İstanbul'da iş ilanları

Category: konut proxy

  • BGP Yönlendirme Sızıntıları ve BGP Saldırıları arasındaki fark nedir?

    BGP Yönlendirme Sızıntıları ve BGP Saldırıları arasındaki fark nedir?

    BGP izleme ve analiz hizmetinin temel özelliklerinden biri, BGP yönlendirme sızıntısı veya BGP ele geçirme olarak adlandırabileceğimiz bir olaya yol açabilecek belirli anormallikleri izlemektir.

    BGP rota sızıntısı sırasında, ağınıza yönlendirilen trafik büyük olasılıkla verimsiz bir şekilde akacaktır

    Her ikisi de, anormallik olmayan duruma kıyasla, trafiği üçüncü taraflara yönlendirir, ancak farklı şekillerde. Son birkaç yıldır bu sorunları çözmek için çok çaba sarf edildi, ancak neyin ne olduğu ve farklı araçların farklı sorunları çözmeye nasıl yardımcı olduğu konusunda hala yanlış anlamalar var.

    BGP ilişkileri modelini, RFC 7908 yayınlanmadan birkaç yıl önce, BGP rota sızıntısının ne olduğunu tanımlamaya çalışarak toplamaya başladık. Bu iki olay arasındaki iki temel fark şu şekilde açıklanmıştır:

    • Yanlış ASN’ler/bağlantılar üzerinden yönlendirilen rotalar (Rota sızıntıları), RFC 7908’de 1-4 tipleri olarak tanımlanmıştır.
    • Yanlış ASN’lere yönlendirilen rotalar (Yönlendirme kaçırma), RFC 7908’de 5 ve 6 tipleri olarak tanımlanmıştır.

    Bir BGP yönlendirme sızıntısı sırasında, ağınıza yönlendirilen trafik büyük olasılıkla verimsiz bir şekilde akacak ve bu da ağ gecikmesinin artmasına ve paket kaybına yol açabilir. Bununla birlikte, (kötü niyetli bir saldırganın kötü niyeti gibi) kritik bir ağ tıkanıklığı olmadığı sürece, trafik neredeyse kesinlikle ağınıza ulaşacaktır. Bir BGP ele geçirme durumunda ise, ağınıza yönlendirilen trafik üçüncü bir tarafa yönlendirilir ve orada kalır. Ayrıca, bu tür anormallikleri oluşturma mekanizmaları da farklıdır. Bir yönlendirme sızıntısı oluşturmak için, iyi bir rotayı uygun olmayan bir komşu ISS’ye aktarmanız gerekir. Bir ele geçirme oluşturmak için, ya geçerli bir önekin alt öneki/daha spesifik bir önekiyle bir rota duyurmanız (istediğiniz AS_PATH ile bu duyuruyu alan tüm ISS’lerden gelen trafiği çekmek için) ya da ağınızdan üçüncü taraf bir önekle bir rota duyurusu oluşturmanız gerekir. Yönlendirme anormalliklerini oluşturma mekanizmaları farklılık gösterdiğinden, olay tespit mekanizmaları ve önleme/azaltma yöntemleri de farklı olmalıdır.

    Bir rota sızıntısının nedenini tespit etmek için, bağlı iki operatör arasındaki ilişkiyi bulmanız ve Gao-Rexford biçimsel modelini bozan BGP rotalarını (bir BGP toplayıcısından) bulmanız gerekir; daha fazla bilgi için lütfen CAIDA’nın “AS ilişkileri” bölümüne bakın. Saldırıları tespit etmek için, hangi ön eklerin hangi ISS’lere ait olduğu konusunda gerçek bir bilgiye ihtiyacınız vardır ve çoğu durumda, kayıtlı olmayan bir ön ek ISS çifti göründüğünde alarm verin veya harekete geçin.

