Работа в Стамбуле

Метка: BGP MiTM

  • Ошибка инженера электросвязи Google привела к массовому угону IP трафика через BGP и отключению части интернета в Японии

    Ошибка инженера электросвязи Google привела к массовому угону IP трафика через BGP и отключению части интернета в Японии

    В прошлую пятницу, 25 августа 2017 года, интернет в Японии работал со значительными перебоями с 12:22 до 13:01 по местному времени. Виной тому стала ошибка сотрудников Google.

    Проблема заключалась в проколе динамический маршрутизации BGP и ошибке в его использовании. На текущий момент BGP является основным протоколом динамической маршрутизации в интернете. Он предназначен для обмена информацией о достижимости подсетей между так называемыми автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением.

    В пятницу специалисты Google (компании даже принадлежит собственный AS номер) допустили ошибку, неверно анонсировав блоки IP-адресов, принадлежащих японским провайдерам. В результате другие провайдеры, включая таких гигантов как Verizon, стали направлять трафик, предназначенный для Японии, на серверы Google, которые к этому не готовы.

    В результате в Японии оказались практически недоступны многие сервисы, включая правительственные и банковские порталы, системы бронирований и так далее. Более того, пользователи извне не могли подключиться к сервисам Nintendo, а также ряду торговых площадок, расположенных внутри страны.

    Хотя проблему устранили в течение часа, случившееся успело посеять панику среди японских пользователей. Местные СМИ сообщают, что расследованием инцидента уже занимается Министерство внутренних дел и коммуникаций Японии.

    По данным ресурса BGPMon (компания принадлежит OpenDNS и Cisco), специалисты Google напортачили с трафиком крупного провайдера NTT Communications Corp., который также поддерживает двух провайдеров поменьше, OCN и KDDI Corp. Суммарно NTT предоставляет услуги 7,67 млн частных лиц и 480 000 компаниями.

    Google угнал IP трафик Японии через BGP

    Согласно анализу специалистов BGPMon, в общей сложности сбой затронул 135 000 сетевых префиксов по всему миру, и более 24 000 из них принадлежали NTT, который пострадал от сбоя больше других. Представители Google и Verizon уже принесли официальные извинения, однако они так и не пояснили, был данный инцидент результатом сбоя оборудования или виной всему был пресловутый человеческий фактор.

  • Нарушитель угнал IP трафик провайдеров через BGP для получения BitCoin

    Нарушитель угнал IP трафик провайдеров через BGP для получения BitCoin

    Среди всех сделок с биткоинами в последнее время одна выделяется особо: угнать интернет-трафик почти двух десятков интернет-компаний специально для того, заполучить несколько сотен свежемайненых биткоинов? Это действительно нечто из ряда вон выходящее.

    Специалисты по информационной безопасности из компании Dell SecureWorks выявили ряд инцидентов, в которых нарушители перенаправили часть трафика как минимум 19 интернет-провайдеров, в том числе облачных провайдеров Amazon, Ростелеком, Мегафон, Вымпелком, УкртелекомDigitalOcean и OVH, чтобы получить криптовалюту.

    Каждый раз форвардинг трафика продолжался не более 30 секунд, нарушители осуществили 22 вброса маршрута с помощью пакета LOKI, каждый раз получая во временное управление вычислительные мощности майнинговых пулов. В частности, компьютеры из майнинг-пула перенаправлялись на другой командный сервер, который переводил сгенерированную криптовалюту на свой счёт.

    компьютеры из майнинг-пула перенаправляли на другой командный сервер, который переводил сгенерированную криптовалюту на свой счёт

    Нарушители специализировались на атаках именно против майнинг-пулов. В один из дней нарушителям удалось получить биткоинов и других видов криптовалюты, включая Dogecoin и Worldcoin, на сумму $9.000. Всего же за всё время деятельности они заработали около $83. 000.

    По мнению специалистов Dell SecureWorks, нарушитель применил атаку на BGP-маршрутизаторы — BGP hijacking, используя уязвимости в протоколе BGP (Border Gateway Protocol), который применяется для маршрутизации трафика между большими сегментами интернета. Для публикации ложных инструкций в таблицы маршрутизации BGP они также использовали взломанный аккаунт сотрудника одного из канадских интернет-провайдеров (возможно, сотрудник и сам причастен к этой сделке).

    Атаки осуществлялись с февраля по май 2014 года. Специалисты Dell SecureWorks не называют, какой конкретно интернет-провайдер оказался вовлечён в эту операцию.

    Техника атаки на BGP-маршрутизаторы известна давно. Например, в 2013 году другой нарушитель использовал этот метод для перенаправления части американского интернет-трафика в Исландию и Беларусь также для получения криптовалюты BitCoin в огромных количествах.

