İstanbul'da iş ilanları

Tag: cybersecurity

  • WP-VCD сеть для накрутки показов и скликивания рекламы

    WP-VCD сеть для накрутки показов и скликивания рекламы

    Наши специалисты недавно опубликовали новое исследование, посвященное методам работы сети накрутки показов и скликивания рекламы WordPress-ботнета WP-VCD.

    Эта сеть активна с начала 2020 года, и её основная деятельность — управление сетью из 20 000 сайтов с «бесплатными загрузками», через которые распространяются пиратские коммерческие темы для WordPress. Пользователям, которые загружают такие пиратские темы, конечно же неизвестно, что те содержат бэкдор, который позволяет группе накрутчиков рекламы WP-VCD захватывать контроль над их сайтами.

    сеть для скликивания рекламы

    Скомпрометированные таким образом web-сайты используются для перенаправления посетителей на сайты нарушителей, где размещаются фишинговые страницы или что-то ещё. Но помимо этого WP-VCD также внедряет на ломаные сайты рекламу Google AdSense, чтобы получать доход еще и с помощью рекламных схем (оплата за каждый показ или за каждый клик).

    Однако, по данным множества исследований, в настоящее время примерно 30-45% всех пользователей интернета используют блокировщики рекламы, что, разумеется, негативно сказывается и на рекламных доходах группировки WP-VCD.

    Наши исследователи рассказывают, что группировка не сидит сложа руки и уже отреагировала на эту тенденцию. Теперь накрутчики показов интегрируют в свой софт скрипт антиблокировщика, который помогает обходить механизмы обнаружения рекламы, используемые современными расширениями для блокировки рекламы, и показывать рекламу на сайтах несмотря ни на что. Причем, по мнению экспертов, члены группы использовали для этих целей скрипт, который был размещен в сети еще в 2017 году.

  • Російські бази даних як і раніше вразливі

    Російські бази даних як і раніше вразливі

    Наразі Кримінальний Кодекс Російської Федерації передбачає покарання за незаконне збирання та розповсюдження в мережі інформації про приватне життя, а також за незаконний доступ до комп’ютерної інформації, у тому числі за її копіювання, пояснює Марков. Крім того, за його словами, періодично до кримінальної відповідальності притягують людей, які зливають інформацію про зміст листування та дзвінків, наприклад співробітників мобільних операторів, які продають інформацію про білінг абонентів.

    За нелегальну передачу персональних даних третім особам у Росії тепер садитимуть

    Але поширення інформації, яка не стосується приватного життя і не була отримана незаконно самим її розповсюджувачем, поки злочином не є її лише вправі заблокувати Роскомнагляд. Автори нового законопроекту пропонують запровадити кримінальну відповідальність просто за поширення інформації, що міститься у злитих базах персональних даних, каже юрист.

    Для цього правоохоронцям достатньо довести лише факт розповсюдження відомостей про персональні дані, раніше незаконно отримані третіми особами. Марков наводить приклад із витоком бази «Яндекс.Еди» — наприклад, «Яндекс» допустив витік, а тепер ці дані поширюються вже будь-ким і особливого покарання за це зараз у законодавстві в принципі не передбачено

    «З одного боку це дозволить притягати до відповідальності продавців баз даних. Але очевидно, що такі люди приховують свою діяльність, тому навряд чи основна практика застосування нової статті зосередиться саме на них. Більш явними виглядають ризики для журналістів, які займаються розслідуваннями, аналізуючи широко доступні, але не завжди законно опубліковані бази даних», — каже Марков.

    Заборона, за словами юриста, стосуватиметься будь-яких людей, які розповсюджують інформацію, але для журналістів, які займаються проектами на кшталт «Панамського архіву», «Досьє Пандори» та іншими розслідуваннями, ризики вищі, оскільки саме вони професійно працюють із базами, публікують інформацію та до того ж, самі є публічними особистостями, так що їх легко знайти.

    Ілля Шуманов зазначає, що нова стаття Кримінального кодексу може бути використана з репресивною метою також для переслідування цивільних активістів та аналітиків. Після ухвалення цього закону теоретично проблеми можуть виникнути у будь-якої людини, якщо у нього в телефоні раптом виявився скан чужого паспорта і він не може довести, що ця інформація використовувалася ним у сімейних чи особистих цілях, вважає Шуманов. «Поняття персональних даних у нас розмите. І фактично під нього може потрапити будь-яка інформація», — наголошує він.