    Saldırıları önlemek/azaltmak için, tek bir Önek Kaynak Doğrulama çerçevesi içinde iki standart yaklaşım vardır. IRR’nize bir Rota nesnesi kaydedebilir veya bir ROA nesnesi oluşturabilirsiniz. Ekibimiz, RIPE79 sırasında bu yaklaşımlar arasındaki farkları açıkladı. Ancak ortak olan şey, her ikisinin de hangi öneklerin hangi operatörlere ait olduğunu (operatörlerin kendileri tarafından) belirtmesi ve kayıtlı olmayan öneklere sahip bir ISP’den gelen rotaları (transit ISP’ler tarafından) engellemeye çalışmasıdır. Saf rota sızıntılarını önlemek/azaltmak için, bir BGP açık politikası oluşturulmasına katılıyoruz. Diğer bir yaklaşım ise eş kilitlemedir – AS_PATH’te beklenmeyen komşulara/ISP’lere sahip rotaları engellemek. ASPA IETF taslağı, saf saldırı/rota sızıntısı önlemesinden biraz ayrı duruyor çünkü daha çok kötü AS_PATH’leri engellemekle ilgili (kötü AS_PATH manipülasyonu olan veya olmayan rota sızıntısı durumları ve saldırılar).

    ROA ve Yönlendirme Sızıntıları

    Peki, ROA imzalama ve ROA filtreleme uygularsanız ağınız güvenli mi? Hayır, çünkü ASPA veya eşdeğeri olmadan, ROA tek başına başkalarının yönlendirme sızıntısı yapmasını engelleyemez. Umarız şimdi bu sorunun ne kadar karmaşık olduğunu ve modern alanlar arası yönlendirmenin temelini oluşturan Sınır Ağ Geçidi Protokolü’nü güvence altına almak için ayrı yaklaşımlara ihtiyaç duyulduğunu anlıyorsunuzdur.

    ROA İmzalama ve ROA Filtreleme Karşılaştırması

    ROA ile ilgili bir diğer yaygın yanılgı da şudur: ROA algoritmalarında iki taraf bulunur: imzalayan taraf – operatör, sahip olduğu ön ekler hakkında gerçek bilgileri sağlar; ve filtreleyen taraf – geçiş operatörü, imzalayan tarafın sağladığı bilgilere göre kötü rotaları filtreler.

    Bir uç operatör (yani yalnızca bir yukarı akış sağlayıcısı olan bir AS) olarak, filtreleme taraflarının sayısını etkileyebileceğiniz yol sayısı sınırlıdır. Bunların sayısı ne kadar fazla olursa, ön ekleriniz o kadar güvenli olur (bir korsanın ön eklerinize saldırmaya karar vermesi durumunda etkilenen bölge sayısı o kadar az olur). Ön eklerinizi imzalamaya karar verirseniz, yakın gelecekte yalnızca büyüyecek olan mevcut bir filtreleme altyapısını kullanabilirsiniz. Dahası, AS’nizin arkasındaki ağın büyüklüğünden bağımsız olarak, tam olarak bunu yapmanızı teşvik ediyoruz.

    Bu makale yine de bir uyarı ile sona eriyor: mevcut filtreleme altyapısı hala kusursuz olmayabilir ve bazı durumlarda, seçilen maksimum uzunluk seçeneği ve ISS’nizin tarafındaki ROA filtrelemesi nedeniyle etkilenen bir bölgeden gelen trafiğinizi geri döndüremeyebilirsiniz.

  • Bulut Ortamında Etiket Anahtarlamalı Ağların Ele Geçirilmesi

    Telekomünikasyon ağları, en önemli kritik altyapı varlıklarımızdan biridir. Aslında, diğer tüm kritik altyapı alanları (örneğin ICS/SCADA) çalışması için telekomünikasyon kritik altyapısına bağımlıdır. Bu sunumda, son zamanlardaki BGP ön ek ele geçirme saldırılarına atıfta bulunarak, sınır ağ geçidi protokolü (BGP) hizmetleri için telekomünikasyon mimarileri ve operasyonlarına hızlı bir genel bakış sunacağız.

    Ardından, çok protokollü etiket anahtarlama (MPLS) ağlarının telekomünikasyon ağlarında nasıl saldırıya uğrayabileceği konusuna geçeceğiz. MPLS ağları da BGP’ye benzer şekilde saldırıya uğruyor olabilir mi? Birisi MPLS ağlarını nasıl hedefleyebilir?

