers.

So what can be done to protect against BGP hijacks?

While the incidents discussed above all involved the targeting of cryptocurrency services, the underlying issues are universal and can affect any organization that uses Internet-based services. In order to safeguard against attacks like these, BGP and DNS monitoring need to play a central role in your monitoring strategy. Additionally, strict RPKI configuration can also increase the difficulty for someone to hijack your routes, as I will explain.

BGP and DNS monitoring

DNS monitoring exists for the scenario that unfolded with MyEtherWallet in 2018. It uses agents around the world to check that queries for a specified domain return expected results. If a response contains something other than what was expected, it will fire off an alert.

In the case of last month’s Celer Bridge attack, BGP monitoring could have alerted that a new /24 of Amazon address space was being announced, although the forged Amazon origin may have caused it to appear legitimate.

However, when this new /24 appeared with an unexpected upstream of AS209243 (Quickhost), that should have triggered an alert drawing attention to this anomaly. The key detail here that would have distinguished this alert from the appearance of just another peer of Amazon would have been that the new upstream was seen by 100% of BGP vantage points. In other words, this new Amazon prefix was getting exclusively transited by this relatively unknown hosting provider. That should have raised some eyebrows among the Amazon NetOps team.

RPKI ROV

Amazon had a ROA for the prefix that was hijacked, so why didn’t RPKI ROV help here? It is important to first emphasize that RPKI ROV is intended to limit the impact of inadvertent or accidental hijacks due to routing leaks or misconfigurations. This is because ROV alone cannot prevent a ‘determined adversary’ from forging the origin in the AS-PATH, rendering a malicious hijack RPKI-valid.

Having said that, it could have still helped if the ROA were set up differently. As it stands, the ROA for the address space in question is quite liberal. Basically, three different Amazon ASNs (16509, 8987, and 14618) can all announce parts of this address space with prefixes ranging in size from a /10 all the way down to a /24. See the output of the Routinator web UI, as shown in figure 4.

An alternative approach to ROA creation would be to do what other networks such as Cloudflare and Comcast have done — set the origin and maximum prefix length to be identical to how the prefix is routed. While this approach incurs an overhead cost of needing to update a ROA every time a route is modified, it also leaves little room for alternate versions of the route to come into circulation. Another consideration is the propagation time of the RPKI system itself — changes to ROAs take time to propagate around the world and networks only periodically update their RPKI data.

In its blog post following the June 2019 routing leak by Allegheny Technologies, Cloudflare made the argument that had Verizon deployed RPKI ROV and had been rejecting RPKI-invalid routes, the leak would not have circulated and the impact would have been minimal. As I discussed in my talk at NANOG 78 in February 2020, this statement is only true because the maximum prefix lengths in Cloudflare’s ROAs matched the prefix lengths of their routes. This is not true of many ROAs, including Amazon’s.

At NANOG 84 earlier this year, Comcast presented the story of how they deployed RPKI ROV on their network. In the Q&A, they confirmed that they adopted a strategy of using automation to maintain exact matches of maximum prefix lengths in their ROAs to avoid this route optimizer leak scenario.

Had Amazon created a ROA specifically for 44.224.0.0/11 with an origin of AS16509 and a max-prefin-len of 11, then the attacker would have to do one of two things to pull off this attack. One option would be to announce the same route (44.224.0.0/11 with a forged origin of AS16509). This route would have been RPKI-valid but would have had to contend with the real AS16509 for route propagation. Alternatively, if the attacker announced a more-specific route, it would have been evaluated as RPKI-invalid and had its propagation dramatically reduced if not completely blocked given the upstream in this case was Arelion and they reject RPKI-invalid routes.

Conclusions

The attacks against cryptocurrency services in recent years highlight universal problems that aren’t restricted to cryptocurrencies. Companies looking to secure their Internet-facing infrastructures need to deploy robust BGP and DNS monitoring of their infrastructure as well as that of any Internet-based dependencies they may have.

Additionally, companies should reject RPKI-invalid routes while also creating strict ROAs for their IP address space by including maximum prefix lengths that exactly match the prefix lengths used in their routes. In fact, RFC 9319 ‘The Use of maxLength in the Resource Public Key Infrastructure (RPKI)’ states that it is a ‘best current practice’ that networks entirely avoid using the maxLength attribute in ROAs, except in certain circumstances. Leaving the maxLength field blank in a ROA has the same effect as setting the maxLength field to match the prefix. These steps can greatly reduce the window of opportunity for an attacker to subvert your Internet infrastructure.

11.11.2022
Криптовалюта изнутри или как работают майнеры в интернете

   Bitcoin напоминает швейцарские механические часы: снаружи четко выполняет задачу, в понимании которой нет ничего сложного. Но если открыть заднюю крышку, то можно увидеть нетривиальный механизм, состоящий из множества шестеренок и прочих деталей. Однако полностью разобраться в том, как все это работает, технически подкованному человеку вполне реально.

