Работа в Стамбуле

Метка: CCNA

Employing a BGP hijack against BitCoin miners

A few days ago researchers at Dell SecureWorks published the details of an attacker repeatedly hijacking BGP prefixes for numerous large providers such as Amazon, OVH, Digital Ocean, LeaseWeb, Alibaba and more. The goal of the operation was to intercept data between Bitcoin miners and Bitcoin mining pools. They estimated that $83,000 was made with this attack in just four months. Let’s take a closer look at the BGP details of this specific attack.

BGP hijack details

Our friends at Dell SecureWorks decided not to name the network from which the hijacks originated. As a result we won’t name the exact Autonomous System either, instead we will suffice by saying that the originator of this hijack is a network operating in Eastern Canada.

Initial experiment
BGPmon detected the first BGP attack by this Canadian Autonomous System on October 8th 2013. For about 14 minutes a more specific /24 IP prefix for a Palestinian network was hijacked. Looking at geographical scope of the announcements and the probes that saw this route, we believe that in this case the route was only announced over the Toronto Internet Exchange.

Bitcoin hijack
On Feb 3rd 2014, the first targeted Bitcoin hijacks took place, this affected more specific prefixes for AS 16509 (Amazon). Starting Feb 4th the BGP attack appears to be originating from one of the downstream customers of the attacker. We believe this may have been an attempt to hide the actual Origin AS.

As of February 6th the finger print changes slightly again and the same more specific announcement for Amazon now appears to be announced by Amazon directly; i.e. the most right AS in the AS path is the Amazon AS. Looking at the data we believe that part of the ASpath is spoofed and that Amazon did not actually announce this prefix, instead it was announced by the Canadian attacker who tried to hide itself using AS path prepending.

Interestingly this specific case looks a lot like the ‘stealing the Internet’ attack as presented at Defcon a few years ago, including ASpath poisoning where some of the attackers upstream providers were included in the spoofed part of the ASpath.

We then observe a large gap between February 8th and March 22 where we don’t see any attacks involving this particular AS. On March the 22nd the BGP attacks return. In this case largely with the same fingerprint: mostly more specific (/24) announcements with the same spoofed ASpaths.
Finally May 13, 2014 is the last day these BGP attacks have been observed and it’s been quiet since.

Filters to limit the Scope and impact
It appears that all the BGP announcements related to the Bitcoin hijack attacks were only visible via peers of this Canadian network via the Internet Exchange. This means that the attacker either did not announce these hijacked blocks to their transit providers, or the transit providers did a good job in filtering these announcements.

Most network operators do not have prefix filters on BGP peering sessions at Internet Exchanges. Instead they often only have Max-Prefix filters in place. These Max-Prefix filters are intended to protect against large leaks, or a sudden increase in announced prefixes by these peers. In this scenario the BGP attacker would only announce a few new prefixes at any given time, this prevented Max-Prefix filters to trip.

Collateral damage
The BGP attacker appears to have known exactly what IP addresses are Bitcoin miners and as a result knew who to target. However, because many network operators filter out prefixes longer than a /24, the BGP attacker chose to announce a /24 in order to increase the chances of the prefix being accepted. This means that other machines in the same hijacked /24 prefix that have nothing to do with Bitcoin mining were also affected. Because of the nature of the providers affected, primarily cloud providers offering VM hosting (AWS, OVH, Digital Ocean, ServerStack, Choopa, LeaseWeb and more), it is not unlikely that traffic for machines (VMs) of hundreds of organizations worldwide may have been redirection to the BGP attacker.

Not the first time
This incident follows numerous similar BGP hijacks that happened recently. Just last year networks of several Credit Card companies were attacked.

Another example is the hijack of multiple Government departments of one specific European country. More recently Turkey hijacked the IP addresses of several well-known DNS providers.

These recent examples demonstrate that BGP attack is indeed being used for financial gain, Intelligence collection as well as Censorship.

05.12.2023
Російські бази даних як і раніше вразливі

Наразі Кримінальний Кодекс Російської Федерації передбачає покарання за незаконне збирання та розповсюдження в мережі інформації про приватне життя, а також за незаконний доступ до комп’ютерної інформації, у тому числі за її копіювання, пояснює Марков. Крім того, за його словами, періодично до кримінальної відповідальності притягують людей, які зливають інформацію про зміст листування та дзвінків, наприклад співробітників мобільних операторів, які продають інформацію про білінг абонентів.

Але поширення інформації, яка не стосується приватного життя і не була отримана незаконно самим її розповсюджувачем, поки злочином не є її лише вправі заблокувати Роскомнагляд. Автори нового законопроекту пропонують запровадити кримінальну відповідальність просто за поширення інформації, що міститься у злитих базах персональних даних, каже юрист.