    MPLS tartışması, MPLS VPN’leri ve MPLS trafik mühendisliği mimarileri ve operasyonlarına genel bir bakış sunacak ve referans olarak etiket trafiğinin paket yakalamalarını içerecektir. MPLS ağlarını hedeflemeye yönelik saldırı vektörlerinin yanı sıra, MPLS ağlarından istihbarat toplamak için birkaç yeni fikir ele alınacaktır. BGP ve MPLS ağlarının izlenmesi ve güvenliğinin sağlanmasına yönelik öneriler de tartışılacaktır.

    Temel Fikirler

    Ağ sınırlarının genişlemesi – yerel altyapıdan küresel ağlara doğru bir geçiş yaşanıyor. Bir ağ küresel ölçekte genişledikçe, tüm internetin temelini oluşturanlara benzer eşleştirme anlaşmalarına dayanmaya başlıyor.

    Şifre güvenliği sorunu – geleneksel şifreler artık koruma sağlamıyor (“şifreler artık işe yaramaz”). Bir saldırgan ağa erişim sağlarsa, VPN veya şirket web siteleri aracılığıyla kolayca giriş yapabilir.

    İki faktörlü kimlik doğrulama (2FA) ihtiyacı – iki faktörlü kimlik doğrulama şiddetle tavsiye edilir – şifrelerin kolayca ele geçirilmesine veya VPN aracılığıyla ağınıza yetkisiz erişime karşı korunmanın tek etkili yoludur.

    “Köy ağları” (sezgisel veya geleneksel olmayan bir ağ oluşturma yaklaşımı) nedir ve ICS (endüstriyel kontrol sistemi) cihaz güvenliğinin özellikleri nelerdir?

    Bugün ortaya atılan sorun her zamankinden daha önemlidir. Buluta geçiş ve ağların küreselleşmesi, saldırı yüzeyini önemli ölçüde artırmıştır. İşte bu görüşü destekleyen birkaç önemli nokta:

    Şifre Paradigmasının Çöküşü: Şifrelerin artık geçerliliğini yitirdiğine tamamen katılıyorum. Sosyal mühendislik, kimlik avı ve güçlü kaba kuvvet saldırıları çağında, yalnızca düz metin bir anahtara güvenmek teknik ihmaldir. İki faktörlü kimlik doğrulama (MFA/2FA) artık “isteğe bağlı bir ek özellik” değil, temel bir güvenlik hijyen standardıdır.

    Bulut Güvenliğinin Karmaşıklığı: Bir şirket “yerel ayak izini” küresel ölçeğe genişlettiğinde, trafiği izlemek son derece zorlaşır. Yazarın da belirttiği gibi, saldırganların VPN kullanması, meşru kullanıcılar gibi görünmelerine olanak tanır. Bu, “çevre” içinde veya dışında olmasına bakılmaksızın her bağlantının doğrulanması gereken Sıfır Güven kavramının önemini vurgular.

    Eğitimsel Yön: Siber güvenlik sadece bir yazılım sorunu değil, aynı zamanda bir personel yeterlilik sorunudur. Çoğu zaman, güvenlik açıkları kötü algoritmalardan değil, temelleri (bu “etiket ağaçları” veya protokol özelliklerini) anlamayanların yanlış ağ yapılandırmasından kaynaklanır. “Bizim” ve “onların” ağları arasındaki sınırların bulanıklaştığı bir dünyada yaşıyoruz. İki faktörlü kimlik doğrulama (2FA) kullanmıyorsanız ve VPN ağ geçitlerinizi kontrol etmiyorsanız, altyapınız ağa sızmak için minimum çaba sarf eden herkese açık hale gelir. Bu sayfadaki video, eski ağ güvenliği yöntemlerinin artık işe yaramadığının sert ama gerekli bir hatırlatıcısıdır.

