Daha önce bilinmeyen bir Bitcoin ve Ethereum yatırımcısı, BGP protokolünü, BGP sahtekarlığı komut dosyalarını ve bir BGP oturum ele geçirme uygulamasını kullanarak, Amazon Route 53 DNS trafiğini Rusya’daki web sunucusuna başarıyla yönlendirdi. Bu durum, meşru MyEtherWallet.com web sitesinin birkaç saatliğine farklı görünmesine ve kripto paranın üçüncü taraf bir Ethereum web cüzdanına aktarılmasına neden oldu. Bu taktik bazen “kötü ikizleme” olarak adlandırılır.
MyEtherWallet web sitesinin bir klonunu kullanan bir kimlik avı saldırısı, iki saat içinde 215 ETH değerinde kripto paranın çalınmasına yol açtı.
Sahte rota değişikliği, ABD’nin Columbus şehrinde bulunan büyük bir internet servis sağlayıcısı olan eNet AS10297 adına gerçekleştirildi. BGP oturumunun ele geçirilmesinin ve yeni BGP rota duyurularının yayınlanmasının ardından, Level3, Hurricane Electric, Cogent ve NTT gibi büyük sağlayıcılar da dahil olmak üzere eNet’e komşu tüm düğümler, trafiği saldırganlar tarafından belirtilen rota üzerinden Amazon Route 53’e yönlendirmeye başladı. Sahte BGP duyurusu nedeniyle, Amazon alt ağlarına (yaklaşık 1300 IP adresi) yapılan istekler iki saat boyunca saldırgan tarafından kontrol edilen ve Chicago’daki bir Equinix veri merkezinde bulunan bir sunucuya yönlendirildi; burada DNS yanıtlarını taklit etmek için bir “ortadaki adam” saldırısı gerçekleştirildi.
Sahte DNS ayarları nedeniyle, MyEtherWallet.com kullanıcıları, kendinden imzalı bir HTTPS sertifikası kullanan sahte bir web sitesine yönlendirildi ve bu da tarayıcıda güvenlik sorunlarıyla ilgili uyarılara neden oldu. Bu durum, bilinmeyen bir yatırımcının mevcut döviz kuru üzerinden yaklaşık 137.000 dolarlık kripto parayı cüzdanlarına aktarmasını engellemedi. Eğer meşru kullanıcı kimlik avı sitesinde başarılı bir şekilde kimlik doğrulamasını tamamladıysa, tüm fonları MyEtherWallet’ten çekildi. Saldırganın veya işlemleri gerçekleştiren yatırımcı olarak kabul edilebilecek kişinin çok zengin bir birey olduğu ortaya çıktı: Saldırı sırasında transferlerin yönlendirildiği ETH cüzdanlarından birinde şu anda 24.276 ETH bulunuyor, bu da 15 milyon dolardan fazla bir değere denk geliyor.
Saldırganlar, kurbanların bir uyarıya tıklamasını gerektiren özel bir sertifika yerine, tarayıcı tarafından güvenilen bir TLS sertifikası almış olsalardı, çalınan miktar muhtemelen daha yüksek olurdu.
Bazı siber güvenlik araştırmacıları, büyük bir internet servis sağlayıcısının BGP yönlendiricisine erişimin ve büyük miktarda DNS trafiğini yönetme kaynaklarının, saldırının MyEtherWallet.com dolandırıcılığıyla sınırlı olmadığını gösterebileceğine inanıyor; saldırıda kullanılan bilinmeyen bir yatırımcının ETH cüzdanına yapılan sürekli transferler de bu hipotezi destekliyor.
Açıkçası, BGP oturum ele geçirme saldırıları sonucu IP adreslerinin kontrolünü kaybeden tek bulut operatörü Amazon değil. BGP’nin beceriksiz yapılandırma hatalarına ve açık dolandırıcılığa karşı savunmasızlığı yirmi yılı aşkın süredir ortada. Sonuç olarak, bu güvenlik eksikliği telekomünikasyon sektöründe sektör genelinde bir sorundur ve Amazon tek başına bunu çözemez.
Telekomünikasyon ağları, en önemli kritik altyapı varlıklarımızdan biridir. Aslında, diğer tüm kritik altyapı alanları (örneğin ICS/SCADA) çalışması için telekomünikasyon kritik altyapısına bağımlıdır. Bu sunumda, son zamanlardaki BGP ön ek ele geçirme saldırılarına atıfta bulunarak, sınır ağ geçidi protokolü (BGP) hizmetleri için telekomünikasyon mimarileri ve operasyonlarına hızlı bir genel bakış sunacağız.
Ardından, çok protokollü etiket anahtarlama (MPLS) ağlarının telekomünikasyon ağlarında nasıl saldırıya uğrayabileceği konusuna geçeceğiz. MPLS ağları da BGP’ye benzer şekilde saldırıya uğruyor olabilir mi? Birisi MPLS ağlarını nasıl hedefleyebilir?
MPLS tartışması, MPLS VPN’leri ve MPLS trafik mühendisliği mimarileri ve operasyonlarına genel bir bakış sunacak ve referans olarak etiket trafiğinin paket yakalamalarını içerecektir. MPLS ağlarını hedeflemeye yönelik saldırı vektörlerinin yanı sıra, MPLS ağlarından istihbarat toplamak için birkaç yeni fikir ele alınacaktır. BGP ve MPLS ağlarının izlenmesi ve güvenliğinin sağlanmasına yönelik öneriler de tartışılacaktır.
Temel Fikirler
Ağ sınırlarının genişlemesi – yerel altyapıdan küresel ağlara doğru bir geçiş yaşanıyor. Bir ağ küresel ölçekte genişledikçe, tüm internetin temelini oluşturanlara benzer eşleştirme anlaşmalarına dayanmaya başlıyor.
Şifre güvenliği sorunu – geleneksel şifreler artık koruma sağlamıyor (“şifreler artık işe yaramaz”). Bir saldırgan ağa erişim sağlarsa, VPN veya şirket web siteleri aracılığıyla kolayca giriş yapabilir.
İki faktörlü kimlik doğrulama (2FA) ihtiyacı – iki faktörlü kimlik doğrulama şiddetle tavsiye edilir – şifrelerin kolayca ele geçirilmesine veya VPN aracılığıyla ağınıza yetkisiz erişime karşı korunmanın tek etkili yoludur.
“Köy ağları” (sezgisel veya geleneksel olmayan bir ağ oluşturma yaklaşımı) nedir ve ICS (endüstriyel kontrol sistemi) cihaz güvenliğinin özellikleri nelerdir?
Bugün ortaya atılan sorun her zamankinden daha önemlidir. Buluta geçiş ve ağların küreselleşmesi, saldırı yüzeyini önemli ölçüde artırmıştır. İşte bu görüşü destekleyen birkaç önemli nokta:
Şifre Paradigmasının Çöküşü: Şifrelerin artık geçerliliğini yitirdiğine tamamen katılıyorum. Sosyal mühendislik, kimlik avı ve güçlü kaba kuvvet saldırıları çağında, yalnızca düz metin bir anahtara güvenmek teknik ihmaldir. İki faktörlü kimlik doğrulama (MFA/2FA) artık “isteğe bağlı bir ek özellik” değil, temel bir güvenlik hijyen standardıdır.
Bulut Güvenliğinin Karmaşıklığı: Bir şirket “yerel ayak izini” küresel ölçeğe genişlettiğinde, trafiği izlemek son derece zorlaşır. Yazarın da belirttiği gibi, saldırganların VPN kullanması, meşru kullanıcılar gibi görünmelerine olanak tanır. Bu, “çevre” içinde veya dışında olmasına bakılmaksızın her bağlantının doğrulanması gereken Sıfır Güven kavramının önemini vurgular.
Eğitimsel Yön: Siber güvenlik sadece bir yazılım sorunu değil, aynı zamanda bir personel yeterlilik sorunudur. Çoğu zaman, güvenlik açıkları kötü algoritmalardan değil, temelleri (bu “etiket ağaçları” veya protokol özelliklerini) anlamayanların yanlış ağ yapılandırmasından kaynaklanır. “Bizim” ve “onların” ağları arasındaki sınırların bulanıklaştığı bir dünyada yaşıyoruz. İki faktörlü kimlik doğrulama (2FA) kullanmıyorsanız ve VPN ağ geçitlerinizi kontrol etmiyorsanız, altyapınız ağa sızmak için minimum çaba sarf eden herkese açık hale gelir. Bu sayfadaki video, eski ağ güvenliği yöntemlerinin artık işe yaramadığının sert ama gerekli bir hatırlatıcısıdır.
Как показывает стабильный рост числа инцидентов, система Интернет-маршрутизации не так безопасна, как мы бы того желали.
Давайте для начала разберемся, что собственно представляет из себя интернет маршрутизация. Маршрутизация основана на автономных системах (AS), которые обмениваются префиксами (диапазоны IP адресов) используя Border Gateway Protocol (BGP). Автономные системы это первые и главные интернет провайдеры (ISP). Но некоторые организации подключены к двум или более провайдерам одновременно. IP адреса, которые ISP выдают своим клиентам, сгруппированны в относительно небольшое число префиксов, покрывающих большие адресные блоки. Эти префиксы “анонсируются” или “рекламируются” через BGP в AS. Префиксы идут от AS к AS, так что в конце концов весь Интернет знает, куда отсылать пакеты с данным адресом назначения.
Понятие BGP (Border Gateway Protocol, протокол граничного шлюза) было более осязаемо 20 лет назад, когда слово “шлюз” использовалось для название того, что мы сегодня называем маршрутизатор. Итак BGP это протокол, используемый между пограничными маршрутизаторами – роутерами, которые находятся на периферии соседствующих автономных систем. AS представляют собой иерархию, которая выглядит примерно таким образом:
Между поставщиками Интернет-услуг (ISP) и потребителями услуг показаны отношения сверху вниз: пользователь платит провайдеру. Пунктирные линии показывают отношения, где трафик обменивается без участия денежных операций. При такой экономической модели трафик идет вверх по иерархии, затем в сторону и в конце концов вниз. Маршруты, которые ведут в сторону, затем вниз или вверх, а потом опять в сторону возникают только тогда, когда кто-либо предоставляет бесплатные услуги, что случается довольно таки редко.
Таким образом, AS 6 может идти к AS 5 по маршруту 6 – 3 – 1 – 2 – 5, где AS 6 платит AS 3, который в свою очередь платит AS 1, при этом AS 5 оплачивающем услуги AS 2. Получается, что все ISP получают деньги, даже несмотря на то, что AS 1 не платит AS 2. Однако маршрут 6 – 3 – 4 – 2 – 5 не действенен для доставки трафика от AS 6 к AS 5. В этом случае, AS 4 пришлось бы платить AS 2 за этот трафик, но так как AS 3 ничего не платит AS 4, получилось бы, что AS 4 предоставляет свои услуги бесплатно. С другой стороны, маршрут 6 – 3 – 4 – 8 от AS 6 к AS 8 работает нормально, так как AS 8 это клиент AS 4 и следовательно AS 8 оплачивает AS 4 входящий трафик.
Сам по себе BGP не в курсе денежных проблем. В своем дефолтном состоянии BGP поверит всему и с радостью предоставит услуги бесплатно. Чтобы этого избежать, BGP-маршрутизаторы должны обладать фильтрами, которые удостоверяются, что только корректная информация передается по протоколу. В дополнении, “реклама” префиксов, являющаяся способом BGP привлекать входящий трафик, должна высылаться только в соответствии с бизнес отношениями.
