Работа в Стамбуле

Метка: BGP MiTM

  • Как работают криптовалютные боты для процессинга на кошельки

    Как работают криптовалютные боты для процессинга на кошельки

    Большинство биткойнеров и криптовалютчиков считают наличие посторонних инжектов для процессинга  крипты или «человека в браузере» самой большой угрозой криптокошелькам, обменникам и онлайн биржам, причем процессоры крипты используют эту тактику все чаще

    Сценарии bgp mitm процессинга крипты с майнинга
    Последние статистические данные, предоставленные ведущими антивирусными компаниями подтверждают, что процессинг крипты с онлайн биржи или майнинга считается наиболее прибыльным бизнесом у кибернегодяев.
    Широкое распространение платформ онлайн торговли криптовалютой, их открытость для мобильных платформ и социальных сетей, привлекают внимание все большего количества комбинаторов. Самым простым методом процессинга крипты на кошелёк своего дропа считается фишинг, использующий приемы социальной инженерии, которые позволяют получить учётные данные криптокошелька или закрытые ключи ничего не подозревающих наивных держателей криптовалюты. О более продвинутых техниках процессинга крипты через mitm с майнинга с использованием сценариев bgp spoofing и реализаций техники bgp hijacking мы поговорим позже.
    Дроповоды и тафогоны также концентрируют свои усилия на создании все новых и новых инжектов и схем процессинга, способных заполучить закрытые ключи или учётные данные криптокошельков клиентов, включая кейлогеры (key-loggers) и грабберы экранов.
    Ответом криптовалютного сообщества стало усовершенствование процесса аутентификации, классическим примером которого является введение многофакторной аутентификации (переменные пароли, СМС-подтверждение, аппаратные токены). На сегодняшний день практически все криптобиржи уже перешли на двухфакторную аутентификацию при входе в свою учётную запись.
    Чтобы обойти системы двухфакторной защиты, ботоводы и тафогоны широко используют метод «человек в браузере». По данным многочисленных исследований, большинство участников криптовалютного рынка считают процессинг крипты  методом «человек в браузере» самой серьезной угрозой облачному майнингу. В классической схеме «человек посередине» дроповоды находятся между жертвой и криптовалютным мостом.
    В схеме «человек в браузере» ботоводы используют инжекты и процессинг, которые инфицируют браузер клиентов криптовалютной биржи. Обычно «человек в браузере» появляется в образе объектов модулей поддержки (Browser Helper Object), управляющих элементов ActiveX, расширений для браузера, дополнений, плагинов или перехвате API функций операционной системы.
    Такой тип нелегальных переводов криптовалюты основан на присутствии на устройстве клиента криптовалютной биржи инжекта или процессинга, который внедряется в его браузер. Такие дополнительные браузерные плагины способны изменять параметры транзакции крипты или проводить операции незаметно для клиента биржи. Эти программы обычно способны «прятать» транзакции, проведенные дроповодами от имени владельца кошелька, подменяя содержимое самого браузера.

    Подобные инжекты и процессинг могут обойти многофакторную аутентификацию — как только веб-сайт биржи или обменника подтвердит правильность введенных клиентом логина и пароля, троян тут же подменит данные о проводимой транзакции. 
    Дополнительный криптовалютный плагин также способен обеспечить видимость успешного завершения транзакции, подменяя содержимое, отображаемое браузером. «Человек в браузере» — очень коварный тип процессинга крипты, потому что ни биржа, ни пользователь не могут обнаружить его, несмотря на многофакторную аутентификацию, капчи или применение других способов аутентификации. Эксперты по безопасности обнаружили, что большинство интернет-пользователей (73%) не может различить реальные и поддельные всплывающие предупреждения, а также не способны распознать контент, созданный инжектами и процессингом.
    По результатам опроса, большинство криптовалютных профессионалов считают «человека в браузере» самой серьезной угрозой онлайн-биржам. На этом принципе работают такие программы, используемые дроповодами и трафогонами, как Zeus, Carberp, Sinowal или Clampi.
    В настоящее время клиенты криптовалютных бирж и обменников все ещё подвержены воздействию типа «человек посередине», но в их силах попытаться уменьшить вероятность быть вовлеченным в них (например, фишинг), что могло бы помочь избежать инфицирования системы. Наиболее эффективной контрмерой считается аутентификация по внешнему каналу (Out-Of-Band, OOB), поскольку ботовод, применяющий метод MiTM («человек посередине»), протоколирует лишь один канал связи. ООВ предусматривает отдельный канал для аутентификации, чтобы верифицировать и авторизовать транзакции криптовалюты с высоким риском. Система ООВ передает пользователю информацию о транзакции, например, по электронной почте, SMS или телефону, и для подтверждения получения требует ввода прилагаемого одноразового пароля.
    Однако, меры противодействия дроповодам и их реальная эффективность постоянно снижаются.
  • 30% сотрудников представляют угрозу банкам в еврозоне

