Работа в Стамбуле

Блог

  • Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
    Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM («дроповод посередине»). Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту, либо просто приземляется на пул дроповода, вместо изначално заданной точки назначения для майнигового аппарата. Если дроповод находится физически между майнинговым аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер даже и не заметит никакого увеличения в задержке пакетов.
    На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с исползованием техники BGP hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимазации маршрутизации» Эдвард Сноуден зафиксировал в текущем году.
    местоположение antminer, трафик которых был перенаправлен на приватный пул

    Отмечено более 150 местоположений, где есть хотя бы один пострадавший лох с майнером типа antminer или ему подобным устройством. В числе терпил — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.

    Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
    Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
    Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный ему трафик, пропустить через себя — и отдать в пункт назначения. 
    bgp mitm проброс трафика из США в Беларусь
    27 февраля: Атака из сети белорусского провайдера «Белтелеком»
    IP Ответ (мс) Заметки
    201.151.31.149 15.482 pc-gdl2.alestra.net.mx (Guadalajara, MX)
    201.163.102.1 17.702 pc-mty2.alestra.net.mx (Monterrey, MX)
    201.151.27.230 13.851 igmty2.alestra.net.mx (Monterrey, MX)
    63.218.121.49 17.064 ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX)
    63.218.44.78 64.012 TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA)
    64.209.109.221 84.529 GBLX-US-REGIONAL (Washington, DC)
    67.17.72.21 157.641 lag1.ar9.LON3.gblx.net (London, UK)
    208.178.194.170 143.344 cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK)
    217.150.62.234 212.869 mskn01.transtelecom.net (Moscow, RU)
    217.150.62.233 228.461 BelTelecom-gw.transtelecom.net (Minsk, Belarus)
    87.245.233.198 225.516 ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE)
    * no response
    * no response
    129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
    * no response
    63.234.113.110 238.111 63-234-113-110.dia.static.qwest.net (Washington, DC)
    Лох со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
    Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию. Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
    bgp mitm проброс трафика через Исландию
    Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.

  • Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Нелегальный майнинг принёс оператору пула 1,91 BTC за первые два дня его работы

    Если вы играли недавно в Counter-Strike через игровую сеть E-Sports Entertainment, то в последние две недели наверное заметили явный скачок энергопотребления на своём компьютере.

    E-Sports Entertainment (ESEA) — одно из крупнейших игровых сообществ в Северной Америке. Сеть объединяет десятки тысяч игроков, которые играют в Counter-Strike и Team Fortress 2, конкурируя за реальные денежные призы. По итогам текущего года призовой фонд составляет около 200 тысяч долларов.

    Особенностью сети ESEA является проприетарный «античитерский» клиент, который обязательно нужно установить на компьютере, чтобы присоединиться к пулу игроков и участвовать в главном рейтинге. Так вот, именно с этой клиентской программой случился настоящий скандал.

    Один из админов ESEA написал на форуме, что они с коллегой проводят эксперимент по майнингу биткоинов на компьютерах пользователей. Они спрашивали совета у сообщества, нужно ли продолжать этот эксперимент, если за 48 часов удалось намайнить 1,91 BTC.

    Стоит ли заходить в майнинг в этом году?

    Реакция пользователей была неоднозначной, а компания ESEA начала расследование, и недавно опубликовала результаты.

    Как следует из официального разъяснения, эксперимент админов оказался совсем не маленьким.

    13 апреля прошлого года один из сотрудников компании E-Sports Entertainment внедрил в клиентское программное обеспечение код для майнинга биткоинов. Он сделал это втайне от руководства компании с целью личного обогащения, сообщается в официальном пресс-релизе.

    Нелегальный майнинг биткоинов на компьютерах пользователей E-Sports Entertainment продолжался с 13 апреля по 1 сентября уже этого года.

    ESEA принесла искренние извинения всем, кто пострадал от нелегального майнинга биткоинов, и обещала компенсировать потери.

    Компания опубликовала адреса кошельков, на которые осуществлялся перевод добытых биткоинов. Общая количество добытых монет составила 198,63 BTC.

    Компания ESEA обещает перевести такую же сумму в долларах США двойном размере в благотворительный фонд Американского общества борьбы с раком, плюс такую же сумму добавят к общему призовому фонду ESEA в этом игровом сезоне.

  • Как работает криптовалютный майнинг-пул

    Как работает криптовалютный майнинг-пул

    Все, что я говорил выше о майнерах (например, про системное время), не относится к майнерам, объединяющимся в вычислительный пул, за исключением децентрализованного пула P2Pool. В случае майнинга на централизованном пуле непосредственным поиском блоков занимается сам пул, платя своим пользователям за предоставление ему вычислительных мощностей. В настоящее время в одиночку майнингом могут заниматься только специальные дата-центры.

