Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Мир ждет всплеск кибертерроризма и развитие государственно-частного партнерства в страховании!

К таким выводам пришли эксперты на Международном форуме страховых пулов IFTRIP, который состоялся 9-10 октября в Москве.

В мероприятии, которое было организовано Российским антитеррористическим страховым пулом (РАТСП), приняли участие делегаты из 13 пулов разных стран мира.

К делегатам присоединились перестраховщики и страховщики из разных стран мира, брокеры, академики, риск - менеджеры, представители государственных ведомств. Обсуждался широкий спектр актуальных вопросов. Консолидированное заключение экспертов таково: «Во-первых, нас ждет стремительное повышение количества рисков, связанных с кибертерроризмом. Во-вторых, с развитием рисков транспортного терроризма, будет расти необходимость в страховании подобных рисков и размер компенсации для жертв подобных событий».

Следующими по степени важности стали: необходимость покрытия рисков перерыва в производстве без имущественного ущерба из-за терактов, инновации в моделировании рисков, международное взаимодействие пулов и создание новых структур распределения рисков для катастрофических рисков, включая государственно-частное партнерство.

Председатель IFTRIP, Франсуа Вильнет отметил: «Государство и частный сектор, независимо от их взаимодействия друг с другом, несут ответственность за снижение террористической угрозы для общества».

Александр Гульченко, председатель РАТСП, сказал: «Террористическая угроза имеет глобальный характер, и, чтобы обеспечить стабильность и безопасность жизни людей, экономике, мы должны противостоять этому вместе. Поэтому я очень рад, что Москва имела честь организовать эту важную конференцию. Ведь IFTRIP - это уникальная организация, которая объединяет ведущие в мире пулы в т.ч. по страхованию террористических рисков и способствует взаимному обмену информацией и опытом».

Среди привлеченных участников конференции заметным стало выступление доктора Гордона Ву. Главный разработчик аналитической модели террористических рисков RMS сформулировал такие шесть принципов:

  1. Терроризм движется по пути наименьшего сопротивления
  2. Терроризм – это способ влиять на общественное мнение через нанесение ущерба
  3. Атаки террористов стремятся к максимальному воздействию
  4. Излишний терроризм нежелателен самим террористам.
  5. Террорист-смертник умирает лишь однажды
  6. У теракта может быть много версий

Справка IFTRIP:

Международное объединение антитеррористических перестраховочных пулов. Организация была создана с целью продвижения инициатив для более тесного международного сотрудничества и обмена опытом в сфере борьбы с крупными экономическими убытками в результате террористической деятельности, в частности, в сфере страхования и перестрахования террористических рисков. Членами объединения являются 16 страховых и перестраховочных пулов разных стран мира.

Организация была создана с целью продвижения инициатив для более тесного международного сотрудничества и обмена знаниями и опытом по борьбе с потенциальными террористическими угрозами, которые ведут к крупным экономическим потерям. Членами  IFTRIP являются:

Австралия (ARPC), Австрия (GRAWE), Бельгия (TRIP), Дания (FINANSTILSYNET), Франция (GAREAT), Франция (CCR), Германия (Extremus), Индия (GIC), Намибия (NASRIA), Нидерланды (NH T), Россия (РАТСП), ЮАР (SASRIA), Испания (CCS), Шриланка (NITF), США (TRIP), Великобритания (Pool Re)

Справка РАТСП:

Российский антитеррористический страховой пул учрежден 20 декабря 2001 года. Сейчас участниками РАТСП являются 25 страховых и перестраховочных компаний – лидеров рынка России и стран СНГ.

Миссия Российского антитеррористического страхового пула (РАТСП) заключается в предоставлении предприятиям и гражданам Российской Федерации надежной страховой защиты и конкурентоспособных условий страхования и перестрахования от рисков «терроризм» и «диверсия».

Дата: 2018-10-17 06:53:39

Источник: http://www.iso27000.ru/Members/SergeyVladimirov/mir-zhdet-vsplesk-kiberterrorizma-i-razvitie-gosudarstvenno-chastnogo-partnerstva-v-strahovanii



Линии связи терагерцового диапазона уязвимы к незаметному перехвату сигнала

Линии связи терагерцового диапазона не так безопасны, как принято считать.