Для цього правоохоронцям достатньо довести лише факт розповсюдження відомостей про персональні дані, раніше незаконно отримані третіми особами. Марков наводить приклад із витоком бази «Яндекс.Еди» — наприклад, «Яндекс» допустив витік, а тепер ці дані поширюються вже будь-ким і особливого покарання за це зараз у законодавстві в принципі не передбачено

«З одного боку це дозволить притягати до відповідальності продавців баз даних. Але очевидно, що такі люди приховують свою діяльність, тому навряд чи основна практика застосування нової статті зосередиться саме на них. Більш явними виглядають ризики для журналістів, які займаються розслідуваннями, аналізуючи широко доступні, але не завжди законно опубліковані бази даних», — каже Марков.

Заборона, за словами юриста, стосуватиметься будь-яких людей, які розповсюджують інформацію, але для журналістів, які займаються проектами на кшталт «Панамського архіву», «Досьє Пандори» та іншими розслідуваннями, ризики вищі, оскільки саме вони професійно працюють із базами, публікують інформацію та до того ж, самі є публічними особистостями, так що їх легко знайти.

Ілля Шуманов зазначає, що нова стаття Кримінального кодексу може бути використана з репресивною метою також для переслідування цивільних активістів та аналітиків. Після ухвалення цього закону теоретично проблеми можуть виникнути у будь-якої людини, якщо у нього в телефоні раптом виявився скан чужого паспорта і він не може довести, що ця інформація використовувалася ним у сімейних чи особистих цілях, вважає Шуманов. «Поняття персональних даних у нас розмите. І фактично під нього може потрапити будь-яка інформація», — наголошує він.

Він зазначає, що під дію законопроекту підпадають сервіси, які надають доступ до персональних даних на запит — «телеграм-боти, сервіси пробива, на кшталт «Око Бога» та йому подібні». При цьому, за словами Шуманова, навряд чи ці сервіси перестануть функціонувати після набуття чинності новою статтею Кримінального кодексу. «У правоохоронних органів вистачає інструментів для того, щоб боротися з ними блокуваннями, кримінальним переслідуванням, але вони не можуть впоратися», — зазначає Ілля Шуманов.

Ризики для тих, хто наважиться опублікувати щось відкрито на основі витоку даних зростають, а загрози для хакерів, як і раніше, немає, підтверджує адвокат, який спеціалізується на захисті цифрових прав. Він посилається на відкриті дані, судячи з яких злитих баз даних останнім часом стало значно більше, а про залучення осіб, справді пов’язаних із витоками, нічого не відомо.

Як зазначив адвокат, «заборонені» персональні дані спецкатегорій — про расову, національну приналежність, політичні погляди, релігійні чи філософські переконання, стан здоров’я, інтимне життя, а також біометричні персональні дані, найчастіше збирають саме силовики. Про це, наприклад, докладно розповідав проект «Мережеві свободи».

Діяльність журналістів захищена законом «Про персональні дані» — у ньому прямо передбачено, що опрацювання даних допускається для здійснення професійної діяльності журналіста, ЗМІ, а також наукової, літературної чи іншої творчої роботи, звернув увагу адвокат. Але автори законопроекту про це в пояснювальній записці замовчують, чи на практиці враховуватимуться закріплені цим законом права журналістів та ЗМІ — невідомо, зазначає він.

«Особливе питання виникне в тому випадку, якщо завдяки вивченню бази даних, опублікованої хакерами незаконним шляхом, журналіст оприлюднить інформацію, що становить явний суспільний інтерес — про корупційні чи інші злочини, скоєні державними службовцями або за їх безпосередньої участі, — розмірковує той самий експерт. — Чи суди у таких випадках звільнятимуть від відповідальності представників ЗМІ, які виконують функції «сторожових псів суспільства»? Велике питання».

Посилення покарань за незаконний обіг персональних даних — передбачувана реакція влади на повне обвалення системи їх захисту у 2022-2023 роках, резюмує співрозмовник. «Інформація практично про кожного жителі Росії, не виключаючи співробітників спецслужб та членів сімей вищих державних чиновників, вже дійсно доступна в інтернеті. Імовірність знайти та притягнути до реальної відповідальності осіб, які забезпечили витоку, вкрай низька: бази вже втекли, розміщені, багаторазово завантажені та поширені, — каже він. — А ось справді високі ризики законопроект створює для тих, хто намагатиметься використовувати вже опубліковані дані у своїй відкритій роботі для журналістів-розслідувачів».

05.12.2023
Сутінки на хуторі

Про хуторянський менталітет малоросів сказано багато справедливого та несправедливого як самими українцями, так і тими, хто бачить їх збоку. Найвірніше цю тему розкрив, звісно, геніальний Гоголь. «Вечори на хуторі поблизу Диканьки» – справжній підручник укрології.

