Работа в Стамбуле

Рубрика: Без рубрики

  • ABD yetkilileri internetin güvensiz yapıştırıcısını düzeltmenin zamanının geldiğini düşünüyor: Evet, BGP

    ABD yetkilileri internetin güvensiz yapıştırıcısını düzeltmenin zamanının geldiğini düşünüyor: Evet, BGP

    Beyaz Saray Salı günü, özellikle Sınır Geçidi Protokolü (BGP) olmak üzere internet yönlendirmesinin zayıf güvenliğini güçlendirmeyi umduğunu belirtti. BGP, bildiğimiz haliyle interneti bir arada tutar. İnternet trafiğinizin, birlikte interneti oluşturan otonom sistemler veya AS’ler olarak bilinen ağlar arasında izlediği rotaları yönetmek için kullanılır. Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD) tarafından bugün yayınlanan İnternet Yönlendirme Güvenliğini Geliştirme Yol Haritası’nda belirtildiği gibi, BGP güvenlik düşünülerek tasarlanmamıştır.

    BGP yakında daha güvenli hale gelecek

    «Başlangıçta tasarlandığı ve bugün yaygın olarak kullanıldığı haliyle, BGP şu anda karşı karşıya olduğumuz riskler için yeterli güvenlik ve dayanıklılık özellikleri sunmuyor,» diyor rapor [PDF]. «Temel güvenlik açıkları hakkındaki endişeler 25 yıldan uzun süredir dile getiriliyor.»

    BGP, trafik yolu değişikliğini duyuran uzak bir ağın bunu yapma yetkisine sahip olup olmadığını kontrol etmez. Ayrıca ağlar arasında değiştirilen mesajların gerçek olup olmadığını doğrulamaz veya yönlendirme duyurularının komşu ağlar arasındaki iş politikalarını ihlal edip etmediğini kontrol etmez. Sonuç, Pakistan’ın 2008’de YouTube trafiğine müdahale ettiği veya Rusya’nın 2022’de Ukrayna’yı işgal ederken Twitter trafiğini sınırlamak için BGP kusurlarından yararlandığı gibi uzun bir BGP rotası kaçırma geçmişi oldu.

    «Rota kaçırmalar kişisel bilgileri ifşa edebilir; hırsızlığa, gaspa ve devlet düzeyinde casusluğa olanak sağlayabilir; güvenlik açısından kritik işlemleri bozabilir; ve kritik altyapı operasyonlarını aksatabilir» diyor rapor. «Çoğu BGP olayı kazara gerçekleşse de kötü niyetli aktörler konusundaki endişe bu sorunu ulusal güvenlik önceliği haline getirdi.»

    Haziran ayında, ABD Adalet Bakanlığı ve Savunma Bakanlığı, iletişim kurumunun güvenli internet yönlendirmesini inceleme kararıyla ilgili olarak FCC’ye [PDF] yazdı. BGP risklerini ele alma ihtiyacını onaylayan DoJ ve DoD, China Telecom Americas’ın (CTA) 2010, 2015, 2016, 2017, 2018 ve 2019’da Amerikan ağ trafiğini Çin’e göndermek için hatalı trafik yönlendirmesi reklamı yapma biçimine işaret etti. CTA’nın FCC lisansı 2021’de iptal edildi. Bu riskleri azaltmak için kullanılabilen bir kriptografik kimlik doğrulama şeması var: Rota Kaynağı Doğrulaması (ROV) ve Rota Kaynağı Yetkilendirmesi (ROA) içeren Kaynak Genel Anahtar Altyapısı (RPKI). Ancak bu güvenlik mekanizması kusursuz değil ve evrensel olarak da uygulanmıyor.

    Beyaz Saray’ın yol haritasına göre Avrupa’da BGP rotalarının yaklaşık %70’i ROA’lar yayınladı ve ROV geçerli. Başka yerlerde ise benimseme daha düşük. ABD’de bu oran yalnızca %39’dur çünkü Amerikan İnternet Numaraları Kaydı (ARIN) tarafından denetlenen IP alanı Avrupa veya Asya’dan daha büyük ve eskidir ve ABD hükümeti RPKI benimsemesinde özel sektörün gerisinde kalmaktadır. ONCD yol haritası, ABD kamu ve özel sektörlerinde RPKI’nin benimsenmesini hızlandırmayı amaçlamaktadır.