Линии связи терагерцового диапазона, на базе которых в будущем могут быть созданы высокоскоростные системы беспроводной передачи данных, не являются на 100% защищенными от перехвата трафика, как принято считать. По данным нового исследования команды американских ученых, злоумышленник может перехватить сигнал терагерцевого передатчика и остаться незамеченным.

По мнению специалистов в области линий связи терагерцевого диапазона, незаметно перехватить передаваемые в терагерцевом диапазоне данные невозможно. «Однако мы доказали, что незаметная прослушка в терагерцевом диапазоне реальнее, чем многие думают, и нам нужно учитывать проблемы безопасности при проектировании архитектуры сети», - отметил профессор Школы инженерии Брауновского университета Дэниел Миттлман (Daniel Mittleman).

Поскольку будущие системы беспроводной передачи данных в терагерцовом диапазоне смогут передавать данные до 100 раз быстрее, чем современные микроволновые, считается, будто незаметно перехватить столь высокочастотный сигнал невозможно. Микроволновые сигналы имеют широкий угол, поэтому злоумышленник может без труда установить антенну в радиусе действия сигнала и перехватывать его без ведома жертвы. В отличие от них, сигнал терагерцевого диапазона является узконаправленным, и для его перехвата антенну нужно установить непосредственно между передатчиком и приемником. В таком случае помехи неизбежны, и атака сразу будет обнаружена.

Миттлман и его коллеги решили проверить, так ли безопасны линии связи в терагерцовом диапазоне, как принято считать. Исследователи установили связь между передатчиком и приемником и нашли несколько способов перехвата данных без создания помех. Даже при самом узконаправленном сигнале с углом конуса менее 2 градусов (для сравнения, угол конуса при микроволновой передаче данных составляет до 120 градусов) им удалось незаметно осуществить перехват.

Как уже упоминалось, исследователи нашли несколько методов незаметного перехвата данных. Один из них предполагает отражение части сигнала на вторичный приемник с помощью гладкой металлической поверхности. Еще более удобный способ – использовать вместо металлического листа металлический цилиндр, с помощью которого перенаправлять сигнал на вторичный приемник более удобно.

Еще один метод незаметного перехвата сигнала – расположить объект на самой границе конуса сигнала для рассеивания его незначительной части. Для надежной передачи данных диаметр луча должен быть немного больше, чем диафрагма приемника. Благодаря этому получается зазор, позволяющий злоумышленнику перехватывать сигнал, не бросая заметную тень на приемник.

Дата: 2018-10-17 06:44:52

Источник: http://www.securitylab.ru/news/495975.php



Россия лишилась 600 млрд рублей из-за кибератак

По оценкам экспертов, только в 2017 году кибератаки привели к убыткам в районе $1 трлн.

Ущерб РФ от кибератак в 2017 году составил порядка 600 млрд рублей, заявил премьер-министр Дмитрий Медведев в рамках международного форума «Открытые инновации — 2018» в Москве.

«По оценкам экспертов, только в 2017 году кибератаки привели к убыткам в районе $1 трлн. В России это порядка 600 млрд руб., ну тоже, в общем, для нашей экономики довольно значительные деньги», - приводит «РИА Новости» слова премьер-министра.

По мнению Медведева, все, что делается в сфере цифровых технологий, «будет искривлено или испорчено, если мы не обеспечим кибербезопасность пространства». По его словам, кибербезопасность является приоритетной темой для всех стран, в том числе России.

«Сейчас вопросами кибербезопасности в основном занимается бизнес, однако, совершенно очевидно, необходима кооперация и на национальном, и, что особенно важно - на глобальном уровне», - подчеркнул глава правительства. Он также добавил, что одной из задач является создание «прочной системы» безопасности передачи, обработки и хранения данных, гарантирующей защиту интересов личности, бизнеса и государства.

Дата: 2018-10-17 06:00:50

Источник: http://www.securitylab.ru/news/495973.php



Новый случай использования RTF для раздачи зловредов

Исследователи из Cisco Talos зафиксировали новую вредоносную кампанию с многоступенчатой цепочкой заражения, использующей OLE-функциональность Microsoft Office, файлы в формате RTF и известные эксплойты.