  • Как проверить, что полезная нагрузка может подключиться к машине с Metasploit, расположенной за NAT

    Как проверить, что полезная нагрузка может подключиться к машине с Metasploit, расположенной за NAT

    Если вы проводите тестирование на проникновение и работаете в сети, где раздается NAT, например из дома через маршрутизатор беспроводной сети, то вам необходимо настроить проброс портов на своем маршрутизаторе, чтобы полезная нагрузка могла подключиться к машине с Metasploit.

    Лучшим вариантом было подключиться к Интернету напрямую с белым IP адресом, но это слишком затратно. Настройка переадресации портов не так уж и сложна, но проверить её работоспособность может быть немного сложнее. Жалко только что данный подход нельзя использовать при работе через 3G модем, потому как ему изначально присваивается серый IP адрес и конечно же доступа к маршрутизатору провайдера для настройки проброса портов у вас нет.

    В нашем случае виртуальная машина с установленным Metasploit Pro имеет IP-адрес 192.168.1.169. Выберем порт 4444 в качестве рабочего порта для нашей полезной нагрузки, чтобы избежать путаницы. Я буду показывать пример на маршрутизаторе Asus, ваш маршрутизатор конечно же может иметь другую Web-морду.

    Мой маршрутизатор не поддерживает диапазон для проброса трафика на локальный порт, в противном случае я мог бы указать диапазон 1024-65535 и для внешнего диапазона портов и внутренних локальных портов. Это дало бы полезной нагрузке большее количество портов для возможности обратного подключения, что увеличивает возможное количество сплоитов, которые одновременно вы могли бы запустить на удаленной машине. Не стесняйтесь экспериментировать с этим, если ваш маршрутизатор поддерживает это — это сделает ваш тест на проникновение быстрее и даст вам больше шансов на успех, но мы сработаем через один единственный порт, который я уже назначил.

    Теперь давайте проверим, как работает наш проброс портов на маршрутизаторе, который мы настроили. Для этого во вкладке Модули найдем модуль «Generic Payload Handler»:

    Запускаем этот модуль. Теперь нам нужно узнать наш публичный адрес IP. Это можно либо посмотреть в настройках маршрутизатора, или перейдите на internet.yandex.ru
    Вводим этот адрес в поле Listener Host, оставляем список портов слушателя по умолчанию 4444-4444. Вы должны использовать диапазон, а не значение, в противном случае модуль не будет работать. Запускаем модуль. Теперь у нас есть активный слушатель, работающий на Metasploit машине, и порт 4444, который проброшен на эту же машину.

    Теперь проверим, работает проброс портов или нет. На сайте www.canyouseeme.org введем порт 4444 в поле и нажмем Can You See Me кнопку. Если все сделали правильно, то вы увидите сообщение что-то вроде этого:

    Если вы получаете сообщение, что порт не доступен, это может быть потому, что порты могут быть заблокированы провайдером в некоторых случаях.

    Перед тем, как начать с тест на проникновение, вы должны остановить Generic Payload Handler задачу. Теперь при выборе сплоита вы должны указывать Listener Port 4444.

  • Угон IP трафика при помощи BGP и перехват транзакций биткоин сети

    Бывший контрактник АНБ и сотрудник Booz Allen Hamilton и эксперт в области компьютерных сетей Эдвард Сноуден на днях рассказал о том, что протокол BGP

    , который используется во всех мощных маршрутизаторах интернета, перекачивающих и направляющих данные в 130 тыс. сетей, нуждается в серьезном внимании. Этот протокол был разработан очень давно, и в нем никак не учитываются современные требования к обеспечению безопасности сетей, сообщил Сноуден.

    С помощью протокола BGP маршрутизаторы могут обмениваться информацией о наиболее эффективных путях доставки пакетов данных из одной сети в другую. При этом, однако, в большинстве случаев никакой взаимной аутентификации не производится. То есть какой угодно маршрутизатор может направить любому другому маршрутизатору совершенно произвольный маршрут передачи пакетов, и никакой проверки правильности этого маршрута проводиться не будет.

    Поэтому в случае, если нарушитель получит доступ к маршрутизатору и изменит его настройки, он получит возможность произвольным образом перенаправлять трафик из одной сети в другую. Если нарушитель решит вывести из строя какую-либо сеть, ему достаточно будет направить в нее большой объем трафика. В результате атаки работа целевой сети замедлится, а то и вовсе прекратится.

    Такой доверчивости маршрутизаторов необходимо положить конец, считает Сноуден. В настоящее время организация Internet Engineering Task Force ведет разработку обновленной версии протокола BGP, в которой будут заложены механизмы идентификации маршрутизаторов и другие средства обеспечения безопасности. И хотя переход на новый протокол влетит провайдерам и операторам сетей в копеечку, он является жизненно необходимым, полагает эксперт.

    Хочу добавить, что в последнее время чрезмерная доверчивость маршрутизаторов часто используется различными дельцами для изменения маршрутов трафика в сети интернет и перехвата биткоин транзакций. По статистике 8 — 10% от общего числа транзакций сети Bitcoin перехватывается нарушителями.