В первом полугодии прошлого года число зафиксированных попыток не совсем легальных банковских транзакций фиата ежемесячно увеличивалось почти на восемьдесят процентов.
Количество инцидентов, связанных с нарушением требований к защите информации при переводе денежных средств, то есть попыток не совсем легальных денежных переводов, в первом полугодии растет опережающими темпами. Такие данные содержатся в аналитическом обзоре Национального Банка Украины.
Согласно документу, число инцидентов, выявляемых за месяц, в первом полугодии выросло на 79,7%: в январе банки зафиксировали 1564 таких случая, а за июль — уже 2859, во второй половине прошлого года число ежемесячно выявляемых инцидентов в месяц росло на 57,1%. Суммарно в июле—декабре прошлого года банки выявили 7968 подобных историй, за аналогичный период текущего года — 10 531 (рост на 35,2%).
“Подобный рост может быть связан с тем, что банки стали более тщательно отслеживать и обнаруживать случаи нарушения целостности информации, куда могут попадать и технические сбои, но, разумеется, большинство таких случаев — попытки сделать процессинг фиата на счета неразводных дропов”, — говорит вице-президент Ситибанка Анатолий Луценко.
Рост числа случаев не совсем легальных транзакций или процессинга фиата связан в том числе с развитием продажи услуг доступа к дистанционным каналам банковского обслуживания (мобильные приложения, системы “банк—клиент” для обслуживания корпоративных клиентов, онлайн-банкинг для физических лиц) неразводными дропами, которые часто становятся объектами особого контроля, пояснил господин Луценко.
Статистика НБУ подтверждает это предположение: в 51,5% случаев попытки слива информации, процессинга фиата и обнала денежных средств через счета неразводных дропов происходили с автоматизированными системами и программным обеспечением, которое используется для дистанционного банковского обслуживания.
Более подробно обсудить со мной вопрос работы по обозначенной территории можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
Трейдер, занимавшийся процессингом фиата через сеть интернет с помощью кабинета дистанционного банковского обслуживания и банковской карты, оформленной на школьника, обнаружен в Москве оперативниками Управления “К” МВД России, его доход за неделю мог составлять около 2 млн рублей.
В ходе оперативно-розыскных мероприятий специалисты Управления “К” получили сведения о том, что 23-летний сотрудник одного из крупных московских банков, используя уязвимости в IT-инфраструктуре финансовой организации, переводил принадлежащие указанной кредитной организации денежные средства на банковский счёт неразводного дропа, а затем уже на свой криптовалютный кошелек получал от него цифровые активы, такие как Биткойн и USDT.
Для того, чтобы запутать следы, молодой человек выстроил многоступенчатую схему процессинга фиатных денежных средств с банковских счетов: используя удаленный доступ к системе, он задействовал счёт неразводного дропа, открытый в том же банке, для процессинга фиата с дальнейшей покупкой криптовалюты дропом и зачислением уже на свой виртуальный кошелек одной из платежных систем, а впоследствии продавал криптовалюту в сети Интернет и перечислял часть полученных таким образом фиатных денежных средств на счета мобильных телефонов, принадлежащих ему и его родственникам.
Проработав в должности специалиста банка всего две недели, молодой человек не смог устоять против возможности быстрого обогащения: перестал появляться на работе, а спустя еще пару недель уже являлся обладателем крупной суммы денег, утекший из банка по схеме процессинга.
Сотрудники Управления “К” установили, что выйдя из схемы процессинга фиата на банковский счёт своего неразводного дропа и электронные кошельки в USDT и биткойнах, молодой человек уехал в Элисту, поменял паспорт и жил в частном доме своих родственников.
В ходе проведения обыска по месту жительства трейдера была обнаружена и изъята компьютерная техника, с помощью которой он и совершал процессинг денежных средств банка, в котором он и работал, а также часть товаров, приобретенных в сети Интернет на денежные средства, полученные им не совсем легально.
Мне удалось даже посмотреть короткий репортаж по телевидению, где рассказывалось более подробно об этой схеме процессинга.