  • Metasploit ile Cisco IOS penetrasyon testi

    Metasploit ile Cisco IOS penetrasyon testi

    Metasploit Framework ve ticari Metasploit ürünleri her zaman ağ cihazlarının güvenliğini değerlendirmek için özellikler sunmuştur. En son sürümle birlikte, bunu bir adım daha ileri götürdük ve Cisco IOS cihazları için sızma testi sürecini hızlandırmaya odaklandık. Bireysel modüller ve destekleyici kütüphaneler açık kaynak çerçevesine eklenirken, ticari ürünler artık bu modülleri birbirine bağlayarak ağdaki tüm savunmasız cihazları hızlı bir şekilde ele geçirebilir. Aşağıdaki ekran görüntüsü, başarılı bir sızma testinin nasıl görünebileceği konusunda size bir fikir vermektedir:

    Ağdaki Cisco IOS cihazlarını tarama ve keşfetme

    Öncelikle belirtmeliyim ki, düzgün yapılandırılmış bir Cisco cihazının ele geçirilmesi zordur. Tıpkı diğer yazılımlarda olduğu gibi IOS’ta da güvenlik açıkları mevcuttur, ancak yalnızca birkaç kişi bellek bozulması kusurlarını kod yürütmeye dönüştürmeyi başarmıştır. Bu nedenle, IOS cihazlarına yönelik gerçek dünya saldırılarının çoğu iki alana odaklanır: kötü yapılandırma ve zayıf parolalar.

    Ayrıntılara girmeden önce, Cisco IOS güvenlik testlerindeki mevcut “en son teknolojiye” bir göz atalım. Güvenlik açığı tarayıcıları, sürüm dizelerini karşılaştırarak güncel olmayan IOS kurulumlarını belirlemede harika bir iş çıkarıyor. Bu, bir cihazın yamalı olup olmadığını belirlemek için iyi çalışır, ancak IOS istismarı konusunda derin bir geçmişe sahip olmayan bir sızma test uzmanına yardımcı olmaz. Birkaç istisna dışında, bu durum üretim ortamlarında yaygın olarak açıkta kalan az sayıda hizmeti geride bırakıyor. Bu hizmetler arasında SNMP, Telnet, SSH ve HTTP bulunur. Ayrıca Finger’ın çalıştığını veya SIP ve H.323 gibi medya protokolleri için röle hizmetleri bulabilirsiniz. Uzaktan erişim için, çoğumuzun çalışması gereken ilk dört hizmettir ve hatta bu hizmetlerden herhangi birinin ağa açık olduğu düzgün yapılandırılmış bir yönlendirici bulmak nadirdir.

    Cisco IOS HTTP hizmetinde, işletim sisteminin eski sürümlerinde bilinen birkaç güvenlik açığı bulunmaktadır. Sızma test uzmanları olarak bizim için önemli olan iki güvenlik açığı da kimlik doğrulama atlatma ile ilgilidir. İlk güvenlik açığı olan CVE-2000-0945, IOS Aygıt Yöneticisi arayüzünde eksik kimlik doğrulama ile ilgilidir. Bu güvenlik açığı, web arayüzü üzerinden IOS kurulumuna kimlik doğrulaması yapılmamış, genellikle ayrıcalıklı erişim sağlar. İkinci güvenlik açığı olan CVE-02001-0537 ise, saldırganın HTTP hizmetine yapılan istekte “15”ten daha yüksek bir kimlik doğrulama düzeyi belirterek kimlik doğrulamasını atlamasına olanak tanır. Bu da web arayüzü üzerinden cihaza ayrıcalıklı erişim sağlar. Açık kaynaklı Metasploit Framework, bu güvenlik açıklarından yararlanmak için iki modül sunmaktadır:

    Metasploit Express ve Metasploit Pro, keşif taraması sırasında Cisco IOS HTTP servislerini otomatik olarak tanıyacak, bu iki güvenlik açığını kontrol edecek ve çalışan cihaz yapılandırmasına erişim sağlamak için bunları istismar edecektir.

    Bu iki bilinen güvenlik açığına ek olarak, cihaz şifresi HTTP servisine yönelik kaba kuvvet saldırısı yoluyla da belirlenebilir. HTTP protokolü, Telnet ve SSH gibi daha yavaş, terminal tabanlı servislere kıyasla kaba kuvvet saldırısına karşı nispeten hızlıdır. Metasploit Express ve Metasploit Pro, bir IOS cihazına yönelik başarılı bir HTTP kaba kuvvet saldırısından sonra çalışan cihaz yapılandırmasını otomatik olarak ele geçirecektir.