    Текущее распределение вычислительных мощностей между BitCoin mining пулами

    Как же пул узнает о том, что пользователь ищет для него блок? Доказательством усиленного поиска блока служат присылаемые пользователем шары. Шара — это блок, хеш которого отвечает пониженному требованию сложности. Сеть, конечно же, такой блок не примет, и в блокчейн он не войдет. Шары требуются только пулу, чтобы удостовериться, что требуемый nonce в блоке действительно ищется.

    Почему криптосфера все еще в серой зоне?

    «Майнинг сейчас — продукт двух очень важных отраслей. Во-первых, криптовалюты. Во-вторых, энергетики. И поскольку энергетика очень важна для этой страны, а крипта — опасна, здесь возникают разногласия», — считает один из владельцев майнинговой фермы в Абхазии. По мнению предпринимателя, закон, регулирующий криптоиндустрию, не могут принять из-за большого количества интересантов, ведь с одной стороны, это инструмент для вывода денег за границу, а сейчас предпринимаются все меры для того, чтобы деньги оставались в стране. С другой — большие возможности для энергетической отрасли. 

    Можно продавать электричество из Сибири в Европу

    Майнинг криптовалюты — это действительно удобная возможность экспортировать энергию из удаленных уголков России фактически в любую точку мира и получать прибыль. «Можно из Сибири продавать электричество американцам или европейцам, обходить все возможные границы и при этом не терять на логистике энергии. Я думаю, эта отрасль будет одной из лидирующих в среднесрочной перспективе, потому что это выгодно всем. Прежде всего, в эту сферу довольно дешевый и простой вход. Устройство может позволить себе среднестатистический офисный сотрудник. Если мы говорим про предпринимателей, то вход тоже невысокий. В то же время в России есть энергетические компании, у них проблема в том, что потребление идет неровно — есть пиковые часы нагрузки, а есть пустые. Это приносит им довольно большие затраты. Майнинг позволяет эту историю сгладить», — рассказывает предприниматель из России.

    Мировые тренды майнинга криптовалют

    Сейчас мир смотрит на Россию и всё постсоветское пространство как на регион повышенного риска. Но при этом, это открывает большие возможности для россиян и граждан стран БРИКС по ведеднию криптобизнеса. С точки зрения майнинга криптовалют, в России представители компаний четко понимают все те риски, которые их ждут, в отличие, например, от новых регионов, где проблемы предсказать сложнее. 
    Что касается отрасли за рубежом, то можно отметить уход майнеров из Китая в США. Также растет регион майнинга криптовалют Ближнего Востока, появляются большие объекты в Африке и Латинской Америке. Иран и Венесуэла также начинают сильно набирать обороты по добыче крипты. Причина этого — проблемы с доступом на мировые рынки, однако, во всех этих странах есть проблемы с регуляцией, «потому что сама мысль майнинга и крипты иногда противоречат авторитарным установкам».

    Что ждет майнинг в текущем году

    «Сейчас доходность от майнинга на уровне скама или финансовой пирамиды, — говорит предприниматель из Сухуми. — То, что происходит сейчас, это феноменально. Во-первых, курс биткоина подрос, рубль ослаб, но все это играет на пользу майнеров в России». Однако найти довольно тяжело найти хостинг (платформа, которая предоставляет пользователям услуги по развертыванию и бесперебойной работе узлов в различных блокчейнах), свободных мест почти нет — в этом предприниматель видит основу для бизнеса.
    Что касается оборудования для майнинга, то мы считаем, что сейчас мы находимся в том моменте, когда все обновляют парк майнеров криптовалют, производители выпускают новые более эффективные и более экономичные машины. Однако с учетом того, что в России дешевое электричество, переходить на самое последнее оборудование мы не советуем — это актуально скорее для регионов с большими затратами на добычу.
  • Реализация bgp mitm из сети tor и добыча крипты

    Реализация bgp mitm из сети tor и добыча крипты

    Всё больше криптовалютных ботов (мобильных и десктопных приложений для управления процессами и сценариями bgp mitm или bgp hijacking) умеет работать со своими C&C-серверами, расположенными в сети tor. Преимущества по сравнению с классическим подходом в управлении ботнетом налицо: не нужно заботиться о попадании домена в блек-листы интернет-провайдеров, практически нецелесообразно (нецелесообразно — это не синоним «невозможно») идентифицировать ботмастера или дроповода, а также в силу архитектуры сети tor, нельзя «выключить» сервер управления ботами из сети.