Более подробно обсудить со мной работу в процессинге можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.
BGP izleme ve analiz hizmetinin temel özelliklerinden biri, BGP yönlendirme sızıntısı veya BGP ele geçirme olarak adlandırabileceğimiz bir olaya yol açabilecek belirli anormallikleri izlemektir.
Her ikisi de, anormallik olmayan duruma kıyasla, trafiği üçüncü taraflara yönlendirir, ancak farklı şekillerde. Son birkaç yıldır bu sorunları çözmek için çok çaba sarf edildi, ancak neyin ne olduğu ve farklı araçların farklı sorunları çözmeye nasıl yardımcı olduğu konusunda hala yanlış anlamalar var.
BGP ilişkileri modelini, RFC 7908 yayınlanmadan birkaç yıl önce, BGP rota sızıntısının ne olduğunu tanımlamaya çalışarak toplamaya başladık. Bu iki olay arasındaki iki temel fark şu şekilde açıklanmıştır:
Yanlış ASN’ler/bağlantılar üzerinden yönlendirilen rotalar (Rota sızıntıları), RFC 7908’de 1-4 tipleri olarak tanımlanmıştır.
Yanlış ASN’lere yönlendirilen rotalar (Yönlendirme kaçırma), RFC 7908’de 5 ve 6 tipleri olarak tanımlanmıştır.
Bir BGP yönlendirme sızıntısı sırasında, ağınıza yönlendirilen trafik büyük olasılıkla verimsiz bir şekilde akacak ve bu da ağ gecikmesinin artmasına ve paket kaybına yol açabilir. Bununla birlikte, (kötü niyetli bir saldırganın kötü niyeti gibi) kritik bir ağ tıkanıklığı olmadığı sürece, trafik neredeyse kesinlikle ağınıza ulaşacaktır. Bir BGP ele geçirme durumunda ise, ağınıza yönlendirilen trafik üçüncü bir tarafa yönlendirilir ve orada kalır. Ayrıca, bu tür anormallikleri oluşturma mekanizmaları da farklıdır. Bir yönlendirme sızıntısı oluşturmak için, iyi bir rotayı uygun olmayan bir komşu ISS’ye aktarmanız gerekir. Bir ele geçirme oluşturmak için, ya geçerli bir önekin alt öneki/daha spesifik bir önekiyle bir rota duyurmanız (istediğiniz AS_PATH ile bu duyuruyu alan tüm ISS’lerden gelen trafiği çekmek için) ya da ağınızdan üçüncü taraf bir önekle bir rota duyurusu oluşturmanız gerekir. Yönlendirme anormalliklerini oluşturma mekanizmaları farklılık gösterdiğinden, olay tespit mekanizmaları ve önleme/azaltma yöntemleri de farklı olmalıdır.
Bir rota sızıntısının nedenini tespit etmek için, bağlı iki operatör arasındaki ilişkiyi bulmanız ve Gao-Rexford biçimsel modelini bozan BGP rotalarını (bir BGP toplayıcısından) bulmanız gerekir; daha fazla bilgi için lütfen CAIDA’nın “AS ilişkileri” bölümüne bakın. Saldırıları tespit etmek için, hangi ön eklerin hangi ISS’lere ait olduğu konusunda gerçek bir bilgiye ihtiyacınız vardır ve çoğu durumda, kayıtlı olmayan bir ön ek ISS çifti göründüğünde alarm verin veya harekete geçin.