    Він зазначає, що під дію законопроекту підпадають сервіси, які надають доступ до персональних даних на запит — «телеграм-боти, сервіси пробива, на кшталт “Око Бога” та йому подібні». При цьому, за словами Шуманова, навряд чи ці сервіси перестануть функціонувати після набуття чинності новою статтею Кримінального кодексу. “У правоохоронних органів вистачає інструментів для того, щоб боротися з ними блокуваннями, кримінальним переслідуванням, але вони не можуть впоратися”, – зазначає Ілля Шуманов.

    Ризики для тих, хто наважиться опублікувати щось відкрито на основі витоку даних зростають, а загрози для хакерів, як і раніше, немає, підтверджує адвокат, який спеціалізується на захисті цифрових прав. Він посилається на відкриті дані, судячи з яких злитих баз даних останнім часом стало значно більше, а про залучення осіб, справді пов’язаних із витоками, нічого не відомо.

    Як зазначив адвокат, «заборонені» персональні дані спецкатегорій — про расову, національну приналежність, політичні погляди, релігійні чи філософські переконання, стан здоров’я, інтимне життя, а також біометричні персональні дані, найчастіше збирають саме силовики. Про це, наприклад, докладно розповідав проект «Мережеві свободи».

    Діяльність журналістів захищена законом «Про персональні дані» — у ньому прямо передбачено, що опрацювання даних допускається для здійснення професійної діяльності журналіста, ЗМІ, а також наукової, літературної чи іншої творчої роботи, звернув увагу адвокат. Але автори законопроекту про це в пояснювальній записці замовчують, чи на практиці враховуватимуться закріплені цим законом права журналістів та ЗМІ — невідомо, зазначає він.

    «Особливе питання виникне в тому випадку, якщо завдяки вивченню бази даних, опублікованої хакерами незаконним шляхом, журналіст оприлюднить інформацію, що становить явний суспільний інтерес — про корупційні чи інші злочини, скоєні державними службовцями або за їх безпосередньої участі, — розмірковує той самий експерт. — Чи суди у таких випадках звільнятимуть від відповідальності представників ЗМІ, які виконують функції «сторожових псів суспільства»? Велике питання».

    Посилення покарань за незаконний обіг персональних даних — передбачувана реакція влади на повне обвалення системи їх захисту у 2022-2023 роках, резюмує співрозмовник. «Інформація практично про кожного жителі Росії, не виключаючи співробітників спецслужб та членів сімей вищих державних чиновників, вже дійсно доступна в інтернеті. Імовірність знайти та притягнути до реальної відповідальності осіб, які забезпечили витоку, вкрай низька: бази вже втекли, розміщені, багаторазово завантажені та поширені, — каже він. — А ось справді високі ризики законопроект створює для тих, хто намагатиметься використовувати вже опубліковані дані у своїй відкритій роботі для журналістів-розслідувачів».

  • Sự khác biệt giữa rò rỉ tuyến BGP và tấn công chiếm quyền điều khiển tuyến BGP là gì?

    Sự khác biệt giữa rò rỉ tuyến BGP và tấn công chiếm quyền điều khiển tuyến BGP là gì?

    Một trong những tính năng chính của dịch vụ giám sát và phân tích BGP là theo dõi các bất thường cụ thể có thể dẫn đến sự cố mà chúng ta gọi là rò rỉ tuyến BGP hoặc chiếm quyền điều khiển BGP.

    Cả hai đều chuyển hướng lưu lượng truy cập đến bên thứ ba, so với trạng thái không có bất thường, nhưng theo cách khác nhau. Trong vài năm qua, rất nhiều nỗ lực đã được đầu tư vào việc giải quyết những vấn đề này, nhưng vẫn còn những hiểu lầm về bản chất của từng vấn đề và cách các công cụ khác nhau giúp giải quyết các vấn đề khác nhau.

    Chúng tôi bắt đầu thu thập mô hình mối quan hệ BGP vài năm trước khi RFC 7908 xuất hiện, cố gắng định nghĩa rò rỉ tuyến BGP là gì. Hai điểm khác biệt chính giữa hai thời điểm đó được mô tả như sau:

    • Các tuyến được chuyển hướng qua các ASN/liên kết sai (Rò rỉ tuyến), được mô tả là loại 1-4 trong RFC 7908
    • Các tuyến được chuyển hướng đến các ASN sai (Chiếm đoạt), được mô tả là loại 5 và 6 trong RFC 7908