    Bahsetmek istediğim bir sonraki hizmet SNMP. Garip bir şekilde, SNMP genellikle güvenli yönlendiricilerde açıkta bırakılıyor. Bunun nedeni, SNMP’nin ne olduğu ve ne yaptığına dair genel algı olabilir. Basit Ağ Yönetim Protokolü, çok çeşitli sistemlerde standart bir formatta bilgi sorgulamak için harika bir araçtır. Anahtarlayıcınızı veya yönlendiricinizi kimin ürettiğinden bağımsız olarak, SNMP etkinleştirilmiş ve yapılandırılmışsa, hemen hemen her SNMP istemcisi ve izleme yazılımı bu cihazla çalışacaktır.

    Birçok ağ yöneticisinin farkında olmadığı şey, SNMP’nin ortaya çıkardığı bilgi derinliğinin yanı sıra, yazılabilir bir SNMP topluluğunun bir cihaz üzerinde tam kontrol sağlamak için kullanılabileceği gerçeğidir. Cisco IOS örneğinde, yazılabilir bir SNMP topluluğu, çalışan cihaz yapılandırmasını indirmek VE çalışan yapılandırmayı değiştirmek için kullanılabilir. Telnet devre dışı bırakılmış ve karmaşık bir seri parolaya sahip bir yönlendirici, yazılabilir bir SNMP topluluğu aracılığıyla neredeyse anında ele geçirilebilir. Metasploit Framework, geçerli toplulukları tanımlamak ve bunların salt okunur mu yoksa okuma-yazma mı olduğunu belirlemek için yaygın parolaların bir kelime listesini kullanabilen, yardımcı bir modül olarak yazılmış bir SNMP kaba kuvvet aracı sağlar. Temel kaba kuvvet modülüne ek olarak, Metasploit artık (topluluk katkıda bulunan “pello” tarafından gönderilen) yazılabilir bir SNMP topluluğunu kullanarak çalışan cihaz yapılandırmasını indirebilen bir modül içermektedir.

    Metasploit Express ve Metasploit Pro, savunmasız cihazların yapılandırma dosyalarını otomatik olarak ele geçirmek için bu iki modülü kullanır. Keşif taraması sırasında, SNMP kaba kuvvet aracı, yaygın toplulukların küçük bir kelime listesiyle arka planda başlatılır. Bu parolalardan herhangi biri çalışırsa ve topluluk yazılabilir olarak algılanırsa, ürün yerel bir TFTP hizmeti yapılandırır ve çalışan yapılandırma dosyasını indirir. SNMP protokolü artık ürünün akıllı kaba kuvvet bileşenine entegre edildiğinden, aynı durum kaba kuvvet çalıştırması sırasında tahmin edilen topluluklar için de geçerlidir. Kaba kuvvet bileşeni, proje için dinamik olarak oluşturulan parolalara ek olarak, son derece hassas bir topluluk listesi kullanır. Bu hassas liste, web formlarından yapıştırılan yapılandırma dosyalarını kazımayı, gömülü parolaları çıkarmayı ve kaba kuvvetle kırmayı ve ardından sonuçları analiz ederek en sık kullanılan parolaları (SNMP toplulukları dahil) belirlemeyi içeren bir araştırma projesinden türetilmiştir. Bu projenin sonuçları şaşırtıcıydı; Cisco dokümanlarında yer alan örnek bir yapılandırma nedeniyle “public@es0” ve “private@es0” ifadelerinin yaygın olarak kullanıldığını asla tahmin edemezdim.

    Son olarak ele almak istediğim iki protokol ise Telnet ve SSH. Bu protokollerin her ikisi de hedef cihazda uzaktan komut satırına erişim sağlar, genellikle ayrıcalıksız bir kullanıcı olarak. Sızma testi açısından en belirgin fark, SSH’nin genellikle uzaktan kullanıcı adı ve şifre bilgisi gerektirmesi, Telnet’in ise genellikle yalnızca şifreyle kimlik doğrulaması ile yapılandırılmasıdır. Metasploit Framework, bu protokollerin her ikisine de kaba kuvvet saldırısı yapmak için modüller içerir ve kaba kuvvet saldırısı başarılı olduğunda otomatik olarak etkileşimli bir oturum oluşturur.