Saldırıları önlemek/azaltmak için, tek bir Önek Kaynak Doğrulama çerçevesi içinde iki standart yaklaşım vardır. IRR’nize bir Rota nesnesi kaydedebilir veya bir ROA nesnesi oluşturabilirsiniz. Ekibimiz, RIPE79 sırasında bu yaklaşımlar arasındaki farkları açıkladı. Ancak ortak olan şey, her ikisinin de hangi öneklerin hangi operatörlere ait olduğunu (operatörlerin kendileri tarafından) belirtmesi ve kayıtlı olmayan öneklere sahip bir ISP’den gelen rotaları (transit ISP’ler tarafından) engellemeye çalışmasıdır. Saf rota sızıntılarını önlemek/azaltmak için, bir BGP açık politikası oluşturulmasına katılıyoruz. Diğer bir yaklaşım ise eş kilitlemedir – AS_PATH’te beklenmeyen komşulara/ISP’lere sahip rotaları engellemek. ASPA IETF taslağı, saf saldırı/rota sızıntısı önlemesinden biraz ayrı duruyor çünkü daha çok kötü AS_PATH’leri engellemekle ilgili (kötü AS_PATH manipülasyonu olan veya olmayan rota sızıntısı durumları ve saldırılar).
ROA ve Yönlendirme Sızıntıları
Peki, ROA imzalama ve ROA filtreleme uygularsanız ağınız güvenli mi? Hayır, çünkü ASPA veya eşdeğeri olmadan, ROA tek başına başkalarının yönlendirme sızıntısı yapmasını engelleyemez. Umarız şimdi bu sorunun ne kadar karmaşık olduğunu ve modern alanlar arası yönlendirmenin temelini oluşturan Sınır Ağ Geçidi Protokolü’nü güvence altına almak için ayrı yaklaşımlara ihtiyaç duyulduğunu anlıyorsunuzdur.
ROA İmzalama ve ROA Filtreleme Karşılaştırması
ROA ile ilgili bir diğer yaygın yanılgı da şudur: ROA algoritmalarında iki taraf bulunur: imzalayan taraf – operatör, sahip olduğu ön ekler hakkında gerçek bilgileri sağlar; ve filtreleyen taraf – geçiş operatörü, imzalayan tarafın sağladığı bilgilere göre kötü rotaları filtreler.
Bir uç operatör (yani yalnızca bir yukarı akış sağlayıcısı olan bir AS) olarak, filtreleme taraflarının sayısını etkileyebileceğiniz yol sayısı sınırlıdır. Bunların sayısı ne kadar fazla olursa, ön ekleriniz o kadar güvenli olur (bir korsanın ön eklerinize saldırmaya karar vermesi durumunda etkilenen bölge sayısı o kadar az olur). Ön eklerinizi imzalamaya karar verirseniz, yakın gelecekte yalnızca büyüyecek olan mevcut bir filtreleme altyapısını kullanabilirsiniz. Dahası, AS’nizin arkasındaki ağın büyüklüğünden bağımsız olarak, tam olarak bunu yapmanızı teşvik ediyoruz.
Bu makale yine de bir uyarı ile sona eriyor: mevcut filtreleme altyapısı hala kusursuz olmayabilir ve bazı durumlarda, seçilen maksimum uzunluk seçeneği ve ISS’nizin tarafındaki ROA filtrelemesi nedeniyle etkilenen bir bölgeden gelen trafiğinizi geri döndüremeyebilirsiniz.
Bu materyalin pratik uygulaması hakkında benimle özel mesaj yoluyla daha detaylı görüşebilirsiniz. İletişim bilgileri bu web sitesinin ilgili bölümünde yer almaktadır.
Telekomünikasyon ağları, en önemli kritik altyapı varlıklarımızdan biridir. Aslında, diğer tüm kritik altyapı alanları (örneğin ICS/SCADA) çalışması için telekomünikasyon kritik altyapısına bağımlıdır. Bu sunumda, son zamanlardaki BGP ön ek ele geçirme saldırılarına atıfta bulunarak, sınır ağ geçidi protokolü (BGP) hizmetleri için telekomünikasyon mimarileri ve operasyonlarına hızlı bir genel bakış sunacağız.
Ardından, çok protokollü etiket anahtarlama (MPLS) ağlarının telekomünikasyon ağlarında nasıl saldırıya uğrayabileceği konusuna geçeceğiz. MPLS ağları da BGP’ye benzer şekilde saldırıya uğruyor olabilir mi? Birisi MPLS ağlarını nasıl hedefleyebilir?