Конечной целью злоумышленников является загрузка программы для кражи данных — Agent Tesla, Loki и т. п.

Атака начинается, когда жертва открывает поддельный документ в формате .docx со встроенным объектом OLE2Link. На этом этапе злоумышленники используют эксплойт CVE-2017-0199; в случае успеха с заданного URL загружается rtf-файл с сильно обфусцированным содержимым. По свидетельству Cisco Talos, на момент анализа на вредоносный файл отреагировали лишь два антивируса из коллекции VirusTotal, да и те выдали вердикт «данные неправильного формата».

Зловредный документ RTF нацелен на эксплойт уязвимости CVE-2017-11882 в редакторе формул сторонней разработки (Equation Editor), запуск которого осуществляется через функции OLE/COM. При успешном эксплойте Equation Editor загружает со стороннего сервера целевой PE-файл и создает процесс scvhost.exe, который легко спутать с легитимным svchost. exe. Позднее scvhost.exe запускает еще один свой экземпляр, так как вредоносный код загружается в память с использованием техники process hollowing.

Доставляемый через эксплойт Agent Tesla способен воровать пароли из 25 широко используемых приложений, в том числе Chrome, Firefox, Internet Explorer, Yandex, Outlook, Thunderbird и Apple keychain. Он также умеет регистрировать нажатия клавиш, извлекать содержимое буфера обмена, делать снимки экрана, включать веб-камеру и загружать дополнительные вредоносные файлы. Вывод собранной информации зловред может осуществлять по разным каналам — SMTP, FTP, HTTP, но использует только HTTP POST, зашифровывая данные по 3DES.

Иногда по этой же схеме распространяется бот Gamarue/Andromeda, который тоже обладает типовыми функциями похитителя информации, но вдобавок способен захватить контроль над машиной жертвы. А в начале лета эксперты наблюдали схожую кампанию, нацеленную на засев шпиона FormBook. Не исключено, что со временем подобным образом будут распространяться и другие зловреды.

Дата: 2018-10-17 05:55:46

Источник: https://threatpost.ru/new-rtf-campaign-dropping-infostealers/28771/



Британцы готовятся к разрушительной кибератаке

Атака шифровальщика WannaCry – это только «цветочки», считают в Национальном центре кибербезопасности Великобритании.

Это только вопрос времени, когда Великобритания столкнется с масштабной разрушительной кибератакой, способной привести к страшным последствиям, в том числе к человеческим жертвам. К такому выводу пришли специалисты Национального центра кибербезопасности Великобритании (NCSC) в своем втором годовом отчете , опубликованном во вторник, 16 октября.

NCSC был учрежден Центром правительственной связи Великобритании в 2016 году и с тех пор столкнулся с 1167 инцидентами безопасности. 557 из них имели место в течение последнего года – в среднем 10 атак еженедельно. Большинство атак осуществлялись правительствами иностранных государств или финансируемыми ими киберпреступными группировками. Эти группировки остаются наиболее острой и непосредственной угрозой безопасности Великобритании, отметил глава NCSC Сиаран Мартин (Ciaran Martin).

За два года своего существования NCSC столкнулся с множеством разнообразных кибератак, однако наиболее значительной является атака шифровальщика WannaCry. Тем не менее, по словам Мартина, впереди Великобританию ждет еще более серьезная угроза.

«Я не сомневаюсь, что в ближайшие годы нам, и как Центру, и как нации, предстоит пройти испытание крупным инцидентом безопасности, который мы называем атакой Категории 1», - отметил Мартин.

Согласно формулировке NCSC, атака Категории 1 или «экстренная ситуация национального масштаба в киберпространстве» представляет собой кибератаку, вызывающую постоянный сбой в работе основных служб Великобритании или влияющую на национальную безопасность. Атака Категории 1 может привести к серьезным экономическим или социальным последствиям и даже к гибели людей.