Зная то, как автономные системы взаимосвязаны с другими автономными системами, будь то клиент/ISP соединение или равноправный информационный обмен, можно точно узнать, как может быть достигнута искомая точка назначения из любого источника. Также, необходимо знать какой диапазон IP адресов принадлежит к какой AS. Расчеты перемаршрутатизации после неудачи несколько усложняют дело, но это не слишком большая проблема.
Знание графа сети и отношений префиксов AS позволило бы создать фильтры, которые утверждали бы информацию, получаемую через BGP и отклоняли некорректную или ложную информацию. Есть специальные базы данных маршрутизации, где отмечается такая информация. К сожалению, не всегда удается пополнять их и информация зачастую ненадежна. IETF и региональные регистраторы, которые раздают IP адреса и AS номера, сейчас работают над базой данных и инфраструктурой сертификатов, которые как раз позволили бы это делать. Хотя пока это только разработки.
Как бы то ни было, где же эти сервера?
Операторы сети просто напросто сами не знаю где находится сервера CNN, в Атланте или в Пекине. И когда приходит обновление BGP, утверждая последнее, у провайдеров – точнее у их роутеров, нет другого выбора: им приходится устанавливать обновления и посылать трафик в новом направлении. 999 раз из 1000 перемаршрутизация это вполне обыденное явление. Но 1 раз это все-таки либо ошибка, либо какого-нибудь рода атака.
В 1990 году, случился как раз такой инцидент, который послал трафик в Китай. При этом сетевые инженеры потратили часы, решая проблему. На сегодняшний день подобные случаи это обычное дело. В результате ряд систем мониторинга доступен по всему Интернету. И они постоянно контролируют ситуацию, которая не может остаться незамеченной.
Это ведет к неприятному состоянию когнитивного диссонанса. С одной стороны, непостижимо, как Интернет-маршрутизация может быть столь наивной. С другой стороны, ведь в большинстве случаев она работает. Исправление ситуации было бы делом непростым, дорогим и окупилось бы далеко не сразу.
(Я пошел на мое первое IETF собрание в 2002 году, когда в разработке находилась система маршрутизации inter-AS. Я помню у нас был ланч в пицеррии в Атланте. Было 20 человек из Cisco, которые все время неистово изображали топологию сетей на салфетках. К этому времени уже было два предложения для того, чтобы сделать BGP более безопасным: S-BGP от BBN и soBGP от Cisco. Вот уже почти десять лет прошло в спорах о том, какое из этих предложений лучше и вообще стоит ли что-нибудь предпринимать… Но результатов как не было так и нет…)
Не стоит недооценивать сложности, возникающие при обеспечении безопасности Интернет маршрутизации. Что если сертификат используемый S-BGP или soBGP истечет? Если это означает, что соединение будет прервано, пожелаем успехов в скачивании нового сертификата…
Маршрутизация это критическая система реального времени. В таких системах традиционная модель отключения не подтвержденных систем не работает. Когда система работает, важно использовать механизмы безопасности, чтобы не позволить хакерам подорвать ее работу. В то же время важно, чтобы сами механизмы безопасности не вставали на пути исправления проблемы, когда происходят сбои в системе или сбой близок. К сожалению, существующие меры безопасности не имеют такого баланса.
Спасает маршрутизацию то, что большинство ISP тщательно фильтруют то, что клиенты им присылают. И если я настрою свой BGP-маршрутизатор сообщить моему провайдеру, что я владелец IP адреса Windows Update, то мой ISP должен проявить бдительность и игнорировать подобную BGP “рекламу”. И так как между ISP и клиентами имеют место быть бизнес-отношения, обе стороны заинтересованы быть в курсе всех последних изменений в префиксах.
Однако как только некорректная информация перешла границу клиент/провайдер, она быстро распространится по равноправным соединениям практически не встречая никаких преград на своем пути. Это происходит потому, что на данный момент нет никакой официальной базы данных маршрутизируемой информации. Единственный способ ISP отфильтровать равноправных ISP – это постоянный обмен обновленным данным по принципу тет-а-тет. Но по причине постоянной смены клиентов и введения новых префиксов, большого количества пиров у крупных ISP – это способ просто неосуществим.
