Вы используете устаревший браузер!

Страница может отображаться некорректно.

Слабые звенья

Слабые звенья

Другие выпуски этой рубрики (36)
  • добавить в избранное
    Добавить в закладки

В объезд сетевых «пробок»

Прочитали: 4539 Комментариев: 82 Рейтинг: 112

5 июня 2018

Предположим, кто-то решил заработать фишингом и купил фишинг-кит. Что дальше? Можно, конечно, развернуть сайт у хостера и рассылать ссылки доверчивым простакам. Но если простой путь не годится, что делать тогда?

Как известно, устойчивость Интернета обеспечивается тем, что данные между отправителем и получателем могут идти различными маршрутами. Примерно так же автомобилисты могут выбирать маршрут в объезд пробок (в нашем случае «пробки» – это каналы, в которых в определенный момент передается слишком много данных).

#drweb

https://dxdt.ru/2013/11/22/6344

Доступные маршруты постоянно меняются, адреса промежуточных серверов пропадают и появляются снова. Нельзя быть уверенным, что единожды проложенный маршрут будет действовать во время всей сессии передачи. Для решения этой проблемы используется BGP – протокол внешней маршрутизации.

BGP AS – это не просто какая-то абстрактная вещь для удобства. Эта штука весьма формализована, есть специальные окошки в собесе, где можно в будние дни с 9 до 6 получить номер автономной системы. Выдачей этих номеров занимаются RIR (Regional Internet Reistry) или LIR (Local Internet Registry).

Вообще глобально этим занимается IANA. Но чтобы не разорваться, она делегирует свои задачи RIR – это региональные организации, каждая из которых отвечает за определённую часть планеты (Для Европы и России – это RIPE NCC).

#drweb

https://habr.com/post/184350

Кстати! Все знают про IP-адреса. А если эту абрревиатуру перевернуть?

PI – это Provider Independent.

В обычной ситуации, когда вы подключаетесь к провайдеру, он выдаёт вам диапазон публичных адресов – так называемые PA-адреса (Provider Aggregatable).

Получить их – раз плюнуть, но если вы не являетесь LIR’ом, то при смене провайдера придётся возвращать и PA-адреса. Тем более фактически допускается подключение только к одному провайдеру.

И если вы решите сменить провайдера, то старые адреса уйдут вместе с ним, а новый провайдер выдаст новые. Ну и где тут гибкость?

У LIR вы можете приобрести провайдеро-независимый блок адресов (PI) и обязательно ASN. И эти адреса уже чисто наши и никакие провайдеры нам не страшны: не понравился один – ушли к другому с сохранением своих адресов.

Но вернемся к BGP. Важно понимать, что данные передаются через ряд серверов провайдеров услуг, и эти промежуточные узлы передают информацию о доступных маршрутах на соседние узлы. А что будет, если один из них начнет выдавать неверные маршруты?

Используя протокол BGP, злоумышленники смогли перенаправить трафик сервиса Amazon Route 53 (это DNS-сервис, предоставляемый Amazon) на свой DNS-сервер, который отдавал для сайта MyEtherWallet.com IP-адрес сервера атакующих, содержащий немного «подправленный» клон оригинального сайта. Исходный MyEtherWallet.com содержит веб-реализацию кошелька для криптовалюты Ethereum.

#drweb

Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (AS 10297), расположенного в Колумбусе (Огайо, США). После BGP-анонса все пиры eNet, среди которых находятся такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик, направляемый в сторону Amazon Route 53, по заданному атакующими маршруту.

Помните эпизод в фильмах, когда некто переставляет указатели на развилках?

2 часа никто не замечал подмены, и злоумышленники могли без помех красть деньги!

Как можно поменять маршрут (не считая взлома промежуточного узла)?

  • пробив большого количества роутеров на возможность влиять на их таблицы маршрутов (что возможно при вышеописанных условиях), то есть найти то количество роутеров, которые еще позволяют это делать.

Все остальные варианты попыток изменения маршрутов сводятся к одному – получению доступа к роутеру. А уже эту задачу можно решать различными ухищрениями и подходами, мне на ум пришло несколько нехитрых способов:

  • брут пароля от интерфейса управления BGP;
  • получение доступа посредством взлома почты/аккаунтов/компьютеров одного из сотрудников или администраторов какого-нибудь провайдера (который держит этот целевой роутер);
  • поиск или эксплуатация уже существующих багов в BGP-сервере, запущенном на роутере (по моему опыту, это чаще всего Bird, Quagga или стандартный демон Cisco);
  • получение доступа к роутеру через сторонние сервисы, запущенные на нем;
  • «вклинивание» в уже установленную BGP-сессию между определенными узлами.

https://cryptoworld.su/перехват-трафика-с-помощью-подмены-bgp-с/

Вот так все ненадежно в нашем цифровом мире!

К чему был этот рассказ? Обычно, говоря о краже персональных данных или заражении через сайт, мы подразумеваем, что злоумышленники использовали уязвимости. Но не все сайты имеют «дыры» (или преступники не могут их обнаружить). И тогда перенаправление трафика может помочь в атаке целевой группы, посещающей конкретный сайт. Атака эта непростая, но зато до ее начала никто на подменяемой системе ничего о ней не узнает и не примет меры защиты.

#мошенничество #фишинг #персональные_данные #сайт

Антивирусная правДА! рекомендует

Перенаправление BGP – это тот редкий случай, когда Родительский контроль вам не поможет, поскольку атакующие используют легитимные адреса и стандартные названия сайта. Так что будьте внимательны и осторожны при размещении своих данных и работе с финансами!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: