İstanbul'da iş ilanları

Tag: MPLS

  • Multiple banking IP traffic hijacked

    Multiple banking IP traffic hijacked

    On 24 July a significant number of Internet Protocol (IP) addresses that belong to US banks suddenly were routed to somewhere else 

    An IP address is how packets are routed to their destination across the Internet.

    BGP mitm and multiple banking addresses hijacking is real

    Why is this important you ask? Well, imagine the Internet suddenly decided that you were living in the middle of Asia and all traffic that should go to you ends up traveling through a number of other countries to get to you, but you aren’t there. You are still at home and haven’t moved at all. All packets that should happily route to you now route elsewhere.

    Emails sent to you bounce as undeliverable or are read by other people. Banking transactions fail. HTTPS handshakes get invalid certificate errors. This defeats the confidentiality, integrity, and availability of all applications running in the hijacked address spaces for the time that the hijack is running.

    In fact, this sounds like a nifty way to attack an organization, doesn’t it? The question then would be how to pull it off, hijack someone else’s address? The Autonomous System (AS) in question is owned by NedZone Internet BV in the Netherlands.

    This can be found by querying whois for the AS 25459. According to RIPE this AS originated 369 prefixes in the last 30 days, of these 310 had unusually small prefixes.

    Typically, a BGP advertisement is at least a /24 or 256 unique Internet addressable IPs. A large number of these were /32 or single IP addresses. The short answer is that any Internet Service Provider (ISP) that is part of the global Border Gateway Protocol (BGP) network can advertise a route to a prefix that it owns. It simply updates the routing tables to point to itself, and then the updates propagate throughout the Internet. If an ISP announces for a prefix, it does not own, traffic may be routed to it, instead of to the owner.

    The more specific prefix, or the one with the shortest apparent route wins. That’s all it takes to disrupt traffic to virtually anyone on the Internet, connectivity and willingness to announce a route that does not belong to you. This is not a new attack, it has happened numerous times in the past, both malicious attacks and accidental typos have been the cause.

    The announcements from AS 25459 can be seen at bgp.tools

    A sampling of some of the owners of the IP addresses that were hijacked follow:
    1  AMAZON-AES – Amazon.com, Inc.
    2  AS-7743 – JPMorgan Chase & Co.
    1  ASN-BBT-ASN – Branch Banking and Trust Company
    2  BANK-OF-AMERICA Bank of America
    1  CEGETEL-AS Societe Francaise du Radiotelephone S.A
    1  FIRSTBANK – FIRSTBANK
    1  HSBC-HK-AS HSBC HongKong
    1  PFG-ASN-1 – The Principal Financial Group
    2  PNCBANK – PNC Bank
    1  REGIONS-ASN-1 – REGIONS FINANCIAL CORPORATION

    Some on the list were owned by that ISP, the prefix size is what was odd about them. The bulk of the IP addresses were owned by various hosting providers. So, the question is:

    What happened?

    Makes you wonder about the fundamental (in)security of this set of experimental protocols we use called the Internet, doesn’t it?

    Routing Security and traffic engineering scenario

    The hum of the data center is a peculiar kind of silence. To the uninitiated, it is a wall of white noise—the mechanical respiration of ten thousand servers keeping the modern world exhaling data. But to those of us who live in the architecture of the “backbone,” that hum is a pulse. And on a Tuesday afternoon in early April, I watched that pulse skip a beat.

    I was sitting in a darkened operations center, the glow of six monitors reflecting off a lukewarm cup of coffee, when the geography of the internet began to melt. It didn’t happen with a crash or a siren. It happened with a whisper in the Border Gateway Protocol (BGP)—the digital equivalent of a highway robber quietly swapping the road signs on the Interstate while the world was driving at eighty miles per hour.

    To understand what I saw on my screen that day, you have to understand the fundamental fragility of how we move information. We tend to think of the internet as a solid, physical thing—cables under the ocean, satellites in the sky. But the “map” that tells data how to navigate those cables is based entirely on a series of polite, unverified conversations between routers.

    The Protocol of Blind Trust

    In the diagram I often use to train new analysts—the one currently pinned to my corkboard—the process starts simply enough. Look at the Green Path (Step 1). Under normal circumstances, an organization’s network, whether it’s a .com retailer or a .org non-profit, announces its presence to its Internet Service Provider (ISP). The ISP’s Border Router then tells the rest of the world: “I know where this organization lives. If you have a packet for them, give it to me.”

    It is a system built on a 1980s-era handshake. When the internet was a small neighborhood of academic and military researchers, everyone knew everyone. You didn’t need to check an ID; you trusted that if a router said it owned a certain block of IP addresses, it was telling the truth.

    But as I watched my monitors that Tuesday, I saw a Red Bolt (Step 2) strike that trust.