Дата: 2018-10-17 05:39:40

Источник: http://www.securitylab.ru/news/495972.php



Positive Technologies приглашает на вебинар «Как выявлять инструменты атак на Windows-инфраструктуру»

Компания Positive Technologies приглашает принять участие в вебинаре «Как выявлять инструменты атак на Windows-инфраструктуру», который состоится 18 октября 2018 года, с 14:00 до 15:00 (по Московскому времени).

Согласно исследованию Positive Technologies, доля атак, нацеленных на инфраструктуру предприятий, во II квартале 2018 года составила 44%. В основном инфраструктура крупных компаний строится на Windows. Зная это, злоумышленники разрабатывают специальные инструменты для атак под эту операционную систему.

На вебинаре специалисты экспертного центра безопасности Positive Technologies разберут три инструмента взлома, которые позволяют быстро развить атаку в Windows-инфраструктуре: impacket, CrackMapExec и Koadic. Слушатели узнают, как они работают, какую активность в сетевом трафике создают, а самое главное, как вовремя детектировать их применение. Вебинар для сотрудников SOC, blue teams и IT-подразделений.

Мероприятие бесплатное. Для участия нужно зарегистрироваться . Регистрация заканчивается 18 октября в 12:00. Ссылка для просмотра придёт за полчаса до начала вебинара всем зарегистрированным участникам.

Дата: 2018-10-17 05:04:48

Источник: http://www.securitylab.ru/news/495971.php



В Чехии арестованы граждане РФ по обвинению в кибератаке на МИД

Киберпреступники взломали систему выдачи видов на жительство и незаконно получали пособие.  

В Чехии арестованы восемь человек по обвинению в осуществлении кибератак на Министерство иностранных дел страны. Преступники, которыми оказались граждане РФ и Вьетнама, обвиняются в компрометации системы выдачи видов на жительство с целью незаконного получения пособия и отмывании сотен миллионов чешских крон.

Обвиняемые были задержаны чешскими правоохранителями еще 18 сентября. В тот же день им были предъявлены обвинения в несанкционированном доступе к компьютерным системам и носителям информации. Четверым также были предъявлены дополнительные обвинения в легализации доходов, полученных преступным путем, сообщают чешские правоохранители.

Сколько россиян находится под стражей, не уточняется. в настоящее время посольство РФ в Чехии выясняет обстоятельства
дела. Чешской стороне был подан соответствующий запрос, однако ответ еще не получен.

Дата: 2018-10-17 04:40:35

Источник: http://www.securitylab.ru/news/495970.php



Daily Blog #509: ObjectIDs and Domains

Hello Reader,
             Well YouTube was down for awhile tonight and at this point I'll need to get to bed before I could finish a test kitchen broadcast (if it would even work tonight!). So instead I decided to follow up on a question by Dr. Joe Sylve who asked in last nights Test Kitchen if Domain's are present in ObjectIDs if the computer was attached to a domain. To test this I went onto one of my domain connected computers and checked the objectID attributes of a file I've opened many times, our blank contract.
ObjectIDDomain.png

As you can see the DomainID is still all 0's meaning that this field is not currently being used, but you never know what the future will hold!

Дата: 2018-10-17 03:03:22

Источник: http://www.hecfblog.com/2018/10/daily-blog-509-objectids-and-domains.html



RemoteRecon - Remote Recon And Collection

RemoteRecon provides the ability to execute post-exploitation capabilities against a remote host, without having to expose your complete toolkit/agent. Often times as operator's we need to compromise a host, just so we can keylog or screenshot (or some other miniscule task) against a person/host of interest. Why should you have to push over beacon, empire, innuendo, meterpreter, or a custom RAT to the target? This increases the footprint that you have in the target environment, exposes functionality in your agent, and most likely your C2 infrastructure. An alternative would be to deploy a secondary agent to targets of interest and collect intelligence. Then store this data for retrieval at your discretion. If these compromised endpoints are discovered by IR teams, you lose those endpoints and the information you've collected, but nothing more. Below is a visual representation of how an adversary would utilize this.
RemoteRecon_1.png

RemoteRecon utilizes the registry for data storage, with WMI as an internal C2 channel. All commands are executed in a asynchronous, push and pull manner. Meaning that you will send commands via the powershell controller and then retrieve the results of that command via the registry. All results will be displayed in the local console.