Китайская маршрутизация
Так что же на самом деле случилось в Китае, что повлекло перенаправление маршрутов 15% Интернет-префиксов – а не 15% трафика – на эту страну в апреле? И был ли это несчастный случай или что-то более опасное? Я не был в офисе China Telecommunications Corporation и не наблюдал за случившимся лично, поэтому не могу сказать наверняка, был ли это дьявольский и совершенный план или очень глупая ошибка сетевого инженера. Но я порассуждаю на эту тему позже, не только из-за принципа “Лезвия Хэнлона” (“Никогда не приписывайте злонамеренности тому, что вполне может быть объяснено глупостью”).
Обычный сбой протокола BGP – утечка всей таблицы маршрутизации. В настоящее время существует 341 000 Интернет-префиксов, образующих Интернет, и чтобы работать со всеми ними BGP-маршрутизатору нужно иметь их все в таблице маршрутизации. Если по какой-либо причине BGP-маршрутизатор не имеет никаких фильтров, он просто отправляет всю копию этой таблицы всем маршрутизаторам в соседних автономных системах, к которым он подключен.
Утечка всей таблицы – ошибка, которая случается достаточно часто, и, казалось бы, это и произошло в Китае. Но вот что могло иметь место на самом деле.
После обновления фильтра, он может перестать функционировать. Обычно, такое случается с фильтром “максимального префикса” последней инстанции – это останавливает сессию BGP если получено большее количество префиксов нежели возможно. Но, даже не беря в расчет это, подобная утечка должна была быть не настолько разрушительной, потому что обход через (например) Китай означает преодоление дополнительных автономных систем, а BGP предпочитает долгим путям короткие. Это обусловлено тем, что для каждого префикса автономные системы на пути к адресу назначения записываются в “AS путь” – самый короткий путь по количеству автономных систем.
Однако простая утечка целой таблицы, или хотя бы большей ее части, в данном случае была осложнена любопытным проектным решением China Telecom. Это решение наводит на мысль, что China Telecom очистила AS путь от всех префиксов, которые утекли и таким образом наилучший путь к американским сайтам начал пролегать через китайского провайдера. С точки зрения клиентов China Telecom, адрес назначения, например, CNN, находился внутри сети China Telecom, а не просто достигался через эту сеть.
Поэтому относительно многие автономные системы начали отдавать свой трафик Китаю. Освобождение AS путей случается когда информация из BGP экспортирована в другой протокол маршрутизации, используемый локально, а потом возвращается обратно в BGP. Такая практика кажется опасной из-за подобного обсуждаемого здесь ранее инцидента. К тому же нет никакого логичной причины зачем делать это – есть правда несколько нелогичных – но я не могу допустить мысли, что такое могло произойти совершенно случайно.
Таким образом утечка целой таблицы BGP или ее части сама по себе не настолько подозрительна, хотя провайдерам размера China Telecom следовало бы в этом разбираться лучше. Но то, что AS пути были очищены, можно расценить как причину для умеренного подозрения.
Если бы я был еще большим параноиком, я бы, тем не менее, начал искать в Интернете неправильные префиксы/комбинации автономных систем, которые случайно проявлялись бы на некоторое время. Тот, кто хочет перехватить трафик, наверняка бы создал несколько серверов и BGP-маршрутизаторов в дата-центрах с хорошей связью, а потом попытался бы посмотреть, какой Интернет-провайдер дает сбой в фильтрации. С таким провайдером нацеленная атака могла бы вызвать перемаршрутизацию трафика гораздо дольше чем на 18 минут. Перенаправление префиксов Северной Америки внутри самой Америки выглядело бы менее подозрительно, чем перенаправление их в Китай.
Пока мы ждем появления какой-то формы безопасности для BGP, мы все должны задуматься о том, что бы случилось, если бы адреса удаленных систем, с которыми мы общаемся, были перенаправлены и наш трафик был бы перехвачен. Шифрование и закрытая аутентификация типа HTTPS или VPN защищают от этого. Однако есть проблема и в шифровании: центрам выдачи сертификатов нельзя так уж доверять. А как справиться с этим – расскажу в следующий раз.