    Somewhere, thousands of miles away, an Attacker’s Border Router began to scream. It wasn’t sending a virus or a brute-force login attempt. It was simply lying. It issued a BGP announcement to the global table that said: “Actually, I have a much faster, much shorter path to that organization’s network. Ignore the legitimate ISP. Send everything to me.”

    In the world of networking, routers are programmed to be efficient above all else. They are like water; they always seek the path of least resistance. When the attacker’s ISP began to broadcast this “forged path,” the Rest of the Internet—the massive, cloud-shaped heart of our global connectivity—believed the lie. Within minutes, the digital traffic meant for a major financial hub began to veer off course.

    The Invisible Interception

    This is the moment where the terror of a BGP attack sets in. If a hacker breaks into your house, you might hear the glass shatter. If they hijack your BGP route, they haven’t broken into your house—they’ve convinced the post office that your house is now located in an abandoned warehouse on the other side of town.

    As the traffic was diverted through the Attacker’s ISP Network, it hit Step 3: The Interception. On my screen, I could see the latency spikes. The data was no longer traveling in a straight line. It was being sucked into a vacuum.

    The attacker, sitting behind a terminal represented by that hooded figure in the diagram, wasn’t just stopping the traffic. They were “grooming” it. Because the attacker now sat in the middle of the stream, every piece of data passed through their hands before being forwarded to its actual destination—the Outsourced Cloud Services.

    This is the “Man-in-the-Middle” nightmare. When a user typed their password into what they thought was their company’s cloud portal, that password traveled through the attacker’s router first. The attacker could read it, copy it, and then pass it along to the real server so quickly that the user never even saw a loading wheel. It was a perfect, invisible heist.

    When the Cloud Dissolves

    But as the caption on my diagram warns: it gets worse. We have spent the last decade moving our lives into the cloud. We don’t just host websites there; we host our internal payroll systems, our private legal documents, and our encrypted communications. By forging the path between an organization and its cloud providers, an attacker doesn’t just steal a few passwords. They can deny access entirely.

    Imagine a hospital that can no longer reach its patient records because a rogue router in a foreign country has “black-holed” the route. Imagine a government agency that can’t access its own internal email because the BGP path has been forged to lead to a dead end. In that moment, the organization is effectively erased from the internet. They are still there, their servers are still humming, but the “map” no longer includes them.

    On that Tuesday, we managed to catch the hijack within twenty minutes. We coordinated with “upstream” providers to ignore the malicious announcements and re-establish the legitimate route. But those twenty minutes felt like hours. In that window, thousands of data packets—each containing a piece of someone’s digital life—fell into the hands of someone they were never meant to meet.

    The Fragile Backbone

    I often look at that diagram and think about how much we rely on the civility of machines. We have built a multi-trillion-dollar economy on a foundation of “Border Routers” that are essentially gossiping with one another about where to go.

    The “BGP Attack” is a reminder that the internet is not a fortress; it is a series of interconnected villages. If one village elder decides to start giving bad directions, the entire traveler’s map becomes a work of fiction.

    As I closed my terminal that night and finished my now-cold coffee, I couldn’t help but feel a sense of profound vertigo. We talk about “cybersecurity” in terms of firewalls and antivirus software—the locks on our doors. But BGP hijacking reminds us that the very ground our houses are built on can be moved if someone shouts a lie loud enough for the rest of the world to hear.

  • Qual a diferença entre vazamentos de rotas BGP e sequestros de rotas BGP?

    Qual a diferença entre vazamentos de rotas BGP e sequestros de rotas BGP?

    Uma das principais funcionalidades do serviço de monitoramento e análise de BGP é o monitoramento de anomalias específicas que podem resultar em um incidente, que denominamos vazamento de rota BGP ou sequestro de BGP.

    Ambos redirecionam o tráfego para terceiros, em comparação com o estado sem anomalias, mas de maneiras diferentes. Nos últimos anos, muitos esforços foram investidos na resolução desses problemas, mas ainda existem mal-entendidos sobre o que é o quê e como diferentes ferramentas ajudam a resolver diferentes problemas.

    Começamos a coletar o modelo de relacionamentos BGP alguns anos antes do surgimento da RFC 7908, tentando definir o que é um vazamento de rota BGP. As duas principais diferenças entre esses momentos de ocorrência foram descritas como:

    • Rotas redirecionadas por meio de ASNs/links incorretos (Vazamentos de rota), descritos como tipos 1 a 4 na RFC 7908.
    • Rotas redirecionadas para ASNs incorretos (Sequestro de rota), descritas como tipos 5 e 6 na RFC 7908.