Current Capabilities

PowerShell

Screenshot

Token Impersonation

Inject ReflectiveDll (Must Export the ReflectiveLoader function from Stephen Fewer)

Inject Shellcode

Keylog

Improvements, Additions, ToDo's:

Dynamically Load and execute .NET assemblies

Support non reflective dll's for injection

Build Dependecies

The RemoteRecon.ps1 script already contains a fully weaponized JS payload for the Agent. The payload will only be updated as the code base changes.

If you wish to make changes to the codebase on your own, there are a few depencies required.

  1. Visual Studio 2015+
  2. Windows 7 and .NET SDK
  3. Windows 8.1 SDK
  4. mscorlib.tlh (This is included in the project but there are instances where intellisense can't seem to find it [shrug])
  5. .NET 3.5 & 4
  6. James Forshaw's DotNetToJScript project
  7. Fody/Costura Nuget package. Package and embed any extra dependencies in .NET.
For a short setup guide, please visit the wiki

Дата: 2018-10-16 21:04:02

Источник: http://www.kitploit.com/2018/10/remoterecon-remote-recon-and-collection.html



[Перевод] Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 2

Конференция BLACK HAT USA. Ботнет из миллиона браузеров. Часть 1

Мэтт Йохансон: сейчас я покажу, как вводить этот код. Существует множество рекламных сетей, но мы выбрали эту, потому что она позволяет нам делать то, что мы хотим.

97lkggmjvynncrux5vitkoibpey.jpeg

Вы можете выбрать изображение баннера достаточно большого размера, вставить его сюда и присвоить ему URL, так, чтобы после нажатия на баннер пользователь переходил на нужный сайт. Владельцы этой рекламной сети предоставляют опцию HTML JavaScript, это звучит очень хорошо.
Мы начали с того, что показано в верхней части слайда и должны были пойти через весь процесс утверждения, что было, наверное, самое сложное в нашем исследовании. Это произошло не по тем причинам, о которых вы подумали, а потому, что они не очень хорошо представляют значение JavaScript и особо об этом не заботятся. На самом деле они заботились о том, чтобы объявление выглядело красиво и работало как реклама, так что я не мог продолжать идти нашим невидимым путём и просто разметить где-то на заднем плане наш мистический код JavaScript.

Мы вставили скрипт выполнения кода, который разработал Джереми, вы видите его в текстовом поле в нижнем окне, и он был утверждён рекламщиками без всяких проблем. Однако мы хотели иметь возможность перенастроить его в любой момент, чтобы разнообразить исследования, потому что такие вещи, как URL-адреса, часто меняются. Но если бы мы захотели попробовать что-то новое, нам бы заново пришлось пережить процесс утверждения. Это не занимает много времени, но просто раздражает, потому что иногда они одобряли это, а иногда им что-то в этом не нравилось и нам приходилось вносить изменения.

l5hsi_ohgqe0j9gritxjpl3dwgu.jpeg

Например, один раз почтовое приложение раскрыло теги скриптов, весь код JavaScript исчез, и мне пришлось его переместить. Пришлось объяснять им, почему здесь нужно поставить меньше на 1 знак, а там на 1 знак больше, после чего они сообщили, что объявления не отображаются должным образом, в общем, это было весело.

Итак, мы разместили код прямо в рекламном баннере, вписав туда только скрипт источника, где находился наш файл, который мы могли менять в любое время без всякого утверждения со стороны владельцев рекламной сети. Таким образом, даже если бы они каким-то образом наняли людей, разбирающихся в статическом анализе кода JavaScript, мы могли бы просто изменить наш файл на вполне доброкачественный JavaScript. Так что обнаружить наши махинации при таком способе внедрения вредоносного кода было бы очень сложно.

На следующем слайде показан наш рекламный баннер.

5fnjg9kdvdmcebtvt9hxangdgnq.jpeg

Они одобрили один из этих вариантов дизайна. Мне лень было искать другие изображения, поэтому я просто взял эту идею с корпоративного сайта WhiteHat. Текст очень простой: «Получите бесплатный 30-тидневный пробный период, требуйте уже сейчас!», так что кликайте на баннер, это совершенно бесплатно!

Джереми Гроссман: внутри кода баннера находился скриптовый тег месторасположения нашего файла campaign.js по адресу: ec2-23-20-141-160.compute-1.amazonaws.com/campaign.js, выглядевший таким образом:

for (var i = 0; i < 10000; i++) {
var img = new Image();
var url = 'http://<amazon_aws>/iclick/id?' + i;
img.src = url;
}

Мы могли изменять его как угодно и когда угодно без всякого утверждения. Мы не знали, как долго эти браузеры должны были просматривать наши объявления в этой конкретной рекламной сети, так что вместо 100, 200 или 300 просмотров мы сразу остановились на 10000, надеясь на лучшее.
Мэтт Йохансон: начав с малого, мы хотели посмотреть, сможем ли мы заставить пользователей связаться с нами. Мы могли видеть это на своём конце сети, мы видели всех людей, которые прошлись по нашей ссылке, потому что запросы исходили из их браузеров и мы могли определить их IP-адреса. Сначала мы хотели посмотреть, как мы развернули эту вещь и как работает код, потому что это был не тот сервис, где вы платите за клики, мы платили за гарантированное время просмотров.

Джереми Гроссман: вот ещё один скриншот, это «лёгкая» демонстрация, которую мы подготовили специально для BlackHat.

lpv1-7dpngfbssw3s8amffhq-g4.jpeg

Внизу слева вы видите сервер Amazon AWS, который продолжает работать прямо сейчас. Внизу показана начальная метрика: время работы сервера в рекламной сети Мэтта, — 8 минут, общее количество доступов – 4130, это не количество уникальных посетителей сайта, а актуальные веб-запросы с общим объёмом трафика 1,9 МБ, число одновременных запросов – 5. Мы видим протокол регистрации метрик, логи веб-сервера, а также количество минут реального времени посещений сайта, которое мы оплатили.

Мэтт Йохансон: если посмотреть на следующий слайд, то можно заметить скачок, который произошёл между 8 и 10 минутами — общее количество доступов увеличилось до 15 тысяч.

sn-zu-zh_syibgocpjxdm6rrhic.jpeg

Всё это может сделать только 1 объявление, размещённое в рекламной сети. Если вы можете просто добавить больше средств в рекламную сеть, это будет выглядеть как «пик в долине». Я хочу сказать, что это всё это стало возможно благодаря купленным минутам браузера, и в течении 10 минут работы сервера с рекламной сетью мы получили около 15 тысяч запросов.

Затем мы заметили интересную вещь. Напомню, что у нас была не традиционная рекламная сеть, мы заплатили за минуты браузера, то есть кто-то предоставлял нам свой браузер, чтобы он стал частью этой магической сети, фактически продавал нам время своего браузера и время своего процессора. Мы решили посмотреть, что происходит на заднем плане этой сети, какие браузеры там используются, мы хотели немного «поиграть» с Firefox и тому подобное.

И тут мы обнаружили, что в нашу сеть поступает целая куча вызовов от PhantomJS. Кто из присутствующих знаком с PhantomJS? Я вижу, всего несколько человек.

ebfrf_8ngdeziepwrnzddmqj7fc.jpeg

PhantomJS – это «безголовый» браузер, то есть браузер, который можно запускать на устройствах без экрана, таких, как сервер. То есть это не кто-то сидящий в интернете и щелкающий по вкладкам браузера на своём рабочем столе, а робот. Его можно использовать для модульных тестов и он запускается из командной строки. То есть кто-то вёл свою игру в нашей системе, пытаясь получить минуты. Так что другие люди злоупотребляют этим различными способами, и нам забавно было за этим наблюдать. Мы убедились, что минуты представляют не реальные люди, кликающие по своему браузеру, а боты PhantomJS.

Джереми Гроссман: следующие слайды показывают динамику развития процесса: за 15 минут мы получили 28 000 запросов, за 20 минут почти 44 000 запросов, за 22 минуты число запросов достигло 61500.