    Beyaz Saray Ulusal Siber Direktörü Harry Coker, Jr. yaptığı açıklamada, «İnternet güvenliği göz ardı edilemeyecek kadar önemlidir, bu nedenle Federal hükümet, kurumlarımız tarafından BGP güvenlik önlemlerinin benimsenmesinde hızlı bir artış için baskı yaparak örnek teşkil etmektedir» dedi. FCC patronu Jessica Rosenworcel, yol haritasının, telekom kurumunun internet servis sağlayıcılarının BGP güvenliğini ele alan bir risk yönetim planı hazırlamasını ve büyük telekom firmaları için üç aylık kamu raporları yayınlamasını gerektiren önceki kural koymasını tamamladığını söyledi.

  • Ютуберы не вписались в бизнес-модель Ростелекома

    Ютуберы не вписались в бизнес-модель Ростелекома

    Операторы связи, применяющие технологии обхода ограничений доступа к сайтам вопреки требованиям властей, могут лишиться лицензии, предупредил Роскомнадзор. Двумя днями ранее провайдеры интернета получили указания не мешать незамедлительным блокировкам ресурсов, которые инициируют органы власти. Эти предупреждения адресованы в том числе компаниям, стремящимся ускорить работу видеохостинга YouTube, массовые проблемы с замедлением которого появились в августе, уверены участники рынка и юристы. По их мнению, текущая ситуация, которая может быть подготовкой к полной блокировке YouTube, уже вызвала сложности, аналогичные тем, что сопровождали блокировку Telegram в 2
    018 году.

    Второе предупреждение

    Роскомнадзор ужесточил риторику в адрес лицензиатов и интернет-провайдеров. Спустя два дня после указаний не мешать блокировке и затруднению доступа к сайтам с запрещенной информацией регулятор уточнил, что эти распоряжения необходимо исполнять незамедлительно. В противном случае операторы связи могут быть привлечены к административной ответственности по статье 13.45 КоАП, предупредило ведомство: «В случае неисполнения указаний к нарушителям будут приняты меры реагирования на основании закона «О связи» вплоть до аннулирования лицензии». Об этом говорится в письмах территориальных управлений Роскомнадзора по Северо-Западному федеральному округу, по Республике Дагестан и Рязанской области. Первые два письма «о соблюдении обязательных требований» разосланы 30 августа и 2 сентября соответственно, в третьем, «профилактическом» письме дата не указана. Президент Ассоциации малых операторов связи регионов (АМОР) Дмитрий Галушко и наши собеседники в трех операторах связи подтвердили их получение.

    Ютуберы не вписались в бизнес-модель Ростелекома

    Указания, о которых напоминает Роскомнадзор, операторам свзяи выдали 28 августа. Их разослал оперативный дежурный подведомственного Роскомнадзору Центра мониторинга и управления сети связи общего пользования (ЦМУ ССОП) — там зафиксировали угрозу противодействия блокировке или замедлению сайтов, которые производятся по закону, следует из письма, с которым мы ознакомились ранее. В тот же день газета «Коммерсантъ» сообщила, что российские операторы устанавливают на своих сетях решения, которые позволяют обойти замедление видеохостинга YouTube.

    «Прием устрашения»

    Последние письма Роскомнадзора, очевидно, связаны с ситуацией вокруг сервиса YouTube, хотя в письмах название видеохостинга не фигурирует, полагают участники рынка и юристы, опрошенные нами. Ограничение по скорости YouTube вызвано тем, что его трафик «несет некую критическую экзистенциальную угрозу российским сетям связи», делает вывод главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов. «Если это действительно так, то Роскомнадзор вправе подать судебный иск об отзыве лицензии у оператора связи, который нарушает директиву по ограничению скорости трафика YouTube. Оснований для отзыва лицензии без решения суда в данном случае нет», — рассуждает юрист. Но Роскомнадзор должен будет раскрыть суду доказательства того, что трафик действительно угрожает российским сетям связи, обратил внимание он. Без решения суда Роскомнадзор также вправе приостановить лицензию оператора связи за «невыполнение директивы об ограничении трафика», заключил Ляхманов.

    Как отмечает адвокат коллегии адвокатов Pen & Paper Виктор Рыков, Роскомнадзор в своем письме ссылается на закон «О связи» и связанную с его исполнением статью 13.45 КоАП, хотя в ситуации с блокировкой тех или иных сайтов корректнее было бы ссылаться на многочисленные запреты, существующие в законе «Об информации». В отсутствие конкретных запретов, введенных по установленной законом «Об информации» процедуре, Роскомнадзор не приводит внятных аргументов со ссылкой на данный закон, констатирует адвокат.