   Одно из первых подробных технических описаний Bitcoin на русском было опубликовано в начале десятых годов на Хабре в статье «Bitcoin. Как это работает». Как правильно написано: «У Bitcoin есть такая особенность — чем больше начинаешь в нем разбираться, тем больше возникает новых вопросов. Есть только два выхода —либо разобраться до конца, либо просто научиться пользоваться интерфейсом программы. Иначе не будет покидать чувство, что где-то обязательно должен быть подвох».

   Что такое криптовалюта? Если кратко, то это децентрализованная валюта с защитой от повторного использования, основанной на достижениях современной криптографии. Идея состоит в том, что каждая транзакция необратима и подтверждается вновь генерируемыми блоками, отвечающими определенным требованиям. Эти блоки вычисляются всем сообществом, объединяются в цепочку и доступны всем для просмотра в виде единой базы данных. Процедура вычисления блоков называется майнинг.

   Сеть построена таким образом, что один блок находится с определенной периодичностью, независимо от вычислительных мощностей, — то есть сложность вычислений саморегулируется. При этом, пока сеть растет, каждый вновь сгенерированный блок содержит еще и новые монеты. В случае с Bitcoin и еще некоторыми видами криптовалют количество монет, которые могут находиться в обращении, ограничено на уровнеротокола, и количество вновь добываемых монет постепенно уменьшается в геометрической прогрессии так, что оно никогда не превысит заданного лимита. Каждый пользователь, который сгенерировал блок, получает фиксированную награду, а также комиссию транзакций, которые он подтвердил, включив их в блок.

   Технология Bitcoin является одним из первых успешных практических решений так называемой задачи о византийских генералах. Кратко она формулируется так: как установить доверие между сторонами, связанными только по каналу связи, которому нельзя доверять? Одним из ключевых моментов в решении служит криптографический метод proof-of-work — те самые «бесполезные» вычисления, которые заведомо должны проводиться долго, но доказательство того, что они были, должно проверяться моментально.

   Bitcoin-клиенты делятся на два вида: толстые/тяжелые (Bitcoin-Qt, Armory) и тонкие/легкие (Electrum, Multibit). Отличие заключается в том, что толстые клиенты для своей работы требуют локальную копию всей базы данных с логом всех транзакций за все время существования сети, а тонкие клиенты выкачивают информацию из децентрализованной сети только по мере необходимости. Для существования сети необходимо наличие в ней толстых клиентов, однако и тонкие клиенты дают возможность полноценно использовать Bitcoin — например, это особенно логично на смартфонах.

   Со временем размер базы данных будет только расти, так же как и емкость носителей информации. Из чего же состоит БД? БД — это блокчейн, цепочка блоков данных в формате JSON. Каждый блок содержит всю необходимую для функционирования сети информацию, свой порядковый номер и хеш-сумму предыдущего блока. Естественно, в самом первом блоке такой хеш-суммы нет. Причем к хешу (шестнадцатеричному числу) выдвигаются строгие требования: он должен начинаться с определенного количества нулей, а если точнее, должен быть меньше специального параметра под названием «bits». Обратно пропорциональный ему параметр называется «сложность». Этот механизм позволяет надежно хранить все прочие необходимые данные в распределенной сети, ведь если изменить хотя бы один символ в блоке, то его хеш изменится целиком и все нули моментально пропадут.

   Что же за вычисления происходят при майнинге и как добиться таких красивых хешей, которые, по сути, являются абсолютно случайными числами? Майнинг — это не что иное, как брутфорс. Брутфорс, который осуществляется не с целью атаки, а с целью защиты. Система такова, что брутфорсить в ней с целью защиты намного выгоднее, чем с целью атаки. Просто потому, что с целью защиты брутфорсит большинство (а на практике все).

   Несмотря на то что хеш-функция вычисляется по строгому математическому алгоритму, брутфорс с целью поиска красивого хеша возможен за счет параметра nonce. Программа-майнер просто перебирает различные значения nonce одно за другим, вычисляет хеш блока, и если в один прекрасный момент повезет и хеш будет отвечать параметру сложности, то счастливчик получит награду в виде новых биткоинов и комиссий всех транзакций, включенных в блок.

10.11.2022
Взгляд на процессинг из бот-сетей, фиат и крипта в деле

Сейчас большая часть «нелегальных» операций приходится на стейблкоины, из которых примерно половина оказывается на крупных биржах. Переводы токенов, курс которых привязан к фиатным валютам, составляют большую часть всего объема «сомнительных» переводов относительно крипторынка в целом.

   Сначала немного теории

   Для удобства написания, веб-инжекты и ATS (скрипты для авто процессинга) записываются в отдельный файл, указанный в файле конфигурации для ботов ZeUS или CarberP как DynamicConfig.file_webinjects. Естественно, после создания конченого файла конфигурации, ни какие дополнительные файлы не генерируются.

   Файл представляет из себя список URL для которых можно указать неограниченное количество веб-инжектов, изменяемая URL указывается строкой по правилам файла конфигурации:

Код:
set_url [url] [флаги] [блэкмаска POST] [вайтмаска POST] [URL блокировки] [маска контекста]

при этом два последних параметра являются не обязательными.