Мэтт Йохансон: вы можете заметить, что общий трафик очень маленький, мы просто посылаем им URL-адрес, которого не существует, так что 8,5 МБ за 20 минут означают, что пользователи просто получали ошибку 404.

Джереми Гроссман: почти 26 минут, и мы получаем 82 тысячи просмотров, далее 35 минут, 9 одновременных запросов и почти 102 тысячи доступов.

Мэтт Йохансон: мы приберегли свои деньги до конца, чтобы совершить решающий удар нашими «впечатлениями», которые обошлись почти в $20, после того, как рекламная сеть проработает от 30 до 45 минут в обычном режиме. Собственно, я намеревался тратить максимум $10 в день на это исследование. Итак, через 43 минуты у нас было 255 запросов, 133,5 тысячи доступов, а пика посещаемости наша сеть достигла через 54 минуты – 256 запросов и 244425 посещений.

lkcw34wp0cxok5ozjsjnmqodq1g.jpeg

Посмотрите на одновременные запросы, на которые мы нацелены – 255, сервер Apache не будет работать быстрее, далее на скриншотах видно, что сервер не хочет перезагружаться, чтобы обновить данные метрики. После того, как число обращений достигло 130 тысяч, а трафик составил 36 МБ, мы решили несколько увеличить пропускную способность сервера и указали им на загрузку приложения «Aplication Security Specialist (ASS)», так что теперь у нас появилось ещё больше сертифицированных «задниц» в области безопасности. После этого объём трафика резко увеличился до 117 МБ. Через 55 минут у нас было 256 тысяч посещений с трафиком 253 МБ.

Джереми Гроссман: наконец, спустя 59 минут 48 секунд, то есть спустя час после начала работы сервера и через 20 минут после загрузки изображения количество трафика достигло 1 ГБ. После этого мы решили просто оставить это на некоторое время, например, на семь часов, пусть работает.

На следующем слайде вы видите результат работы нашей системы через 8 часов: более 4 миллионов посещений, 114,7 ГБ трафика.

nrs5tuoizbmylljiasrek80xckq.jpeg

Мэтт Йохансон: мы совершили ту же ошибку, что и в первый раз мы — мы пошли на обед. Так что прежде чем мы начали играть в рекламную сеть, вы знаете, у нас было, например 30 000 просмотров за кучу часов, и мы все еще возились с нашим кодом, так что мы думали, что получим за время обеда ещё тысяч десять просмотров. Когда мы вернулись, то посмотрели, ага, нормально, чуть больше 30 тысяч, но потом спохватились – не 30 тысяч, а на порядок больше – 300 000 просмотров!

Если бы потратили больше денег, то получили бы намного больше «впечатлений» намного быстрее, но в нашем случае через 18 часов 42 минуты работы сервера у нас был почти миллион просмотров и 240 ГБ трафика, так что хостинг Amazon обошёлся нам дороже, чем взлом рекламной сети.

Джереми Гроссман: наконец, через 1 день и 6 часов при трафике 241 ГБ у нас было почти полтора миллиона просмотров. Как видно из этого слайда, на то время мы израсходовали почти все наши минуты в системе, и решили, что нам не нужно больше минут. Однако мы не знали, как там пойдёт дело дальше и что будет происходить в середине ночи, поэтому занялись электронной коммерцией ради BlackHat и купили ещё минуты.

xuui0bg6edp0ipayrrap02ws6kq.jpeg

Мэтт Йохансон: вам я этого не рекомендую, потому что мне пришлось нарушить свое правило не тратить больше $10 в день.

kwa1jar-yrionxpcvs7a2tev2gq.jpeg

Джереми Гроссман: теперь у нас было почти 250 ГБ трафика. Вы видите быстро бегущие на экране строки, это логи Apache – сервера, дальше вы видите скриншот «Эта страница не доступна», потому что сервер не справился с нагрузкой и благополучно скончался. Мы бы могли пролистать все логи до конца, но это займёт слишком много времени. Итак, за всё удовольствие мы заплатили всего $20 и в конце получили классический отказ сервиса DoS, выраженный в отказе запроса загрузки изображения. После этого я просто отключил загрузку картинок, просто сбросив настройки. Я мог бы включить её снова, но не хочу показывать вам мой root-пароль.