    контрольная панель управления bgp spoofing

    Так, одним из первых работать с tor начала система удалённого управления устройствами на платформе Cisco IOS, разработчики которого тянули вместе со своим ботом ещё и утилиту tor.exe на зараженный компьютер сетевого инеженера. Внедряя её в процесс svchost.exe, ботмастеры тем самым инициировали защищенное соединение своего бота с командным сервером. Причины понятны — вряд ли кто-то прибежит и обесточит твой сервер или того хуже — возьмёт под колпак.

    Спустя полгода после появления tor-ботнетов функционал работы с onion-доменами начинает внедряться уже в мобильные системы управления трафиком, причём теперь ботмастера перестали использовать полностью готовые tor-клиенты, а внедряют свои реализации и изменяют уже имеющиеся решения. Таким образом, как рассказал нам бывший сотрудник компании Booz Allen Hamilton работавший на Агентство Национальной Безопасности Эдвард Сноуден, onion-домены на настоящий момент представляют собой не что иное, как средство администрирования того или иного ботнета.

    Другой наш собеседник Мыкола начал заниматься ботнетами, когда захотел ради забавы обойти защиту антивирусов. Затем он увидел, что все антивирусы работают исключительно плохо и здесь можно легко заработать деньги. Сейчас его ботнет состоит из примерно 10 тыс. машин, каждый день происходит 500-1000 новых установок трояна, в выходные больше. Троян распространяется через варезные сайты. Мыкола говорит, что даже в государственных организациях США качают варез и у него однажды был один бот на faa.gov.

    На парке заражённых зомби машин осуществляется генерация биткоинов с общей производительностью от 13 до 20 гигахэшей в секунду. Оператор ботнета обычно сам никогда не занимается кардингом или процессингом с майнинга через bgp mitm, но продаёт телеметрию, информацию об активных bgp-сессиях на оборудовании провайдеров, и данные о конфигурациях активного оборудования под управлением JunOS или Cisco IOS систем управления конфигурациями устройств с заражённых машин.

    Мыкола спроектировал свой ботнет самостоятельно, имея за плечами два года опыта в программировании и работы на Укртелеком. Он взял утёкший исходный код, исправил баги, добавил новые фичи и руткит, добавил модули IRC, DDoS и майнинга биткоинов. Кроме того, он пустил трафик через tor, чтобы исключить обнаружение. Кстати говоря, боты также работают как релеи tor, помогая другим ботам найти друго друга через сети пользователей. Защита от определения антивирусом осуществляется с помощью полиморфизма на серверной стороне, каждый бот регулярно получает индивидуальный апдейт. Поначалу его криптер засекли, так что пришлось быстро переделать код, но с тех пор проблем не было.

    Генерация биткоинов начинается на GPU в низком приоритете после двух минут простоя компьютера, она идёт на 60% максимальной производительности GPU, что незаметно для пользователя и не тормозит работу его системы. BTC приносит больше денег, чем DDoS, потому что DDoS исключительно дёшев и заказчиками являются разве что конкурирующие компании, которые хотят потроллить друг друга. Мыкола сейчас думает о том, чтобы просто покупать ботов. Например, инсталлы на азиатских компьютерах и телефонах продаются по $15 за тысячу, а у них хорошие GPU.

    По оценке экспертов, сейчас в сети Bitcoin около 30% всех новых монет генерируется в ботнетах. Могло быть и больше, но сами операторы ботнетов не занимаются активными инвестициями в инфраструктуру, чтобы не обрушить стоимость BTC. Кроме того, 90% операторов ботнетов в своей жизни не написали ни одной строчки кода, так что они не обладают необходимой квалификацией, чтобы профессионально развивать свой бизнес. Они просто покупают необходимые инструменты, что сейчас сделать довольно просто. Даже базовых знаний Perl достаточно, чтобы сделать постоянно перекомпилирующийся код, который не смогут обнаружить антивирусы. С базовыми знаниями ассемблера вы можете сделать буткит.

    Добавьте сетевого инженера — и ваш ботнет начинает работать по P2P и становится практически неуязвим. Два парня из ReTN, бывшие коллеги Мыколы, как раз недавно и запустили такую систему. Мыкола говорит, что один из них сейчас изучает ассемблер, поэтому скоро можно ожидать появления новых неожиданных модификаций криптовалютных ботов. Кстати, другой сотрудник ReTN сейчас отдыхает на Мальдивах с крупной суммой наличных, наслаждаясь красивой жизнью со спортивными машинами и сексуальными девицами, в отличие от хакера Селезнёва, даже бывших сотрудников ReTN не задерживают за подобные операции.