    Durante um vazamento de rota BGP, o tráfego destinado à sua rede provavelmente fluirá de forma ineficiente, o que pode levar ao aumento da latência e à perda de pacotes. No entanto, ele quase certamente chegará à sua rede, a menos que haja congestionamento crítico devido a algum motivo (como a má intenção de um malfunctor). Durante um sequestro de rota BGP, o tráfego destinado à sua rede é redirecionado para um terceiro e permanece lá. Além disso, os mecanismos para criar esses tipos de anomalias também são diferentes. Para criar um vazamento de rota, é necessário transferir uma rota válida para um provedor de internet vizinho inadequado. Para criar um sequestro de rota, é preciso anunciar uma rota com um subprefixo/prefixo válido mais específico (para atrair todo o tráfego dos provedores de internet que receberam tal anúncio com o AS_PATH desejado) ou criar um anúncio de rota com um prefixo de terceiro a partir da sua rede. Como os mecanismos para criar anomalias de roteamento variam, os mecanismos de detecção e prevenção/mitigação de incidentes também devem ser diferentes.

    Para detectar a causa de um vazamento de rotas, é necessário descobrir a relação entre cada uma das duas operadoras conectadas e identificar as rotas BGP (obtidas de um coletor BGP) que violam o modelo formal de Gao-Rexford. Para mais informações, consulte “Relações AS” da CAIDA. Para detectar sequestros de rotas, é preciso ter informações precisas sobre quais prefixos pertencem a quais ISPs e, na maioria dos casos, quando um par de prefixos de ISPs não registrados aparece, é necessário gerar um alerta ou tomar alguma ação.

    Para prevenir/mitigar sequestros de rotas, existem duas abordagens padrão dentro de uma estrutura de Validação de Origem de Prefixo (POV). Você pode registrar um objeto Route em seu IRR ou criar um objeto ROA. Nossa equipe descreveu as diferenças entre essas abordagens durante o RIPE79. No entanto, o que elas têm em comum é que ambas definem quais prefixos pertencem a quais operadoras (pelas próprias operadoras) e tentam bloquear rotas de um ISP com prefixos não registrados (por ISPs de trânsito). Para prevenir/mitigar vazamentos de rotas puros, participamos da criação de uma política aberta de BGP. Outra abordagem é o bloqueio de pares — bloquear rotas com vizinhos/ISPs inesperados no AS_PATH. O rascunho do ASPA da IETF se destaca um pouco da prevenção pura de sequestro/vazamento de rotas, pois se concentra mais no bloqueio de AS_PATHs ruins (casos de vazamento de rotas e sequestros com/sem manipulação inadequada do AS_PATH).

    ROA vs. Vazamentos de Rota

    Então, sua rede estará segura se você implementar assinatura ROA e filtragem ROA? Não, porque sem ASPA ou qualquer equivalente, o ROA por si só não impedirá que outros vazem rotas. Esperamos que agora você entenda a complexidade desse problema, onde abordagens distintas são necessárias para proteger a base do roteamento interdomínio moderno: o Border Gateway Protocol (BGP).

    Assinatura ROA vs. Filtragem ROA

    Outro equívoco comum está relacionado ao ROA. Existem duas partes nos algoritmos ROA: a parte que assina – o operador, que fornece a verdade fundamental sobre os prefixos que possui; e a parte que filtra – o operador de trânsito, que filtra rotas ruins de acordo com as informações fornecidas pela parte que assina.

    Como um operador stub (ou seja, um AS com apenas um provedor upstream), você tem um número limitado de maneiras de influenciar a quantidade de partes que filtram. Quanto mais partes filtram, mais seguros seus prefixos serão (menos regiões serão afetadas se um sequestrador decidir atacar seus prefixos). Se você optar por assinar seus prefixos, poderá usar uma infraestrutura de filtragem existente, que só tende a crescer no futuro próximo. Além disso, recomendamos que você faça exatamente isso, independentemente do tamanho da rede por trás do seu ASN.

    Este artigo termina com um alerta: a infraestrutura de filtragem atual ainda pode ser imperfeita e, em alguns casos, você não conseguirá retornar o tráfego de uma região afetada devido à opção de comprimento máximo escolhida e à filtragem ROA (Root Access Address) do seu provedor de internet.

  • Не все HashRate агрегаторы одинаково полезны

    Не все HashRate агрегаторы одинаково полезны

    Исследователь безопасности Эдвард Сноуден, ранее работавший в компании Booz Allen Hamilton говорит, что он обнаружил ряд совершенных одним системным оператором Bell Canada подозрительных транзакций Bitcoin.

    пиратский захват дохода майнинг аппарата с помощью bgp mitm
    Для получения биткоинов инженер электросвязи скомпрометировал манинг пулы. В свою очередь, участники пулов продолжали отдавать часть производительности своих компьютеров и майнинг-аппаратов на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые ими доходы доставались системному инженеру Bell Canada. Техника bgp mitm перенаправления трафика вводила в заблуждение участников для того, чтобы они продолжали искать блок криптографических алгоритмов Bitcoin, позволяя сетевому оператору сохранить доходы от майнинга криптовалюты на свой счёт. На пике своей деятельности, согласно подсчетам Сноудена, инженер электросвязи из Bell Canada перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin в сумме эквивалентной примерно 22,5 BTC в день.