Казковість світосприйняття, магічне мислення, вразливість та надмірна поетичність — головні риси української душі. І справді, Диканька та її околиці буквально кишать чаклунами, відьмами, ожилими утопленицями і навіть чортами. Віра в чари, легкість, з якою пани та панночки піддаються зачаруванню нечистої сили, а потім і рятівному розчаруванню в ній — основа всіх «вечірніх» сюжетів. Українець завжди або зачарований, або розчарований, третього стану він не знає.

Такою є, природно, і політична культура українства. Чаклуни та відьми майданів час від часу переконують народ, що варто трохи пошабашити на площі, і життя налагодиться. Це Європа, натомість, безвіз, рамштайн, усі ці, по суті, безглузді для хуторян слова — насправді магічні формули, заклинання та змови, за допомогою яких усі проблеми одразу мають бути вирішені. Повинні, але не наважуються. Тоді наступають протверезіння і образа на диво, що не відбулося. Рейтинги чаклунів та відьом миттєво обрушуються, їх проклинають та забувають. І, на жаль, підпадають під вплив нових пройдисвітів.

«Контрнаступ», спланований не за правилами науки перемагати, а за рецептами провінційного ворожіння, передбачувано провалився. І що? У меланхолійному тексті для «Економіста» Залужний сподівається на щось, що можна порівняти з «винаходом пороху». Тобто, на якусь йому невідому диво-зброю. Коротше, знову на диво.

Одні київські верхи стверджують, що мають план війни, інші, що його немає. Доручається повернути мобілізованих додому, а ким їх замінити, не вказується.

Українці починають розчаровуватися у своїх чаклунах. І справді, хто їм допоможе? Заживо муміфікований Байден? Декадент Залужний? Нещасна бездітна пара Єрмак/Зеленський? Навряд чи.

Сутінки. Напередодні мороку. Дива не буде.

Багато хто на Банковій потай мріє про Мінськ-3. Даремно. І Мінська-3 не буде. Росія давно вже не посередник, який терпляче розбирає сусідську склоку. Росія тепер нетерплячий учасник великої боротьби, який візьме своє. Зрозуміло, язиці.

Наступний рік стане роком деградації та дезорганізації української підставної «держави».

А обдурені українці будуть говорити про Зеленського: «Соульку, ганчірку вважав за важливу людину!»

03.12.2023
Помилка обробки пакета BGP призводить до тривалого простою мережі
BGP – це магістральний протокол та «клей» Інтернету, який розсилає інформацію про маршрути між мережами провайдерів. Коротше кажучи, цей протокол BGP є дуже важливим елементом, необхідним для правильної роботи глобальної мережі в цілому.

Програмне забезпечення маршрутизаторів, що реалізує BGP, не є ідеальним, оскільки як комерційні, так і версії з відкритим вихідним кодом мають проблеми в реалізації цього протоколу маршрутизації.

У той час як багато недоліків незначні і пов’язані з проблемами маршрутизації, помилка обробки пакета BGP, що розглядається, викликає особливе занепокоєння, так як може поширюватися як комп’ютерний черв’як.

Власник BGP[.] Бен Картрайт-Кокс виявив цей недолік; Це компанія, яка пропонує послуги моніторингу BGP для виявлення та вирішення проблем.

Помилковий атрибут

2 червня 2023 року невелика бразильська мережа повторно анонсувала маршрут із пошкодженим атрибутом у пакеті, що потенційно вплинуло на транзитні маршрутизатори.

Багато маршрутизаторів ігнорували цей атрибут, але приймаючи його маршрутизатори Juniper, і відповідь на помилку в пакеті закривали сесії BGP, тим самим порушуючи пов’язаність своїх мереж з глобальною мережею Інтернет.

Крім того, така помилка в пакеті BGP перериває сесію, припиняючи перетікання клієнтського трафіку доти, доки не буде виконано автоматичний перезапуск маршрутизатора, який зазвичай займає від декількох секунд до декількох хвилин.

Завершення сесії BGP внаслідок отримання пакету з помилковим атрибутом

Це торкнулося багатьох операторів, таких як COLT, збій у роботі яких і привернув увагу до цієї проблеми.

Помилка, пов’язана з обробкою помилок BGP

Кожен атрибут пакета оновлень BGP починається з прапорів, включаючи ключовий ‘транзитивний біт’:

Транзитивний біт у пакеті оновлень BGP

Якщо транзитивний біт атрибута встановлений, а маршрутизатор його не розуміє, він копіюється на інший маршрутизатор, що може призвести до сліпого розповсюдження невідомої маршрутної інформації.