    Metasploit Express ve Metasploit Pro, Telnet ve SSH protokollerini kullanan ağ cihazlarına yönelik saldırıları her zaman desteklemiştir, ancak en son sürümle birlikte, parola analizi araştırmamızdan elde edilen optimize edilmiş parola listesini kullanmaya başladılar. Bu, parola listesinin en üstüne bazı alışılmadık parolaların çıkmasına neden olur, ancak gerçek dünya yapılandırmalarına karşı son derece etkilidir. Çok fazla ayrıntı vermeden şunu söyleyebilirim ki, bazı İnternet Servis Sağlayıcıları (ISP’ler) müşteriye ait ekipmanları yapılandırmak için statik parolalar kullanmalarıyla ünlüdür.

    Cisco IOS cihazlarında Telnet veya SSH protokolleri aracılığıyla bir oturum kurulduktan sonra, ticari ürünlerdeki Kanıt Toplama özelliği otomatik olarak sürüm bilgilerini, aktif kullanıcı listesini alacak ve yaygın parolalar listesiyle etkinleştirme parolasını kaba kuvvet yöntemiyle kırmaya çalışacaktır. Toplama komut dosyası etkinleştirme erişimi elde edebilirse, çalışan yapılandırma da dahil olmak üzere sistemden ek bilgileri otomatik olarak dışa aktaracaktır.

    Yukarıda listelenen saldırılar yeni bir şey değil. Yeni olan, Metasploit kullanılarak kolayca gerçekleştirilebilmeleri ve ticari ürünlerin bunları birbirine zincirleyerek savunmasız cihazları otomatik olarak ele geçirebilme yeteneğidir. Bu saldırılar, mevcut kapsamımızın sadece bir uzantısı ve ticari ürünlerimizin gelecekteki geliştirme yol haritasında yer alanların bir ipucudur.

    Şimdiye kadar bahsetmediğim bir şey de, Cisco IOS yapılandırma dosyalarını ele geçirdikten sonra onlarla ne yaptığımızdır. Bu dosyalar, cihazın çalışan yapılandırmasını içerir; buna vty şifreleri, etkinleştirme şifreleri, VPN anahtarları, SSL sertifikaları ve WiFi kimlik bilgileri dahildir. Metaspoit, hassas verileri ayıklamak ve bunları bir güvenlik ihlalinin kanıtı veya çalınmış kimlik doğrulama bilgileri olarak saklamak için bu yapılandırma dosyalarını otomatik olarak ayrıştırır. Aşağıdaki ekran görüntüsü, Telnet vty şifresinin, ardından etkinleştirme şifresinin kaba kuvvet saldırısıyla kırılmasının ve ardından yapılandırmanın dökümünün ve ayrıştırılmasının çıktısını göstermektedir:

    Keşfedilen Cisco IOS cihazlarındaki güvenlik açıklarından yararlanma

    Metasploit Express ve Metasploit Pro, ağdaki diğer cihazlara erişim sağlamak için bu yapılandırma dosyalarından elde edilen kimlik bilgilerini otomatik olarak yeniden kullanabilir. Zayıf bir SNMP topluluğu aracılığıyla bir Cisco cihazını kırıp vty şifresinin “ciscorules!” olduğunu keşfederseniz, kaba kuvvet bileşeninin “yalnızca bilinen” profilini kullanarak bu şifreyi herhangi bir protokol üzerinden ağdaki diğer herhangi bir cihaza karşı otomatik olarak deneyebilirsiniz. Diğer cihazlara erişim sağladığınızda, yapılandırma dosyaları elde edilir ve tüm süreç yeniden başlar. Bir Cisco yönlendiricisinden alınan bir şifreyi bir intranet sitesinin giriş sayfasına kolayca uygulayabilir veya geleneksel bir güvenlik açığı yoluyla elde edilen bir şifreyi kullanarak çok sayıda ağ cihazına erişim sağlayabilirsiniz. Geliştirme hedeflerimizden biri, kullanıcılarımızın her zaman belirli bir ağdaki en zayıf halkayı belirleyip istismar edebilmelerini sağlamaktır.