    30% сотрудников представляют угрозу банкам в еврозоне

        Мотовильная компания из Днепропетровска провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников украинских банков. Результаты исследования позволили выявить низкий уровень знаний респондентов в этой области, несоблюдение простейших правил защиты информации, высокий риск проникновения в банковскую сеть c последующим процессингом фиата на карты и счета неразводдных дропов, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ, как это недавно сделал Edward Snowden.

    30% банковских клерков еврозоны нелояльны

    Специалистам, отвечающим за информационную безопасность в банках, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников украинских банков оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 10 процентов респондентов регулярно проходят инструктаж или оучение по банковской информационной безопасности.

    При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

    Исследование показало, что большинство пользователей не осознает угрозы проникновения в корпоративные сети через электронную почту: 95% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

    Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 57% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

    Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям, которые легко могут подойти и процессить лбые суммы со счетов клиентов банка куда угодно.

    Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 25% опрошенных. Причем речь идет не только о паролях для почты – в каждом банке есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

    Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить дроповодам процессинга задачу по проникновению в корпоративную сеть банковского учреждения и процессингу через неё денежных средств в люых количествах.

    Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать ещё одним каналом утечки банковских данных.

    Результаты опроса показывают, что 9 из 10 пользователей не уничтожают носители, содержащие банковскую информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или дроповодов процессинга после того, как работники отправляют её в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. На Украине тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

    В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен украинских банков. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в сентябре — ноябре прошлого года.

  • Оценили устойчивость национальных сегментов интернета

    Оценили устойчивость национальных сегментов интернета

    Уже пятый год подряд наши специалисты совместно с Главным Цетром управления Магистральными Сетями Связи Ростелеком, который находится в Дубовой Роще, оценивают влияние возможных сбоев сетей системообразующих операторов связи на глобальную доступность национальных сегментов интернета.
    Исследование сетей объясняет, каким образом отказ одной автономной системы (Autonomous System) влияет на глобальную связность отдельного региона. В большинстве случаев крупнейшая автономная система в регионе является доминирующим интернет-провайдером (ISP) на рынке.
    доступность интернета Ростелеком
    Чем больше число альтернативных маршрутов трафика между автономными системами, тем более отказоустойчивым и стабильным является интернет-сегмент. Хотя некоторые пути являются более важными, чем другие, создание как можно большего числа альтернативных маршрутов является единственным способом диверсификации рынка и обеспечения достаточно надежной сети.
    Глобальная связность любой автономной системы интернета, независимо от того, является ли она региональным игроком или международным гигантом, зависит от количества и качества ее путей к Tier-1 провайдерам, таким как Ростелеком, Укртелеком, Белтелеком, ТрансТелеком, Level 3, AT&T. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам.
    рейтинг доступности автономных систем

    Надежность IPv4 (Internet Protocol version 4)