Завершення роботи сесії BGP порушує перетікання трафіку між автономними системами і може поширюватися як черв’як. У той час як атрибути, невідомі однієї реалізації, можуть призвести до завершення роботи іншої, створений BGP UPDATE може бути націлений на постачальника певного обладнання та вивести мережу постачальника з ладу цілком.

Поширення помилки в пакеті BGP через мережу
Ефект від атаки зберігається досить довгий час, оскільки анонсований маршрут все залишається в одноранговому маршрутизаторі, навіть після його перезапуску, при передачі нового пакета оновлень BGP він ініціює ще одне скидання сесії, що призводить до тривалих простоїв.

Більше того, щоб перевірити, які реалізації протоколу BGP схильні до цієї вразливості можна використовувати просту утиліту для тестування.

Незачеплені постачальники обладнання

Далі наводимо список постачальників, які не торкнулися цієї вразливості:
MikroTik RouterOS 7+

Ubiquiti EdgeOS

Arista EOS

Huawei NE40

Cisco IOS-XE / «Classic» / XR

Bird 1.6, All versions of Bird 2.0

GoBGP
Піддані версії обладнання або ПЗ
Juniper Networks Junos OS

Nokia’s SR-OS

Extreme Networks’ EXOS

OpenBSD’s OpenBGPd

OpenBSD’s FRRouting
Питання та відповіді

Раніше було повідомлено про ці вразливості всім схильним до неї постачальникам обладнання та програмного забезпечення. Після отримання повідомлення було отримано такі відповіді від порушених постачальників:
OpenBSD випустила патч

Компанії Juniper надали CVE

FRR також привласнив CVE

У Nokia проблему не вирішили

Extreme також не вирішив цієї проблеми
Крім того, незважаючи на відсутність відповідей деяких постачальників обладнання, провайдери послуг інтернету самі можуть вжити заходів щодо запобігання потенційній експлуатації цієї вразливості.
06.09.2023
Cyber war with Russia heating up

If you think the crisis in the Ukraine is limited just to being on the ground, think again. A cyberwar is flaring up between Ukraine and Russia and it looks like this is only the beginning.

The first blow came on 28 February when a group of unidentified men took control of several communications centres in Crimea, which are maintained by Ukraine’s telecom provider Ukrtelecom JSC. They wrecked cables and knocked out almost all landline, mobile and internet services in the region.

It is now believed that the communications centres were attacked so that wireless equipment could be illegally installed in order to spy on the mobile phones of Ukrainian MPs.

«I confirm that an IP-telephonic attack is under way on mobile phones of members of Ukrainian parliament for the second day in row,» Valentyn Nalivaichenko, the head of SBU, Ukraine’s’ security service, said.

«At the entrance to [telecoms firm] Ukrtelecom in Crimea, illegally and in violation of all commercial contracts, was installed equipment that blocks my phone as well as the phones of other deputies, regardless of their political affiliation,» he said.

Ukrainian hackers or sympathisers have been getting busy themselves, hacking the website of Russian state-funded news channel RT on Sunday and changing all references to «Russia» and «Russians» in headlines to «Nazi» and «Nazis». The attack lasted only 20 minutes and the RT was quick to respond.

A group of hackers in Ukraine who call themselves «Cyber-Berkut» have boasted about defacing at least 40 Russian news websites on their Facebook page with the image above, which shows a Nazi Swastika over Crimea.

A post on the page (translated from Russian) warns: «Today, the «KiberBerkut» countdown begins. Traitors of Ukraine who have transgressed the laws of our homeland, you have nine days to voluntarily surrender to the prosecuting authorities or the Kharkov Simferopol.»

The post states that the «imposters», presumably the Russians, «have no right» to control Ukraine and must surrender to Ukraine.

Censoring pro-Ukraine content

On the Russian social network Vkontakte, 13 community groups set up in support of the new interim government in Kiev have had access to Russian IP addresses blocked. According to Moscow-based news website Lenta, a page appears when users try to access the groups, stating that the groups have been locked down by «the Russian Federation».

A press spokesperson for Vkontakte said that the blocking lasted only a few minutes and was due to an error made by moderators but the Federal Service for the Supervision of Communications, known as the Roskomnadzor, said it would continue to block Ukrainian community groups and any other IP addresses that might be displaying «extremist content».

While this is the extent of the cyber-attacks that we have learned of so far, the worry is that Russia could expand its military activity to include distributed-denial-of-service (DDoS) attacks to bring down crucial Ukrainian servers, the way they have done during other conflicts.

In April 2007, Russian hackers from Nashi, Vladimir Putin’s political youth movement, targeted the websites of Estonia’s parliament, banks, ministries, newspapers and broadcasters amid a diplomatic row with Russia.

During the 2008 South Ossetia war with Georgia, DDoS attacks were used to bring down numerous South Ossetian, Georgian, and Azerbaijani organisations.

06.05.2023