    Статья 13.45 КоАП подразумевает штрафы за неисполнение обязательных указаний ЦМУ ССОП: до 10 000 рублей для граждан, до 30 000 рублей для должностных лиц, до 45 000 рублей для индивидуальных предпринимателей и до 120 000 рублей для юридических лиц. В статье 13.45 КоАП также идет речь о запрете нарушать правила маршрутизации сообщений электросвязи, напоминает Рыков: «То есть о запрете на перенаправление сообщений пользователей с территории России через иностранную территорию». Роскомнадзор предлагает интерпретировать трафик, перенаправляемый для улучшения качества доступа к видеохостингу YouTube, как «сообщение электросвязи» по смыслу закона «О связи», допускает адвокат. «Однако этот закон также оперирует термином «трафик», и попытка выдать перенаправление технического трафика к сервису YouTube за нарушение правил передачи отдельных сообщений электросвязи не следует из буквального содержания закона», — полагает Виктор Рыков.

    Аннулирование лицензии на услуги связи как первичная мера административного воздействия не применяется, отмечает директор юридического департамента DRC Ольга Захарова. «Она проводится в судебном порядке с представлением доказательств вины правонарушителя и оценкой иных, заслуживающих внимания, доказательств и аргументов. Решение об аннулировании лицензии принимает суд, которое, в свою очередь, может быть обжаловано лицензиатом», — напомнила она. По словам Ольги Захаровой, ситуация с аннулированием лицензии вполне возможна, во всяком случае, такой механизм законодательством предусмотрен, но сложно представить, что оператор связи намеренно будет продолжать «ускорение трафика» ресурса, который находится вне правового поля государства. «То есть Роскомнадзор как контролирующий орган применил прием устрашения участников рынка, показав тем самым высокий уровень значимости этого требования», — полагает она.

    «Наводя порядок жесткой рукой»

    Сервис видеохостинга YouTube в настоящий момент не заблокирован на территории России, что не позволяет Роскомнадзору применять в отношении операторов меры реагирования и какие-либо санкции, уверен партнер Briefcase Law Office Григорий Волков. При этом разосланные письма можно рассматривать как полномасштабную подготовку к ограничению доступа к сервису, допускает он: «Вероятно, план заключается в том, чтобы в мгновение ока провести такую блокировку, чтобы никаких препятствий операторы не создавали». К тому же, продолжает Волков, регулятор реагирует на сценарий, по которому «функционирующий YouTube» может выступить конкурентным преимуществом оператора связи. «Этими письмами операторов сетей убеждают так не делать, наводя порядок жесткой рукой», — заключил он.

    Замедление скорости YouTube в России уже создало операторам связи неравные конкурентные условия, уверены участники рынка, опрошенные нами. «Нет понимания, почему через сети мобильных операторов видеохостинг YouTube продолжает работать», — недоумевает президент ассоциации операторов кабельного телевидения «Макател» Алексей Амелькин. «Абоненты сотовых сетей сохранили доступ к незапрещенному официально сервису YouTube, а операторы фиксированных сетей были от видеохостинга YouTube отключены», — категоричен генеральный директор Ассоциации операторов телефонной связи Сергей Ефимов, сравнивший текущую ситуацию с «неудачной попыткой» блокировки мессенджера Telegram в 2018 году. Сейчас, по его мнению, операторам был причинен ущерб, который необходимо компенсировать в добровольном порядке. Одним из вариантов компенсации, по мнению Ефимова, может стать освобождение всех интернет-провайдеров, кроме «большой четверки», на год от сборов в резерв универсального обслуживания.

    Представители Роскомнадзора, «Ростелекома», МТС, «Вымпелкома» (бренд «Билайн»), «Мегафона» и «ЭР-Телекома» (бренд «Дом.ру») отказались от комментариев. Однако, стоит подумать вот над чем, если нагрузка на магистральные каналы кратно возросла в этом году в результате износа кэширующего оборудования, установленного на точках обмена трафиком, вполне возможно, что всё это игры одного — двух магистральных операторов, имеющих каналы за рубеж, так как за пропуск трафика по этим каналам ввиду износа оборудования Google теперь приходится платить всё больше и больше….

