Работа в Стамбуле

Блог

  • Заказчиков DDoS-атак научились выявлять

    Заказчиков DDoS-атак научились выявлять

    атрибуция DDoS атак давно уже превратиласть в повседневную реальность
    В настоящее время правоохранительным органам удается обнаружить только 15-20% заказчиков DDoS-атак, если они находятся на территории РФ

    Как сообщают «Ведомости» со ссылкой на генерального директора компании Group-IB Ильи Сачкова, организатор DDoS-атаки, который был осужден на два года условно, хранил на своем компьютере переписку с заказчиками из России, Украины и Великобритании. В настоящее время подозреваемые находятся в розыске.

    Напомним, что дело 26-летнего организатора DDoS-атак из Саянска, Иркутской области, рассматривалось Саянским городским судом в феврале текущего года. Он был признан виновным в осуществлении преступления, предусмотренного статьей 272 УК РФ — «Неправомерный доступ к компьютерной информации». За один день простоя сайта-жертвы злоумышленнику платили 3 тыс. руб.

    Главной жертвой мошенника стала «крупная финансовая корпорация, владеющая несколькими банками». Ее представители обратились к специалистам Group-IB за помощью в проведении расследования. Название организации содержится в тайне для того, чтобы не нанести вреда ее репутации.

    Это уже не первый случай осуществления масштабной DDoS-атаки на крупные предприятия и сайты. В частности, 10 лет назад были осуждены организаторы нападений на британские букмекерские сайты, а совсем недавно были осуждены заказчики атаки на сайт «Аэрофлота».

    Сачков отмечает, что сейчас специалисты и правоохранительные органы могут расследовать и осуждать проведение DDoS-атак только в 15-20% случаев, когда заказчики нападений, их компьютеры или web-сайты находятся на территории России.

  • Как в Швейцарии замораживают банковские счета неудобных клиентов

    Как в Швейцарии замораживают банковские счета неудобных клиентов

    Швейцарский федеральный совет в конце февраля 2014 года издал распоряжение о блокировке банковских счетов, принадлежащих двадцати украинским политикам (позже аналогичные меры принял Евросоюз). Список возглавил отстраненный от власти президент Виктор Янукович. Каковы юридические основания для подобных решений и каковы их последствия?

    Основания для блокировки счетов политиков установлены Федеральным законом Швейцарии «О возврате средств, добытых политически значимыми лицами преступным путем». Акт носит имя «закона Дювалье», гаитянского лидера, счета которого были заморожены в 2002 году сроком на 25 лет. Санкциям, которые коснулись сейчас украинских политиков, ранее подвергались лидеры множества диктаторских режимов. Это президент Конго Сесе Секо Мобуто, филиппинский лидер Фердинанд Маркос, нигерийский лидер Сани Абача,  мексиканский президент Карлос Салинас, глава Ливии Муаммар Каддафи, египетский президент Хосни Мубарак и сирийский президент Башар Асад. Подобных мер в  недалеком прошлом «удостаивались» и нынешние оппоненты Януковича. В 90-е годы тогдашний премьер-министр Павел Лазаренко и Юлия Тимошенко были обвинены в мошенничестве через компанию «Единые энергосистемы Украины». В результате Лазаренко провел в американской тюрьме 8 лет по обвинению в отмывании денег. Ряд активов осели в Швейцарии и до сих пор заморожены по решению американского суда.