    Bu yazının sonuna geldik, lütfen yeni özellikleri deneyin ve herhangi bir sorunuz veya iyileştirme öneriniz varsa yorumlar aracılığıyla bize bildirin.

  • Celer Bridge kripto para birimi, başka birinin akıllı sözleşmesi nedeniyle ortadan kayboldu

    Amazon ağ mühendislerinin üç saatlik hareketsizliğinin kripto para sahiplerine nasıl 235.000 dolara mal olduğundan bahsedelim.

    Amazon yakın zamanda bulut hizmetleri sağlamak için kullandığı IP adreslerinin kontrolünü kaybetti ve telekomünikasyon mühendislerinin ağın kontrolünü yeniden ele geçirmesi üç saatten fazla sürdü. Bu hata, bilinmeyen bir tarafın kullanıcılardan 235.000 dolar değerindeki kripto para birimini çalmasına izin verdi.

    Bilinmeyen saldırganlar, İnternet’in temel alanlararası yönlendirme protokolündeki bilinen güvenlik açıklarını kullanarak bir BGP oturumunu ele geçirerek yaklaşık 256 IP adresinin kontrolünü ele geçirdi. BGP, otonom sistemler olarak bilinen büyük ağlar tarafından diğer benzer ağlar veya ASN sistemleriyle iletişim kurmak için kullanılan bir protokoldür. Büyük miktarda veriyi dünya çapında gerçek zamanlı olarak yönlendirmedeki önemli işlevine rağmen BGP hala büyük ölçüde güvene dayanmaktadır; Bu, ağların ve sistemlerin hangi IP adreslerinin haklı olarak hangi ASN’lere ait olduğunu izlemesini engeller.

    SSL sertifikası verirken kimlik hatası yaptık

    Geçen ay, Birleşik Krallık ağ operatörü Quickhost.uk’ye ait olan 209243 nolu otonom sistem, birdenbire bgp aracılığıyla, kendi altyapısının diğer ASN’lerin, Amazon tarafından yönetilen en az üç ASN’den biri olan AS16509‘a ait /24 IP adres bloğuna erişmesinin en iyi yolu olduğunu duyurmaya başladı. Güvenliği ihlal edilen blok ayrıca, Celer Bridge kripto para borsası akıllı sözleşmelerinin kritik kullanıcı arayüzüne hizmet etmekten sorumlu bir alt alan adı olan cbridge-prod2.celer.network‘ü barındıran 44.235.216.69 IP adresini de içeriyordu.

    17 Ağustos’ta bilinmeyen kişiler, Letonya’daki GoGetSSL sertifika yetkilisine bu alt alan adını kontrol ettiklerini gösterebildikleri için cbridge-prod2.celer.network için TLS sertifikası almak amacıyla ilk kez BGP oturum ele geçirmeyi kullandı. Bilinmeyen kişiler daha sonra bu sertifikayı aynı alanda kendi akıllı sözleşmelerini barındırmak için kullandılar ve gerçek Celer Köprüsü olan cbridge-prod2.celer.network‘e erişmeye çalışan kişilerin ziyaretlerini beklediler.

    Siber güvenlik şirketi SlowMist’in raporuna ve tehdit istihbarat grubu Coinbase’in raporuna göre sahte sözleşme, 32 döviz hesabından toplam 234.866,65 dolar elde etmeyi başardı.