    Наши аналитики рассказывают, что расчет показателя для каждой исследуемой страны был произведен по следующей методике:
    • На первом этапе с использованием системы моделирования работы глобального интернета для каждого оператора в мире был сделан расчет всех альтернативных маршрутов прохождения трафика до трансконтинентальных Tier-1 операторов.
    • На втором этапе с использованием базы геоданных Maxmind GeoIP были сопоставлены страны с каждым IP-адресом каждой автономной системы.
    • Далее для каждой Автономной Системы была подсчитана доля адресного пространства, соответствующего выбранному региону. Были отфильтрованы интернет-провайдеры, находящиеся в точке обмена трафика в регионе, где они не имеют значительного присутствия.
    • В итоге для формирования рейтинга отбирались операторы, отказ которых может привести к потере глобальной доступности наибольшего процента автономных систем заданного национального сегмента.
    Сравнительная таблица Топ-20 стран по устойчивости национальных сегментов сети интернет 2019-2020 годах
    Место в рейтинге 2019 (Оператор связи) Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, % 2020 (Оператор связи) Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, % Изменение в рейтинге 2019 — 2020
    1 Германия (DeutscheTelekom) 2.19 Бразилия (Fortel) 1.95 Вверх на 1 позицию
    2 Бразилия (LACNIC) 2.74 Германия (DeutscheTelekom) 2.67 Вниз на 1 позицию
    3 Великобритания (Cogent) 3.07 Швейцария (Swisscom) 2.89 Вверх на 2 позиции
    4 Украина (Uarnet) 3.16 Украина (Datagroup) 3.27 4 место
    5 Швейцария (Swisscom) 3.35 Великобритания (Cogent) 3.35 Вниз на 2 позиции
    6 Сингапур (StarHub) 4.00 Нидерланды (JointTransit) 3.52 Вверх на 8 позиций
    7 Франция (Cogent) 4.17 Канада (BellCanada) 3.80 Вверх на 2 позиции
    8 Бельгия (Telenet) 4.24 США (Level 3) 4.25 Вверх на 10 позиций
    9 Канада (Bacom) 4.31 Франция (Cogent) 4.38 Вниз на 2 позиции
    10 Польша (Netia) 4.55 Лихтенштейн (QNet) 4.41 10 место (newcomer 2020)
    11 Россия (Rostelecom) 4.74 Испания (ServihostingNetworks) 4.64 Вверх на 2 позиции
    12 Гонконг (PCCW) 5.15 Польша (Netia) 4.88 Вниз на 2 позиции
    13 Испания (Vodafone) 5.23 Россия (Rostelecom) 5.08 Вниз на 2 позиции
    14 Нидерланды (JointTransit) 5.25 Япония (Asia Pacific Network Information Centre) 5.14 14 место (newcomer 2020)
    15 Ирландия (Cogent) 5.72 Бельгия (Cogent) 5.49 Вниз на 7 позиций
    16 Болгария (Spectrumnet) 6.12 Италия (TelecomItaliaSparkle) 5.56 Вверх на 1 позицию
    17 Италия (Fastweb) 6.44 Сингапур (StarHub) 5.68 Вниз на 11 позиций
    18 США (Level 3) 6.83 Индонезия (TelkomIndonesia) 5.89 18 место (newcomer 2020)
    19 Люксембург (POST Luxembourg) 6.92 Аргентина (ARSAT) 6.40 19 место (newcomer 2020)
    20 Чехия (ISP Alliance) 7.27 Гонконг (PCCW Global) 6.44 Вниз на 8 позиций

    TL;DR, ключевые изменения:

    • США поднялись на 10 позиций, оказавшись на 8 месте;
    • В Топ-20 рейтинга вошли 4 новые страны: Лихтенштейн, Япония, Индонезия и Аргентина;
    • 4 страны покинули Топ-20: Люксембург, Чехия, Ирландия, Болгария;
    • Гонконг опустился на 8 позиций и замыкает двадцатку;
    • Сингапур потерял 11 позиций;
    • Многолетний лидер рейтинга – Германия – уступила первое место Бразилии в 2020 году.
    Ростелеком обещал поднять зарплаты сотрудникам в этом году
    В 2020 году позитивная глобальная тенденция к повышению надежности и общей доступности сетей во всем мире сохраняется. Число стран с высокой степенью отказоустойчивости, где сбой сетей системообразующих операторов связи затрагивает менее 10% автономных систем региона, второй год подряд увеличивается на 5. В этом году оно достигло в общей сложности 40, однако самый важный факт, который следует отметить, – это значительные улучшения в надежности и IPv4, и IPv6. Более того, в будущем неизбежен момент, когда новая версия протокола IP займет лидирующие позиции и в нашем рейтинге станет основной.