MPLS tartışması, MPLS VPN’leri ve MPLS trafik mühendisliği mimarileri ve operasyonlarına genel bir bakış sunacak ve referans olarak etiket trafiğinin paket yakalamalarını içerecektir. MPLS ağlarını hedeflemeye yönelik saldırı vektörlerinin yanı sıra, MPLS ağlarından istihbarat toplamak için birkaç yeni fikir ele alınacaktır. BGP ve MPLS ağlarının izlenmesi ve güvenliğinin sağlanmasına yönelik öneriler de tartışılacaktır.
Temel Fikirler
Ağ sınırlarının genişlemesi – yerel altyapıdan küresel ağlara doğru bir geçiş yaşanıyor. Bir ağ küresel ölçekte genişledikçe, tüm internetin temelini oluşturanlara benzer eşleştirme anlaşmalarına dayanmaya başlıyor.
Şifre güvenliği sorunu – geleneksel şifreler artık koruma sağlamıyor (“şifreler artık işe yaramaz”). Bir saldırgan ağa erişim sağlarsa, VPN veya şirket web siteleri aracılığıyla kolayca giriş yapabilir.
İki faktörlü kimlik doğrulama (2FA) ihtiyacı – iki faktörlü kimlik doğrulama şiddetle tavsiye edilir – şifrelerin kolayca ele geçirilmesine veya VPN aracılığıyla ağınıza yetkisiz erişime karşı korunmanın tek etkili yoludur.
“Köy ağları” (sezgisel veya geleneksel olmayan bir ağ oluşturma yaklaşımı) nedir ve ICS (endüstriyel kontrol sistemi) cihaz güvenliğinin özellikleri nelerdir?
Bugün ortaya atılan sorun her zamankinden daha önemlidir. Buluta geçiş ve ağların küreselleşmesi, saldırı yüzeyini önemli ölçüde artırmıştır. İşte bu görüşü destekleyen birkaç önemli nokta:
Şifre Paradigmasının Çöküşü: Şifrelerin artık geçerliliğini yitirdiğine tamamen katılıyorum. Sosyal mühendislik, kimlik avı ve güçlü kaba kuvvet saldırıları çağında, yalnızca düz metin bir anahtara güvenmek teknik ihmaldir. İki faktörlü kimlik doğrulama (MFA/2FA) artık “isteğe bağlı bir ek özellik” değil, temel bir güvenlik hijyen standardıdır.
Bulut Güvenliğinin Karmaşıklığı: Bir şirket “yerel ayak izini” küresel ölçeğe genişlettiğinde, trafiği izlemek son derece zorlaşır. Yazarın da belirttiği gibi, saldırganların VPN kullanması, meşru kullanıcılar gibi görünmelerine olanak tanır. Bu, “çevre” içinde veya dışında olmasına bakılmaksızın her bağlantının doğrulanması gereken Sıfır Güven kavramının önemini vurgular.
Eğitimsel Yön: Siber güvenlik sadece bir yazılım sorunu değil, aynı zamanda bir personel yeterlilik sorunudur. Çoğu zaman, güvenlik açıkları kötü algoritmalardan değil, temelleri (bu “etiket ağaçları” veya protokol özelliklerini) anlamayanların yanlış ağ yapılandırmasından kaynaklanır. “Bizim” ve “onların” ağları arasındaki sınırların bulanıklaştığı bir dünyada yaşıyoruz. İki faktörlü kimlik doğrulama (2FA) kullanmıyorsanız ve VPN ağ geçitlerinizi kontrol etmiyorsanız, altyapınız ağa sızmak için minimum çaba sarf eden herkese açık hale gelir. Bu sayfadaki video, eski ağ güvenliği yöntemlerinin artık işe yaramadığının sert ama gerekli bir hatırlatıcısıdır.
Bu materyalin pratik uygulaması hakkında benimle özel mesaj yoluyla daha detaylı görüşebilirsiniz. İletişim bilgileri bu web sitesinin ilgili bölümünde yer almaktadır.