    Сноуден считает, что сетевой инженер или инженерка из Bell Canada применила стандартные команды управления протоколом BGP – “протокола граничного шлюза” на вверенном ему сетевом оборудовании, то есть обычные инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что инженер или инженерка электросвязи воспользовалась своей учетной записью работника канадского интернет-провайдера Bell Canada, чтобы периодически транслировать нужный её маршрут, которая перенаправляла трафик от сетей других провайдеров, в которых установлены майнинг-аппараты, начиная с февраля и до конца мая этого года на свой сервер, подменяющий серверы изместных майнинг-пулов. В общей сложности таким способом пират или пиратка получила 207,9 BTC за весь перио на свой счёт.

    Однако Сноуден не называет конкретное подразделение интернет-провайдера Bell Canada, в котором работает тот самый инженер или инженерка электросвязи, получавшая до 22,5 BTC в день на криптовалютах с использованием оптимизированных под себя схем маршрутизации сетевого трафика.

  • Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Кто и как добывает криптовалюту при помощи таблиц маршрутизации роутеров сети

    Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
    Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление трафика по BGP все чаще используется инжерерками электросвязи для перехвата транзакций между аппаратами для майнинга и майнинговыми пулами, а также для перехвата закрытых ключей сети биткоин, то есть для атаки BGP MiTM («дроповод посередине»). Для участника майнингового пула это происходит совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту, либо просто приземляется на пул дроповода, вместо изначално заданной точки назначения для майнигового аппарата. Если дроповод находится физически между майнинговым аппаратом и его пулом, то есть пунктом назначения трафика, то сам майнер даже и не заметит никакого увеличения в задержке пакетов.
    На карте указано местонахождение майнинговых ферм и standalone майнинг-аппаратов, интернет-трафик которых был перенаправлен с исползованием техники BGP hijacking на приватный пул одной инженерки электросвязи из компании Белтелеком, все попытки такой «оптимазации маршрутизации» Эдвард Сноуден зафиксировал в текущем году.
    местоположение antminer, трафик которых был перенаправлен на приватный пул

    Отмечено более 150 местоположений, где есть хотя бы один пострадавший лох с майнером типа antminer или ему подобным устройством. В числе терпил — самые разные субъекты, в том числе провайдеры облачного майнинга, крупные майнинговые фермы, майнинг-отели и криптовалютные обменники.

    Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
    Эдвард Сноуден приводит несколько характерных BGP MiTM атак с перенаправлением интернет-трафика по сценарию BGP spoofing. Например, в феврале прошлого года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
    Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный ему трафик, пропустить через себя — и отдать в пункт назначения. 
    bgp mitm проброс трафика из США в Беларусь
    27 февраля: Атака из сети белорусского провайдера «Белтелеком»
    IP Ответ (мс) Заметки
    201.151.31.149 15.482 pc-gdl2.alestra.net.mx (Guadalajara, MX)
    201.163.102.1 17.702 pc-mty2.alestra.net.mx (Monterrey, MX)
    201.151.27.230 13.851 igmty2.alestra.net.mx (Monterrey, MX)
    63.218.121.49 17.064 ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX)
    63.218.44.78 64.012 TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA)
    64.209.109.221 84.529 GBLX-US-REGIONAL (Washington, DC)
    67.17.72.21 157.641 lag1.ar9.LON3.gblx.net (London, UK)
    208.178.194.170 143.344 cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK)
    217.150.62.234 212.869 mskn01.transtelecom.net (Moscow, RU)
    217.150.62.233 228.461 BelTelecom-gw.transtelecom.net (Minsk, Belarus)
    87.245.233.198 225.516 ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE)
    * no response
    * no response
    129.250.3.180 230.887 ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.4.69 232.959 ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY)
    129.250.8.158 248.685 ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY)
    * no response
    63.234.113.110 238.111 63-234-113-110.dia.static.qwest.net (Washington, DC)
    Лох со своим агрегатом antminer, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут ко своему майнинговому пулу, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
    Перехват трафика автономными системами из Республики Беларусь прекратился в мае этого года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию. Видимо на этом небольшом острове инженерам электросвязи тоже понадобилась криптовалюта в промышленных количествах.
    bgp mitm проброс трафика через Исландию
    Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные BGP MiTM атаки с перенаправлением интернет-трафика по сценарию BGP hijacking уже превратились из теоретической возможности в реальный пиратский способ добычи криптовалют инженерами электросвязи телекоммуникационных компаний.