    Банковский Счет проблемного клиента быстро закрывают

    Ведение любых финансовых операций в Швейцарии для политика — дело существенно более хлопотное, чем для обычного гражданина, в том числе бизнесмена.
    «Для банка иметь дело с политиком — очень высокий риск, поэтому в ряде случаев финансовые институты вообще отказываются открывать счета людям, занимающим государственные посты», — говорит начальник отдела международного  налогового планирования юридической компании «Инфинити групп» Мария Джус.
    Руководитель международного отдела юридической компании Largo Management Group Валентина Богданова утверждает, что, начиная с  2008 года, в связи с ужесточением борьбы с легализацией преступных доходов официально открыть счет в швейцарском банке, будучи политически значимым лицом, практически невозможно. «В нашей практике были случаи отказа в открытии счета клиенту, которого банк посчитал политически значимым лицом», — добавляет она. Свой отказ клиенту банк обосновывать не обязан. В результате политики вынуждены пользоваться услугами третьих лиц и совершать операции через трастовые структуры.
    Но даже если политику самостоятельно или при помощи посредников удалось открыть счет, банк вправе приостановить операции в любой момент без объяснения причин и потребовать дополнительные документы, проясняющие происхождение средств и законность транзакции. Служба безопасности банка попытается определить целесообразность финансовой операции, понять, имеет ли она в принципе отношение к деятельности клиента.
    «По швейцарским законам для приостановки операций по счетам банку достаточно лишь подозрения, что деньги получены незаконным путем, т. е. размер официальных доходов политика не соответствует размеру его денежных запасов. Если при этом обстановка в стране, где политик занимает пост, нестабильна, операции по счетам будут заморожены», — говорит управляющий партнер юридической компании ЮСТ Евгений Жилин. Даже сообщения в прессе могут являться для банка достаточным основанием, чтобы сообщить о своих подозрениях в надзорные органы. Также банк может заблокировать счета, если в процессе работы о клиенте поступила новая информация, не предоставленная на момент открытия счета и противоречащая правилам банка. При этом для блокировки счетов граждан, не занимающихся политикой, в том числе бизнесменов, основания должны быть гораздо более серьезные — обращение правоохранительных органов или уголовное расследование.
    Инициировать блокировку счетов может Швейцарский национальный совет (высший орган исполнительной власти страны), правоохранительные органы или официальные власти страны, гражданство которой имеет держатель счетов. В распоряжении национального совета перечисляются лица, подпавшие под санкции, а также перечень запрещенных транзакций — распоряжение финансовыми активами, ценными бумагами, залоговыми распоряжениями, недвижимостью, ценностями и предметами искусства.
    Обнаружив сомнительную транзакцию, банк не только не обязан, но и не имеет права сообщать о своей находке клиенту. В противном случае он рискует стать соучастником преступления.
    «Единственный, кого банк обязан известить, — регулирующие органы», — уточняет Мария Джус. Далее вариантов два: банк может просто остановить все операции до выяснения обстоятельств или направить деньги обратно их отправителю. В случае если банк нарушил запрет на проведение транзакций, он подвергается штрафу в размере, в 10 раз превышающем размер суммы, которая вызвала подозрения.
    Владелец счетов лишается возможности использовать средства в течение оговоренного в распоряжении срока, который может быть продлен (пока счета украинских политиков заморожены на три года). «В исключительных случаях, например если у клиента недостаточно средств для поддержания жизни, решение может быть смягчено на основании индивидуального заявления», — уточняет Евгений Жилин.
    У клиента есть право обжаловать распоряжение о замораживании счетов в суде. Но отстоять свое право пользоваться деньгами до завершения расследования он может лишь в том случае, если в работе банка были допущены серьезные процессуальные нарушения и нарушены швейцарские законы. По мнению Евгения Жилина из ЮСТ, шансы на оспаривание таких распоряжений минимальны. «Федеральный уголовный суд Швейцарии практически никогда не пересматривает решения Федерального совета относительно подозрительных сбережений политиков», — говорит он. Валентина Богданова из Largo Management Group утверждает, что рассчитывать на разблокирование счета политика можно при смене политических настроений в одном из задействованных в процессе государств, как это было в случае с зарубежными активами Ирана.
    Если же в результате расследования будет доказано, что деньги получены преступным путем, швейцарские банки по закону будут обязаны перечислить их в бюджет страны, где они были незаконно получены. Решение о конфискации средств принимается Административным судом Швейцарии по обращению Министерства финансов. «Антиотмывочные» процедуры заставляют потенциальных и бывших клиентов швейцарских банков переводить свои накопления в более лояльные к ним банки Сингапура и Гонконга», — утверждает ведущий юрист юридической компании  Sameta Ксения Левина.
  • DDoS-атаки в текущем году и прогноз на следующий год

    DDoS-атаки в текущем году и прогноз на следующий год

    За прошлый год компания Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 6 644 DDoS-атак. Годом ранее эта цифра составила 3 749. Рост обусловлен как увеличением числа клиентов Qrator Labs, так и ростом активности дроповодов в целом.
    Рост числа DDoS атак на постсоветском пространстве
    По словам Александра Лямина, основателя и Генерального директора Qrator Labs, показатели компании отражают тенденцию отрасли: «По нашим оценкам, общее количество атак на российские сайты выросло за прошлый год примерно на четверть. Также возросло среднее число атак, приходящихся на один сайт. Одна из причин происходящего — в том, что осуществить DDoS-атаку в последние годы не становится сложнее. Например, для организации атаки типа DNS Amplification полосой 150 Гб/сек и больше достаточно 5-10 серверов средней мощности».