    Надежность IPv6 (Internet Protocol version 6)

    По состоянию на сентябрь 2020 года, почти 30% пользователей Google используют соединение IPv6. Фактически это означает, что их интернет-провайдеры поддерживают версию 6 протокола IP. Тем не менее, основная проблема IPv6 по-прежнему сохраняется. 
    Из-за продолжающихся пиринговых войн между несколькими провайдерами верхнего уровня в IPv6 они не все связаны друг с другом. Если сеть подключена только к одной их стороне, она не будет иметь полноценной связности в IPv6. Другими словами, для обеспечения полной связности и высочайшей надежности пути до Tier-1 операторов должны присутствовать постоянно.
    Процент Автономных Систем в стране, которые имеют лишь частичную связность в IPv6 из-за пиринговых войн
    Место в рейтинге 2020 Максимальная доля сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, IPv6 Процент частичной доступности, IPv6
    1 Великобритания (Choopa) 2.16% 5.49%
    2 Германия (Core-Backbone) 2.52% 5.92%
    3 Бразилия (AlgarTelecom) 2.81% 1.85%
    4 Нидерланды (ATOM86) 3.21% 1.51%
    5 Канада (ShawCommunications) 3.27% 8.05%
    6 Франция (legacyNeotelecoms) 3.78% 8.21%
    7 Бельгия (VERIXI) 3.80% 8.56%
    8 Швейцария (Swisscom) 4.05% 3.49%
    9 Япония (NTT Communications) 4.40% 0.84%
    10 Италия (FASTWEB) 4.42% 10.99%
    11 Индонезия (FiberStar) 4.60% 5.44%
    12 Украина (Datagroup) 5.28% 2.67%
    13 Россия (ERTH-TRANSIT) 5.87% 1.61%
    14 Гонконг (PCCW Global) 6.01% 12.02%
    15 Ирландия (CIX) 6.04% 10.47%
    16 США (Level 3) 6.09% 9.03%
    17 Румыния (Prime-Telecom) 6.61% 10.90%
    18 Болгария (Neterra) 6.68% 2.23%
    19 Польша (EPIX-KGM) 6.84% 5.95%
    20 Испания (AireNetworks) 6.92% 9.61%
    Показанная таблица демонстрирует, что есть несколько стран, где частичная доступность по IPv6 превышает 10%: Италия, Гонконг, Ирландия, Румыния. Наши специалисты сделали вывод, что рассматривая частичное подключение в сочетании с долей сетей национального сегмента, теряющих глобальную доступность при отказе одного оператора связи, можно заявить, что только в одном Гонконге отказ IPv6 приведет к тому, что 18% подключенных к IPv6 ресурсов станут недоступными. 16% – в Ирландии, почти то же самое – в Италии и Румынии. Эти цифры высоки даже в Великобритании – 7,5%, Германии – 8% и США – 15%.
    Наименьшие значения среди IPv6 Toп-20 принадлежат Бразилии – 4,66%, Нидерландам – ​​4,72% и Японии – 5,24%.
    Активное перераспределение рынка в США дало стимул для улучшения показателей национальной устойчивости этой страны. Стабильность и устойчивость крупных интернет-сегментов в принципе выигрывает от рыночной конкуренции и сильно страдает в случае консолидации игроков. Однако процессы консолидации в США и других странах носят, к сожалению, системный характер, поэтому успех 2020 года может оказаться единичным случаем.
    Однако, надежность IPv6, даже с учетом частичной доступности, выглядит лучше, чем у IPv4. Средняя доля сетей, теряющих глобальную доступность при отказе одного оператора связи, составляет 36,22% для IPv4 и 28,71% для IPv6. При этом, к сожалению, степень внедрения IPv6 в странах в два раза ниже, чем в случае с IPv4 и современной версии протокола предстоит пройти еще долгий путь до полного развертывания на сетях операторов связи.
  • На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    На площадке М9 осуществлено полное резерверование таблицы маршрутизации рунета