Исследователи обнаружили недавно новый банкер для Android процессинга, который может переводить деньги со счёта холдера без его ведома, передавая на устройство дроповода данные, считанные через NFC чип смартфона. Банкер, получивший название NGate, позволяет эмулировать карты терпил, совершать несанкционированные платежи или даже снимать наличные в банкоматах.
По данным специалистов, NGate активен с ноября прошлого года и связан с недавними участившимися случаями использования Progressive Web Application (PWA) и WebAPK для процессинга с использованием банковских учетных данных у пользователей из Чехии. Также исследователи пишут, что в ряде случаев NGate применялся для прямого снятия наличных со счёта холдера в банкомате без его ведома.
Процессинг с помощью нового банкера начинается с рассылки SMS-сообщений, автоматизированных звонков с заранее записанными сообщениями или Google-рекламы. Все это должно вынудить холдеров установить на свои устройства PWA, а затем банкер WebAPK, как исследователи уже описывали в прошлом отчете.
Такие приложения не требуют никаких разрешений при установке и используют API браузера, в котором запускаются, чтобы получить необходимый доступ к аппаратному обеспечению устройства, в том числе к NFC чипу.
После установки WebAPK терпилу хитростью вынуждают установить еще и NGate, и банкер активирует опенсорсный компонент NFCGate, который был разработан академическими исследователями для экспериментов с NFC. Этот инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования и далеко не всегда требует root-доступа для работы.
Банкер применяет NFCGate для перехвата данных NFC с платежных карт, находящихся в непосредственной близости от заряженного таким образом устройства под управлением ОС Android, а затем передает информацию на устройство дроповода (напрямую, либо через специальный сервер).
В итоге дроповод получает возможность сохранить эти данные в виде виртуальной банковской карты на своем смартфоне, а затем воспроизвести сигнал в банкомате, поддерживающем NFC для снятия наличных, или совершить PoS-платеж в точке продаж или супермаркете.
Хотя для снятия наличных в большинстве банкоматов потребуется PIN-код, исследователи уверены, что узнать его нетрудно с помощью банальной социальной инженерии. К примеру, после того как нужный PWA/WebAPK уже установлен, дроповод звонит холдеру, притворяясь сотрудниками банка, и сообщают о некой проблеме с безопасностью. Затем он отправляет терпиле SMS со ссылкой для загрузки NGate, выдавая банкер за специальное приложение для верификации существующей банковской карты и PIN-кода.
После того как холдер просканирует своюю карту заряженым устройством и введет PIN-код для «верификации» в NGate, конфиденциальные данные будут переданы дроповоду.
В приведенном ниже видео специалист Лукас Стефанко (Lukas Stefanko) демонстрирует, что компонент NFCGate в NGate также может использоваться для сканирования и перехвата данных карт в кошельках и рюкзаках окружающих дроповода людей в метро и прочьих людных местах.
Специалист отмечает, что помимо этого банкер может использоваться для клонирования уникальных ID некоторых NFC-карт доступа и токенов, что может помочь дроповоду проникнуть в закрытые зоны режимных объектов.
Эксперты сообщают, что евромундиры уже взяли одного дроповода, осуществлявшего такие операции в Праге. Однако исследователи опасаются, что эта тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android.
Также в экспертных кругах подчеркивают потенциальную опасность, возникающую при клонировании карт доступа, транспортных билетов, ID-бейджей, членских карт и других NFC-носителей, объясняя, что процессинг фиатных денег в данном случае — далеко не единственный негативный сценарий.
Для защиты от таких операций эксперты советуют отключать NFC на смартфоне, если он не используется постоянно. Также рекомендуется внимательно изучить все права доступа приложений и отозвать лишние, устанавливать банковские приложения только с официального сайта финансового учреждения или из официального магазина Google Play Store, а также убедиться, что используемое приложение не является WebAPK.