    По сравнению с предыдущим 2012 годом, в 2013 году максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, возросло с 73 до 151.
    Максимальный размер ботнета, задействованного в атаке, вырос с 207 401 до 243 247 машин. Увеличилась также доля Spoofing-атак – с 43,05% до 57,97%. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

    Максимальная длительность атаки сократилась с 83 дней в 2012 году до 22 дней в 2013, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,71% до 99,83%.

    «Хакеры стали более гибкими в отношении выбора метода атаки. Мы наблюдаем четкую тенденцию уменьшения длительности атак на наших клиентов — если раньше исполнители атак могли долго пытаться преодолеть защиту, то сейчас речь идет в основном о кратковременных «пробах прочности», за которыми следует отказ от намерений либо смена методики или технологии атаки», — говорит Александр Лямин.

    По данным Qrator Labs, на фоне заметного роста «интеллектуализации» ботнетов, имитирующих поведение рядового пользователя, также существенно выросло количество высокоскоростных атак типа SYN-flood.

    Число атак в 2013 году увеличилось также в среднем на одного клиента сети Qrator. Такая тенденция уже наблюдалась в 2012 году по сравнению с 2011, однако в 2013 году темпы роста увеличились в два раза – с 17% до 34%.

    С марта по октябрь 2013 года подавляющее число атак производилось с использованием DNS Amplification. Это атаки, когда злоумышленник посылает запрос (обычно короткий в несколько байт) уязвимым DNS-серверам, которые отвечают на запрос уже в разы большими по размеру пакетами. Если при отправке запросов использовать в качестве исходного IP-адреса адрес компьютера жертвы (ip spoofing), то уязвимые DNS-серверы будут посылать ненужные пакеты этому компьютеру, пока полностью не парализуют его работу. Часто объектом такой атаки оказывается инфраструктура провайдера, которым пользуется жертва. Нападения такого типа совершались в прошлом году как на клиентов крупных операторов, так и небольших провайдеров хостинговых услуг.

    С октября по декабрь проявила активность крупная бот-сеть, объединяющая более 700 тысяч компьютеров-зомби, которая использовалась для нападения преимущественно на российские банки среднего размера. Эта активность совпала с действиями ЦБ РФ по отзыву лицензий у ряда банков.

    В декабре 2013-го стало расти число атак c использованием технологии  NTP Amplification. Такие атаки по принципу организации похожи на DNS Amplification, но вместо DNS-серверов злоумышленники используют серверы синхронизации времени — NTP. Увеличение количества подобных инцидентов продолжается и в первые два месяца 2014 года.

    С учетом приведенной статистики можно сказать, что в 2013 году наблюдался ряд тенденций, которые в 2014 году продолжат свое развитие:

    Рост числа высокоскоростных атак с использованием Amplification публичных UDP-сервисов;
    совершенствование атак уровня приложений с использованием ботнетов. Такие атаки часто низкоскоростные и алгоритмы их автоматического обнаружения довольно сложны;
    цель 2013 года у дроповодов — DNS-серверы; технология DDoS года — DNS Aplification.

    «В 2014 году ситуация с DDoS в Рунете будет зависеть от того, как отреагирует сообщество операторов на вызовы дроповодов. Два года назад ожидалось, что атаки сетевого уровня будут постепенно уступать место прикладным атакам, но летом 2013 года преступники смогли организовать атаку 150 Гб/сек, и это не повлекло никакой реакции в индустрии. Следовательно, если не будут предприниматься согласованные меры всех участников межоператорского взаимодействия по противодействию угрозе, с высокой вероятностью можно ожидать устойчивого роста и скоростей, и количества атак», — продолжает Александр Лямин.

    Другим важным трендом на ближайшие годы могут стать атаки с использованием протокола BGP, отвечающего за глобальную доступность сетей в Интернете (так называемые атаки BGP Hijacking). Суть проблемы заключается в отсутствии механизмов проверки источника маршрутной информации, что в результате делает возможным неавторизованное перенаправление трафика (перехват) на свою AS и его последующий анализ или сброс. Обнаружить такой перехват со стороны атакуемой AS теоретически невозможно. До  2013 года было несколько подобных инцидентов, самый известный из них привел к практически глобальной недоступности сервиса YouTube в 2008 году. Однако, начиная с 2013 года использование данной конструктивной уязвимости BGP встало на поток, а задачи, решаемые атакующими, стали шире. Теперь это не только атаки на отказ в обслуживании, но и перехват трафика (man-in-the-middle), а также использование чужого адресного пространства для других видов хакерской деятельности: рассылка спама, обычные DoS атаки итд. На круглом столе NANOG коллеги из Cisco Systems и BGPMon.net подтвердили наблюдения Qrator Labs.