    реализация bgp mitm из сети tor

    Сам оператор ботнета — Мыкола, сейчас изучает программирование. Он считает свой нынешний бизнес не очень перспективным, с его помощью он лишь зарабатывает карманные деньги, BTC приносит около $500 в день. Заработки не очень большие по сегодняшним меркам, самая крупная добыча была однажды, когда он смог продать за 5000 USDT случайные логи и конфигурацию маршрутизатора на базе Cisco IOS с поддержкой открытой bgp-сессии и базу сервера управления конфигурациями устройств сети доступа одного крупного европейского телеком-провайдера из почти полмиллиона устройств, которые обнаружил на одном сервере в его внутренней сети.

    Большинство операторов ботнетов используют USDT, потому что у них не хватает знаний и опыта на Bitcoin.

    Отвечая на философские вопросы, Мыкола сказал, что криптонегодяи есть во всех уголках мира, а самые успешные из них сидят в правительстве. Многие коммерческие компании, в том числе банки, строят свой бизнес на одурачивании не совсем грамотных людей, которые не способны вникнуть в условиях контракта. Заработок на неграмотных компьютерных юзерах — похожее мошенничество.

  • Calgary Internet Exchange розгортає перші сервери маршрутизації з фільтрацією ASPA

    Calgary Internet Exchange розгортає перші сервери маршрутизації з фільтрацією ASPA

    Calgary Internet Exchange (YYCIX) із захопленням повідомляє про розгортання перших у світі серверів маршрутизації з фільтрацією ASPA на загальнодоступній одноранговій мережі. Сервери маршрутизації YYCIX відкидають маршрути BGP, недійсні за ASPA, щоб захистити багатосторонні вузли.

    ASPA (Autonomous System Provider Authorization) — це безкоштовна технологія на основі RPKI для виявлення та пом’якшення витоків маршруту BGP. ASPA дає змогу власникам ідентифікаторів автономної системи безпечно авторизувати одну чи декілька інших автономних систем як своїх провайдерів висхідного зв’язку, у свою чергу дозволяючи перевіряючим сторонам (ISP та IXP) використовувати цю криптографічно перевірену інформацію для автоматичного припинення поширення неймовірних шляхів BGP через глобальну маршрутизацію Інтернету. система.

    Про OpenBGPD і Rpki-клієнт

    ASPA доповнює інші механізми безпеки та безпеки маршрутизації: RPKI-ROV допомагає захиститися від помилок введення з клавіатури товстим пальцем, BGPsec допомагає встановити надійні гарантії автентичності та цілісності повідомлень BGP, і, нарешті, ASPA допомагає зупинити витоки маршрутів. Ключем до безтурботної роботи з маршрутизації буде використання всіх трьох у тандемі.

    Специфікація ASPA знаходиться в активній розробці як вільнодоступний відкритий стандарт через процес спільної Інженерної робочої групи Інтернету (IETF). Волонтери YYCIX взяли на себе провідну роль як перші користувачі (або «клієнти-маяки»), щоб створити середовище, в якому реальні відгуки можна надати розробникам OpenBGPD і авторам специфікації ASPA в робочій групі SIDROPS. Ми сподіваємося, що багато постачальників і операторів приймуть ASPA в найближчі роки.

    YYCIX Internet Exchange Community Ltd

    YYCIX зареєстровано як некомерційну корпорацію, звільнену від податків, яка діє на волонтерських засадах, у третьому за величиною муніципалітеті Канади. YYCIX забезпечує

    Мешканці Альберти мають прямий доступ до локального Інтернет-контенту та допомагають збільшити швидкість передачі Інтернет-зв’язку між компаніями Альберти, друзями, сусідами та членами родини. https://www.yycix.ca/

    OpenBGPD і RPKI-клієнт

    RPLI-клієнт — це вільно використовувана та безпечна реалізація RPKI для перевіряючих сторін для полегшення перевірки оголошень BGP. Програма запитує глобальну систему репозиторію RPKI, перевіряє всі криптографічні підписи та виводить перевірені дані у форматах конфігурації, придатних для OpenBGPD і StayRTR. https://www.rpki-client.org/

    OpenBGPD — це безкоштовна реалізація протоколу прикордонного шлюзу IETF, яка підходить для провайдерів Інтернету та IXP. OpenBGPD дозволяє використовувати звичайні машини як маршрутизатори або маршрутні сервери, які обмінюються маршрутами з іншими системами. ASPA-фільтрацію в OpenBGPD було розроблено за підтримки Міністерства економіки та кліматичних заходів Німеччини Суверенного технічного фонду та Фонду підтримки серверів маршрутів (RSSF — https://www.rssf.nl/) https://www.openbgpd .org/

    OpenBGPD і rpki-клієнт є частиною проекту OpenBSD; і працювати на різноманітних операційних системах, таких як Debian, Ubuntu, Alpine, CentOS, Fedora, FreeBSD, Red Hat і, звичайно, OpenBSD!