    Trong trường hợp rò rỉ tuyến BGP, lưu lượng truy cập hướng đến mạng của bạn rất có thể sẽ chảy một cách không hiệu quả, dẫn đến tăng độ trễ mạng và mất gói tin. Tuy nhiên, nó vẫn sẽ đến được mạng của bạn gần như chắc chắn nếu không có tắc nghẽn mạng nghiêm trọng vì lý do nào đó (như ý đồ xấu của kẻ gây hại). Trong trường hợp chiếm quyền kiểm soát tuyến BGP, lưu lượng truy cập hướng đến mạng của bạn bị chuyển hướng đến bên thứ ba và ở lại đó. Hơn nữa, cơ chế tạo ra các loại bất thường này cũng khác nhau. Để tạo ra rò rỉ tuyến, bạn cần chuyển một tuyến đường tốt đến một nhà cung cấp dịch vụ Internet (ISP) lân cận không phù hợp. Để tạo ra chiếm quyền kiểm soát, bạn cần thông báo một tuyến đường với tiền tố phụ/cụ thể hơn của một tiền tố hợp lệ (để thu hút tất cả lưu lượng truy cập từ các ISP đã nhận được thông báo đó với bất kỳ AS_PATH nào bạn muốn) hoặc tạo một thông báo tuyến đường với tiền tố của bên thứ ba từ mạng của bạn. Vì cơ chế tạo ra các bất thường định tuyến khác nhau, nên cơ chế phát hiện sự cố và phòng ngừa/giảm thiểu cũng cần khác nhau.

    Để phát hiện nguyên nhân rò rỉ tuyến đường, bạn cần tìm hiểu mối quan hệ giữa hai nhà mạng được kết nối và tìm ra các tuyến BGP (từ bộ thu thập BGP) vi phạm mô hình chính thức Gao-Rexford; để biết thêm thông tin, vui lòng tham khảo tài liệu “Mối quan hệ AS” của CAIDA. Để phát hiện các vụ chiếm đoạt tuyến đường, bạn cần có thông tin chính xác về việc tiền tố nào thuộc về nhà cung cấp dịch vụ Internet (ISP) nào, và trong hầu hết các trường hợp, khi xuất hiện một cặp ISP có tiền tố chưa được đăng ký – hãy tạo cảnh báo hoặc thực hiện hành động.

    Để ngăn chặn/giảm thiểu các vụ chiếm đoạt tuyến đường, có hai phương pháp tiêu chuẩn trong khuôn khổ Xác thực Nguồn gốc Tiền tố (Prefix Origin Validation – ROA) duy nhất. Bạn có thể đăng ký một đối tượng Tuyến đường (Route) trong IRR của mình hoặc tạo một đối tượng ROA. Nhóm của chúng tôi đã mô tả sự khác biệt giữa các phương pháp này trong RIPE79. Tuy nhiên, điểm chung là cả hai đều nêu rõ tiền tố nào thuộc về nhà mạng nào (do chính các nhà mạng cung cấp) và cố gắng chặn các tuyến đường từ một ISP có tiền tố chưa được đăng ký (do các ISP trung chuyển). Để ngăn chặn/giảm thiểu rò rỉ tuyến đường thuần túy, chúng tôi tham gia vào việc tạo ra một chính sách mở BGP. Một cách tiếp cận khác là khóa ngang hàng – chặn các tuyến đường có các láng giềng/ISP không mong muốn trong AS_PATH. Bản dự thảo ASPA IETF hơi khác so với việc ngăn chặn chiếm đoạt/rò rỉ tuyến đường thuần túy vì nó tập trung hơn vào việc chặn các AS_PATH xấu (các trường hợp rò rỉ tuyến đường và chiếm đoạt có/không có thao tác AS_PATH xấu).

    ROA so với rò rỉ định tuyến

    Vậy, mạng của bạn có an toàn không nếu bạn triển khai cả chữ ký ROA và lọc ROA? Không, bởi vì nếu không có ASPA hoặc bất kỳ giao thức tương đương nào, bản thân ROA sẽ không ngăn chặn được việc rò rỉ định tuyến từ bên ngoài. Chúng tôi hy vọng rằng giờ đây bạn đã thấy vấn đề này phức tạp như thế nào, cần có các phương pháp riêng biệt để bảo mật nền tảng của định tuyến liên miền hiện đại – Giao thức Cổng Biên (Border Gateway Protocol).

    Chữ ký ROA so với lọc ROA

    Một quan niệm sai lầm phổ biến khác liên quan đến ROA. Có hai bên trong thuật toán ROA: bên ký – nhà điều hành, cung cấp thông tin xác thực về các tiền tố mà họ sở hữu; và có một bên lọc – nhà điều hành trung chuyển, lọc ra các tuyến đường xấu dựa trên thông tin do bên ký cung cấp.