    BGP oturumunun ele geçirilmesi nedeniyle Celer Bridge kripto borsasının kaybı

    Coinbase’in bu olayla ilgili görüşü

    Kimlik avı sözleşmesi, birçok özelliğini taklit etmesi açısından resmi Celer Bridge sözleşmesine çok benzer. Kimlik avı sözleşmesinde açıkça tanımlanmayan herhangi bir yöntem için, çağrıları meşru Celer Bridge sözleşmesine yönlendiren bir proxy yapısı uygular. Proxy sözleşmesi her zincir için benzersizdir ve başlatma sonrasında yapılandırılır. Aşağıdaki komut, kimlik avı sözleşmesi proxy sözleşmesinin yapılandırılmasından sorumlu depolama yuvasının içeriğini gösterir:

    Kimlik avı akıllı sözleşmeleri için bir proxy sözleşmesinin saklanması

    Kimlik avı sözleşmesi kullanıcı fonlarını iki şekilde çalar:

    • Kimlik avı kurbanları tarafından onaylanan tüm jetonlar, 4 baytlık 0x9c307de6() değerine sahip özel bir yöntem kullanılarak kaldırılır.
    • Kimlik Avı Sözleşmesi, kurbanın jetonlarını anında çalmak için tasarlanmış aşağıdaki yöntemleri geçersiz kılar:
      • send() – tokenleri çalmak için kullanılır (ör. USDC)
      • sendNative() – yerel varlıkları (örneğin ETH) çalmak için kullanılır
      • addLiquidity() – tokenleri çalmak için kullanılır (ör. USDC)
      • addNativeLiquidity() – yerel varlıkları (örneğin ETH) çalmak için kullanılır

    Varlıkları daha önce BGP oturumunu ele geçiren kişinin cüzdanına yönlendiren ters mühendislik ürünü bir kod pasajı örneğini burada bulabilirsiniz:

    kripto para birimlerini çalmak için kullanılan bir parça akıllı sözleşme kodu

    Hey Amazon, ağ mühendisiniz nerede?

    Ağ izleme şirketi Kentik’ten Doug Madory tarafından bu grafiğin üst kısmındaki yeşil bölümlerde gösterildiği gibi, sahte BGP reklamı 17 Ağustos’ta 19:39 UTC civarında başladı ve birkaç saniye içinde önek tüm dünyaya yayıldı. Bilinmeyen nedenlerden dolayı önek duyurusu 20:22’de kaldırıldı, ancak iptal edildi ve sonraki iki saat içinde üç kez daha kaldırıldı.

    Celer Bridge BGP oturumu ele geçirme planı

    BGP rota reklamında 44.235.216.0/24 adresinin Amazon’un diğer ASN’lerinden biri olan AS14618’den kaynaklandığı ve AS20943 Quickhostuk üzerinden yönlendirilmesi gerektiği iddia edildi. Tüm İnternet’in Amazon IP adreslerini birkaç saniye içinde Quickhostuk ASN üzerinden yönlendirmesine neden olan bunun gibi yeni bir BGP duyurusu, bulut sağlayıcı tarafından derhal bir soruşturma yapılmasına yol açması gereken bir olaydır. Bilinmeyen nedenlerden dolayı Amazon, sahte BGP yönlendirme bilgisi reklamlarının başlamasından üç saatten fazla bir süre sonra saat 23:07’ye (yukarıdaki grafikte mor renkle gösterildiği gibi) kadar /24 bloğu için doğru yolu tanıtmaya başlamadı.

    Madory Perşembe günü şöyle yazdı: “Bu uyarıyı başka bir Amazon düğümünün görünümünden farklılaştıracak temel ayrıntı, yeni yukarı akışın BGP bakış açılarının %100’ü tarafından görülebilmesi olacaktır.” “Başka bir deyişle, bu yeni Amazon ön eki, nispeten bilinmeyen bu barındırma sağlayıcısı tarafından özel olarak paylaşıldı. Bu, Amazon NetOps ekibi arasında şüphe uyandırmış olmalı.”

    Amazon temsilcileri, son dokuz gün içinde bu gönderiyle ilgili yorum isteyen üç e-postanın hiçbirine yanıt vermedi. Gönderinin yayınlanmasının ardından bir Amazon sözcüsü, yorum talebindeki birden fazla hedef adresin tamamının devre dışı bırakıldığını ve şirketin e-postaları göz ardı etmediğini söyledi.

    Quickhostuk temsilcileri, sahte BGP yönlendirme bilgisi reklamlarının nasıl ve nerede ortaya çıktığını soran iki e-postaya yanıt vermedi.