URL — URL на которую должен срабатывать веб-инжект, можно использовать маску.
флаги — определяет основное условие загрузки, может состоять из нескольких флагов в любом порядке, но с учетом регистра. В настоящее время доступны следующие флаги:
P — запускать веб-инжект при POST запросе на URL.
G — запускать веб-инжект при GET запросе на URL.
L — изменяет предназначение веб-инжекта, если указать этот флаг, то будет получен нужный кусок данных и немедленно сохранен в лог.
F — дополняет флаг L, позволяет записывать результат не в лог, а в отдельный файл.
H — дополняет флаг L, сохраняет нужный кусок данных без вырезания тегов.
D — запускать веб-инжект раз в 24 часа.
блэкмаска POST — представляет из себя маску POST-данных передаваемых URL, при которых не будет запускаться веб-инжект.
вайтмаска POST — представляет из себя маску POST-данных передаваемых URL, при которых будет запускаться веб-инжект.
URL блокировки — в случаи если ваш веб-инжект должен грузиться лишь один раз на компьютере жертвы, то здесь следует указать маску URL, в случае открытия которой данный Веб-инжект не будет более использоваться на компьютере. Если вам этого не нужно, оставтье поле пустым.
маска контекста — маска части содержимого страницы, при котором должен сработать веб-инжект.
После указания URL, со следующей строки начинается перечисление веб-инжектов, которое длится до тех пор, пока не достигнут конец файла или не задана новая URL при помощи очередной записи set_url.

Один веб-инжект состоит из трех элементов:

Без флага L:
data_before — маска данных после которых нужно записать новые данные.
data_after — маска данных перед которыми следует записать новые данные.
data_inject — новые данные, на которые будет заменено содержимое между data_before, data_after.

С флагом L:
data_before — маска данных после которых начинается кусок получаемых данных.
data_after — маска данных перед которыми кончается кусок получаемых данных.
data_inject — играет роль заголовка для получаемых данных, нужен лишь для визуального выделения в логах.

   Название элемента должно начинаться с первого байта новой строки и сразу после окончания названия должен быть перенос на следующею строку. Со следующей строки идут данные веб-инжекта, окончание данных обозначается строкой data_end, также это строка должна начинаться с первого байта очередной строки. Внутри элемента вы можете свободно использовать любые символы.

   Примечания: Как известно, новая строка может обозначаться одним (0x0A) или двумя (0x0D и 0x0A) байтами.

   Так как в основном веб-инжект используется для подмены содержимого текстовых данных для того чтобы процессинг смог нормально отработать, то данная особенность учтена, и бот успешно запускает веб-инжект даже если у вас новые строки обозначены двумя байтами, а в содержимом URL одним байтом и наоборот.

   Элементы веб-инжекта могут быть расположены в любом порядке, т.е. data_before, data_after, data_inject, или data_before, data_inject, data_after и т.д. Элемент может быть пустым.
При использовании флага L, в получаемых данных каждый тег заменяются на один пробел.

Пример файла:

Подмена заголовка любого сайта по протоколу http на фразу «HTTP: Web-Inject»

Код:
set_url http://* GP

data_before
<title>
data_end

data_inject
HTTP: Web-Inject
data_end

data_after
</title>
data_end

Подмена заголовка любого сайта по протоколу http на фразу «HTTPS: Web-Inject» и добавление текста «BODY: Web-Inject» сразу после тега <body>

Код:
set_url https://* GP

data_before
<title>
data_end

data_inject
HTTPS: Web-Inject
data_end

data_after
</title>
data_end

data_before
<body>
data_end

data_inject
<hr>BODY: Web-Inject<hr>
data_end

data_after
data_end

Получаем заголовок страницы

Код:
set_url http://*yahoo.com* LGP

data_before
<title>
data_end

data_inject
Yahoo Title: Web-Inject
data_end

data_after
</title>
data_end

   Так, еще пару лет назад главной криптовалютой среди операторов процессинга, использующих цифровые активы в своей деятельности, был биткоин. Сооснователь Chainalysis Джонатан Левин писал, что доля первой криптовалюты в «нелегальных» операциях составляла 95%. Сегодня потоки криптовалют, связанных с подозрительной деятельностью, кардинально изменились.

   Стейблкоины — это криптовалютные токены с привязкой курса к доллару, евро, унции золота или другому активу. «Стабильные монеты» используются участниками для торговли на криптобиржах, для перемещения активов между ними, а также в сфере потребительских платежей. Стейблкоины практически не подвержены ценовым колебаниям вне зависимости от условий на рынке — это отличает их от таких криптовалют, как биткоин или Ethereum.

   Аналитики обнаружили, что криптовалюты, связанные с торговыми площадками даркнета, дроповодами, программами-вымогателями и вредоносным программным обеспечением, во многом сосредоточены всего на пяти крупнейших биржах. Названия конкретных платформ они не указали. В компании также отметили, что дроповоды часто используют не только официальные регулируемые организации, но и децентрализованные финансовые приложения (DeFi), сайты азартных игр, криптомиксеры и межсетевые криптомосты для отмывания денег.

Именно поэтому применение автоматических сценариев процессинга в настоящщее время и является самым высокодоходным инструментом на рынке.

04.11.2022