    Là một nhà điều hành nhánh (nghĩa là một AS chỉ có một nhà cung cấp đường lên), bạn bị hạn chế về số lượng cách bạn có thể tác động đến số lượng các bên lọc. Càng nhiều bên lọc, tiền tố của bạn càng an toàn hơn (càng ít vùng bị ảnh hưởng nếu kẻ tấn công quyết định tấn công tiền tố của bạn). Nếu bạn quyết định ký tiền tố của mình, bạn có thể sử dụng cơ sở hạ tầng lọc hiện có, và cơ sở hạ tầng này sẽ chỉ phát triển hơn nữa trong tương lai gần. Hơn nữa, chúng tôi khuyến khích bạn vẫn nên làm như vậy, bất kể quy mô mạng lưới phía sau ASN của bạn lớn đến đâu.

    Bài viết này vẫn sẽ kết thúc bằng một lời cảnh báo: cơ sở hạ tầng lọc hiện tại vẫn có thể chưa hoàn hảo, và trong một số trường hợp, bạn không thể chuyển hướng lưu lượng truy cập từ khu vực bị ảnh hưởng do tùy chọn độ dài tối đa đã chọn và việc lọc ROA ở phía nhà cung cấp dịch vụ Internet của bạn.

  • Cyber war with Russia heating up

    Cyber war with Russia heating up

    If you think the crisis in the Ukraine is limited just to being on the ground, think again. A cyberwar is flaring up between Ukraine and Russia and it looks like this is only the beginning.

    The first blow came on 28 February when a group of unidentified men took control of several communications centres in Crimea, which are maintained by Ukraine’s telecom provider Ukrtelecom JSC. They wrecked cables and knocked out almost all landline, mobile and internet services in the region.

    Cyber War with Russia map

    It is now believed that the communications centres were attacked so that wireless equipment could be illegally installed in order to spy on the mobile phones of Ukrainian MPs.

    “I confirm that an IP-telephonic attack is under way on mobile phones of members of Ukrainian parliament for the second day in row,” Valentyn Nalivaichenko, the head of SBU, Ukraine’s’ security service, said.

    “At the entrance to [telecoms firm] Ukrtelecom in Crimea, illegally and in violation of all commercial contracts, was installed equipment that blocks my phone as well as the phones of other deputies, regardless of their political affiliation,” he said.

    Ukrainian hackers or sympathisers have been getting busy themselves, hacking the website of Russian state-funded news channel RT on Sunday and changing all references to “Russia” and “Russians” in headlines to “Nazi” and “Nazis”. The attack lasted only 20 minutes and the RT was quick to respond.

    A group of hackers in Ukraine who call themselves “Cyber-Berkut” have boasted about defacing at least 40 Russian news websites on their Facebook page with the image above, which shows a Nazi Swastika over Crimea.

    A post on the page (translated from Russian) warns: “Today, the “KiberBerkut” countdown begins. Traitors of Ukraine who have transgressed the laws of our homeland, you have nine days to voluntarily surrender to the prosecuting authorities or the Kharkov Simferopol.”

    The post states that the “imposters”, presumably the Russians, “have no right” to control Ukraine and must surrender to Ukraine.

    Censoring pro-Ukraine content

    On the Russian social network Vkontakte, 13 community groups set up in support of the new interim government in Kiev have had access to Russian IP addresses blocked. According to Moscow-based news website Lenta, a page appears when users try to access the groups, stating that the groups have been locked down by “the Russian Federation”.

    A press spokesperson for Vkontakte said that the blocking lasted only a few minutes and was due to an error made by moderators but the Federal Service for the Supervision of Communications, known as the Roskomnadzor, said it would continue to block Ukrainian community groups and any other IP addresses that might be displaying “extremist content”.

    While this is the extent of the cyber-attacks that we have learned of so far, the worry is that Russia could expand its military activity to include distributed-denial-of-service (DDoS) attacks to bring down crucial Ukrainian servers, the way they have done during other conflicts.

    In April 2007, Russian hackers from Nashi, Vladimir Putin’s political youth movement, targeted the websites of Estonia’s parliament, banks, ministries, newspapers and broadcasters amid a diplomatic row with Russia.

    During the 2008 South Ossetia war with Georgia, DDoS attacks were used to bring down numerous South Ossetian, Georgian, and Azerbaijani organisations.