  • Обналичить деньги без карты в любом банкомата можно за 15 минут при помощи сервисных кодов

    Обналичить деньги без карты в любом банкомата можно за 15 минут при помощи сервисных кодов

    Мы решили проверить уровень безопасности современных банкоматов. Для этого тщательно изучили 26 моделей банкоматов крупнейших производителей, таких как NCR, Diebold Nixdorf или GRGBanking.

    Как сналить деньги из банкомата без карты

    В итоге выяснилось, что практически все устройства уязвимы перед теми или иными локальными или сетевыми атаками, а уровень защиты, пожалуй, лучше всего характеризует известный термин «театр безопасности». Дело в том, что 85% изученных машин оказалось возможно скомпрометировать в течение 15 минут.

    Вот только некоторые выводы и цифры, приведенные в нашем отчете:

    • 15 из 26 банкоматов по-прежнему работают под управлением Windows XP;
    • 22 машины уязвимы перед сетевым спуфингом, то есть нарушитель может локально подключиться к устройству через LAN и осуществлять выдачу наличных денег как ему вздумается. Причем для реализации такой атаки понадобится mpls сеть провайдера и всего 15 минут времени;
    • 18 устройств уязвимы перед атаками типа black box, то есть подключив к банкомату специальное устройство, управляющее работой диспенсера, нарушитель может заставить его выдавать наличные. Исследователи отмечают, что для создания такого хакерского девайса подходит Raspberry Pi, Teensy или BeagleBone, а атака занимает около 10 минут;
    • 20 банкоматов можно вывести из режима киоска, просто подключившись к ним через USB или PS/2. После этого нарушитель получает доступ к ОС и может выполнять самые разные команды, в том числе по выдаче наличных денег банкоматом;
    • 24 из 26 изученных машин не шифруют данные на жестких дисках, и если нарушитель может получить физический доступ к диску, он может извлечь любые хранящиеся там данные и конфигурации, а также встроить комбинации клавиш панели на выдачу наличных денег.
    В большинстве случаев защитные механизмы будут лишь мелкой помехой для нарушителя —  наши специалисты нашли способы обойти защиту практически в каждом случае. Так как банки обычно используют одинаковые конфигурации для большого числа банкоматов, успешная атака на один банкомат может быть повторена в другом месте и в куда более крупном масштабе.
  • Реализация сценариев bgp spoofing и bgp hijacking с помощью Loki

    Реализация сценариев bgp spoofing и bgp hijacking с помощью Loki

    Сетевые магистральные технологии, используемые для маршрутизации трафика больших корпоративных сетей и даже крупных телекоммуникационных провайдеров, уязвимы для широкомасштабных атак с использованием bgp mitm и mpls mitm. Этот вывод сделали два эксперта, которые представили вчера соответствующие утилиты, подтверждающие их точку зрения.

    Продемонстрированные Энно Реем программы пакета LOKI, которые он разработал совместно с Даниэлем Менде, свидетельствуют о том, что перехват трафика майнига или перехват транзакций биткоин, возможность проведения которых раньше считалась чисто теоретической, могут иметь самые неприятные практические последствия для широкого круга биткойнеров.

    Некоторые из представленных утилит нацелены на внедрение ложных маршрутов технологии MPLS (многопротокольная коммутация на основе признаков), которую провайдеры типа Ростелеком, Транстелеком, Вымпелком, Мегафон, Укртелеком, Level 3, Verizon, AT&T, Vodafone и Sprint используют для отделения трафика одних корпоративных пользователей от других во время его передачи из одного географического региона в другой. Утилита позволяет без труда перенаправлять такой трафик и подменять в нем данные всем, кто имеет доступ к сети определенного провайдера.

    Заниматься пробивкой в Ростелекоме очень выгодно
    Метод работает из-за того, что MPLS не имеет встроенного механизма защиты целостности заголовков пакетов, определяющих, куда должен быть доставлен поток. По словам Рея, обнаружить подмену абсолютно невозможно.

    Еще несколько приложений нацелены на использование уязвимостей в протоколе BGP (пограничный шлюзовый протокол). Помимо всего прочего, они позволяют взламывать криптографические ключи MD5, используемые для предотвращения манипуляции данными маршрутизации. Кроме этого можно прописывать в таблицы BGP несанкционированные пути, что позволяет контролировать огромные объемы сетевого транзитного трафика.

    Оставшиеся программы предназначены для использования вышеописанных дыр в Ethernet. Все они находятся в свободном доступе. В последней версии добавлена функция перехвата и расшифровки ключей сервера аутентификации и авторизации пользователей tacacs+.