    Точка обмена межоператорским трафиком MSK-IX. расположенная на площадке М9 приступила к созданию «резервной копии» Рунета, об этом нам сообщили в среду, 6 июля, со ссылкой на источники в Ростелекоме.
    маршрутизация трафика на площадке М9
    Уже этой осенью может появиться резервная копия части инфраструктуры российского сегмента. Для этого автономная некоммерческая организация АНО MSK-IX создала отдельный фонд «Индата». Он будет заниматься развитием сетевых технологий, сообщил нам исполнительный директор фонда Александр Степанов и подтвердил глава MSK-IX Алексей Платонов. На первом этапе АНО инвестирует в этот фонд около 70 млн рублей.
    Фонд займется «макроскопическими исследованиями интернета», то есть анализировать маршрутизацию трафика и взаимодействие между собой автономных систем. Это позволит выявлять проблемы в маршрутизации и создать ряд web-инструментов, позволяющим российским инженерам электросвязи в режиме реального времени получать информацию о состоянии Сети и их взаимодействии друг с другом. После исследований будет создана единая система, объединяющая базы данных IP-адресов голландской регистратуры RIPE NCC (занимается распределением IP-адресов между операторами связи, в том числе российскими), и других регистратур (всего в мире существует пять таких организаций), а также базы данных маршрутной информации интернета.​
    Сейчас каждый оператор самостоятельно определяет политики маршрутизации трафика. Компании «отмечают» свои маршруты в базе данных. Уничтожение части информации из этой базы может привести к сбоям во всем интернете. Создаваемая система будет некоммерческой, а ее использование для операторов будет добровольным, сообщил Брындин. 
    В MSK-IX также подчеркнули о независимости фонда от Ростелекома. Компания «МегаФон» имеет собственную систему защиты от DDoS-атак, что «гарантирует клиентам отражение самых мощных атак», сообщила представитель компании Юлия Дорохина. Представители других операторов комментариев не дали по поводу самой инициативы АНО MSK-IX и ее перспектив.
    Наши эксперты отмечают, что Минкомсвязи пытался разработать «дубль» на государственном уровне еще в 2014 году. Идея возникла после обострения политической обстановки и опасений, что в критической ситуации российский интернет будет изолирован от глобальной сети. При этом идея создания системы в MSK-IX появилась еще год назад и не была связана с разрабатываемым Минкомсвязи законопроектом, заверяет Рыбников.
    В феврале 2016 года Минкомсвязи разработало законопроект о госконтроле интернет-трафика. Ведомство предложило создать систему мониторинга, которая позволит органам государственной власти понимать работу российского сегмента интернета. Закон обосновали необходимостью государства защищать рунет от внешних атак. 
    В мае Минкомсвязи опубликовало поправки в госпрограмму «Информационное общество», в которых планируется, что к 2020 году 99% российского интернет-трафика будет передаваться внутри страны. 
    На данный момент существует несколько вариантов законопроекта, ни один из которых публично не обсуждался. Судоплатов заявил, что идея создания системы в MSK-IX никак не связана с проектом Министерства.
  • Как ботнеты помогают провайдерам

    Как ботнеты помогают провайдерам

    Трафик, его направление и величина являются аргументами в торговле провайдеров между собой. Кто кому должен платить за подключение, сколько платить, стоит ли договариваться о беcплатном обмене трафиком (пиринге) и вообще, пускать ли оператора на узел обмена IX (эксчендж) – все эти вопросы решаются с большой оглядкой на статистику его трафика за последнюю пару месяцев. Таким образом, статистика начинает стоить денег.

    утечки трафика и маршрутов неизбежны

     

    Подделать статистические показатели крайне сложно, но их можно накрутить. Послать в нужном направлении триллиончик «тяжёлых» пингов – это не метод. Грубая односторонняя накрутка трафика выявляется элементарно.

    Лучшим инструментом для создания трафика, похожего на настоящий, являются ботнеты. Агент ботнета легко может имитировать действия пользователя по просмотру веб-страницы, скачиванию mp3, постингу картинки, даже просмотру видео во флеш-плеере.

    При этом владелец ботнета имеет возможности задействовать узлы из определённых стран и местностей, включать их в заданные периоды времени. Статистика получится гладенькая и натуралистичная. 

    У меня пока нет свидетельств об использовании ботнетов в таком качестве. Но ваш покорный слуга уверен, что оно имело место или должно состояться в скором времени. Буду признателен, если уважаемые коллеги поделятся своими наблюдениями и подозрениями на этот счёт.

    Зная некоторые особенности зомби-сетей или захватив «языка», можно попробовать выявить такие накрутки.