    При отсутствии методов непосредственной борьбы с BGP Hijacking единственным решением остается внешний мониторинг, который может позволить оперативно реагировать на возникающие проблемы в глобальной маршрутизации. Для реализации данной амбициозной задачи компания Qrator Labs запустила проект radar.qrator.net, который предоставляет разнообразную аналитику на междоменном сетевом уровне, в том числе, данные по циклам маршрутизации и обнаруженным ботнетам. В ближайшее время Qrator Labs также сможет предоставлять информацию об аномальных маршрутах в сообщениях протокола BGP, что позволит анализировать и пресекать инциденты с неавторизованным перенаправлением трафика.

    как работать с пробивщиком из Ростелекома
  • Троян перехватывает нажатия клавиш EPP банкомата

    Троян перехватывает нажатия клавиш EPP банкомата

    Специалистам компании «Доктор Веб» удалось обнаружить новый образец банковского бота, деятельность которого направлена системы банкоматов одного из зарубежных производителей. Отметим, что подверженные опасности банкоматы используются на территории Украины и России. В «Доктор Веб» отмечают, что троян сейчас активно используется активистами майдана для сбора денег на формирование повстанческих отрядов.

    Банкер активизируется мгновенно после внедрения в банкомат

    Функционал обнаруженной программы реализуется в виде динамической библиотеки, которая хранится в NTFS-потоке другого файла. Если банкомат также использует систему NTFS, то банковский бот хранит свои данные журналов в потоках. Сюда записываются треки банковских карт и ключи, предназначенные для расшифровки информации.

    После внедрения в системы банкомата, он перехватывает нажатия клавиш EPP (Encrypted Pin Pad) «в ожидании специальной комбинации, с использованием которой банковский бот активируется и может выполнить введенную майдановцами на клавиатуре команду». Именно поэтому ПриватБанк Украины недавно ограничил лимит снятия денежных средств через банкоматы.

    Основными функциями этого трояна является расшифровка PIN-кодов, хранение лог-файлов на чип картах, удаление троянской библиотеки, файлов журналов, перезагрузка системы (два раза подряд, второй раз – не позднее 10 секунд после первого). Помимо этого, троянская программа также способна выводить на дисплей банкомата данные о количестве выполненных транзакций, уникальных карт и пр. Банковский бот при необходимости удаляет все файлы журналов, перезагружает систему и обновляет свои файлы, считывая исполняемые файлы с чип карты.

    «Последние версии Trojan.Skimer.19 могут активироваться не только с помощью набранного на клавиатуре банкомата кода, но и с использованием специальных карт, как и в более ранних вариантах троянских программ данного семейства», — отмечают специалисты «Доктор Веб».

    Банковскому боту удается расшифровывать данные при помощи встроенного ПО банкомата, или же посредством симметричного алгоритма шифрования DES (Data Encryption Standard).

  • Несколько слов о Cisco CSR 1000V

    Несколько слов о Cisco CSR 1000V

    Еще решил посмотреть сколько ресурсов необходимо VM на которой работает CSR. Чтобы через маршрутизатор шел трафик, на машине в LAN запустил одновременно и загрузку, и выгрузку файлов. Результаты получились вполне приемлемые: для полностью загруженного канала система показала себя достаточно экономно с точки зрения потребления системных ресурсов.
    Теперь посмотрим какие технологии поддерживает CSR 1000V
    Cisco CSR Features
    Как видно из таблички список довольно внушительный. Поэтому, как мне кажется, этот продукт от Cisco является полезным вариантом для начинающих и самосовершенствующихся сетевых инженеров, чтобы погрузится в детальное изучение и экспериментирование с маршрутизацией, безопасностью, мультикастом, VPN и т.д. Все упирается только в то, сколько экземпляров CSR одновременно позволят запустить ресурсы хостовой системы. И если это будет 5-7 экземпляров то это уже будет хорошая, домашняя лаборатория, к тому же после окончания пробного периода никакие из технологий активированного пакета не перестают работать, просто производительность будет снижена до 2,5 Mbps, чего будет вполне достаточно для экспериментов.
    А вот так Cisco видит использование своего продукта в сети реально выполняющей свои задачи.
    Cisco Cloud Services Router (CSR) 1000v
    Single-Tenant WAN Gateway
    CSR 1000v Benefits
    На этом все. Если вы читаете эти строчки, значит у вас хватило терпения изучить этот документ за что хочу поблагодарить вас. Когда я писал его, я не ставил целью показать, как надо или наоборот не надо настраивать ту или иную функцию устройства, это просто описание моих экспериментов или изысканий. Я нахожу их для себя интересными и полезными.