Мэтт Йохансон: обратите внимание, мы отключили изображение, потому что заметили, что фактические посещения замедлялись, когда мы предоставляли изображение. Мы даже не исчерпали весь лимит соединений. Мы не использовали для этого взлома Firefox, у нас было всего 6 одновременных соединений на браузер. Мы очень нервничали, поэтому не нажали эту большую красную кнопку, чтобы начать обход по FTP, так как не знали, что при этом может произойти. Мы остановились на законных способах, но даже использование легальных методов нас достаточно впечатлило.

8eey9dqqarhryhla0jsw5fr_bnk.jpeg

Поэтому даже не пробуя хакерские методы и не тратя много денег, вы можете достичь приличных результатов. На слайде показано, что через 1 день 20 часов и 40 минут на просмотры было затрачено 243 ГБ трафика, то есть его объём практически не изменился, так как картинки больше не загружались. Когда мы встретились здесь сегодня утром перед началом конференции, я думал что у нас будет около 15 миллионов, так что сейчас, через несколько часов, у нас как раз получилось 20 миллионов просмотра страницы с ошибкой 404.

Джереми Гроссман: единственная причина, по которой мы оказались неспособны «прокачать» больше трафика заключается в производительности сервера. Мы могли бы использовать более мощную платформу и достичь 100 миллионов или миллиарда просмотров, но для одного относительно медленного Apache-сервера это непосильная задача.

Мэтт Йохансон: поэтому наши результаты не особо впечатляют, но вы, ребята, можете получить представление о масштабировании процесса, поэтому причинение ущерба нормальным сайтам потребует не так много денег.

Джереми Гроссман: ну что же, теперь, когда мы достигли этого результата, попробуем всё-таки обойти ограничения браузера на количество соединений с помощью FTP, запустим наш скрипт и посмотрим, что произойдет.

Мэтт Йохансон: да, множество людей приезжают в Лас-Вегас, чтобы потратить свои деньги на игральные автоматы, а мы тратим здесь свои деньги на рекламные сети.

Джереми Гроссман: итак, мы зациклили 400 FTP соединений на сервер Amazon, так что кто знает, что сейчас произойдёт?

У нас появилась метрика сервера, потом опять исчезла, веб-страница снова недоступна, но вы видите, как быстро мелькают строки записи логов. Давайте просто перезагрузимся, потому что сервер фактически мертв и браузер берёт тайм-аут.

Мэтт Йохансон: мы не знаем, как себя поведёт FTP по отношению к рекламным сетям и не знаем, что случилось бы, если бы здесь использовались не боты, а браузеры реальных пользователей. Я надеюсь, что вы, ребята, понимаете, что мы никого не взламывали, а просто выясняли, как работает сеть, для чего специально арендовали серверы. Мы полностью соблюли юридическую сторону вопроса, а вы получили идеи, как весело можно провести время в рекламных сетях.

Мы даже не пытались нарушить закон, прошли этот процесс утверждения, у нас был относительно доброкачественный, а не вредоносный JavaScript, мы даже не тронули «взрослые» рекламные сети, хотя вы увидели, что им зачастую всё-равно, что происходит с рекламными баннерами.

Джереми Гроссман: я услышал хороший вопрос – откуда берутся логи Apache?

Действительно, по умолчанию в Apache нет никаких логов. Возможно, я расскажу об этом позже. У нас имеется Austin Apache, я просто скачал и установил его. Давайте я запущу его – вы видите, здесь нет логов, это локальный сервер. На сервере Amazon вы видите ошибку 408 – сервер не отвечает, так как превышено время ожидания ответа на запрос страницы. Здесь не используется отправка HTTP, но порт 80 всё ещё открыт и держит много соединений. Вернёмся к нашим слайдам — здесь у нас всё хорошо, можно их закрывать.

Итак, вы видели то, что мы сделали, оставаясь на правильной стороне закона. Очевидно, как сказал Мэтт, мы могли бы пойти гораздо дальше, как это обычно происходит в мире информационной безопасности. Рекламные сети, о которых вы знаете, располагают большим количеством разработчиков программного обеспечения. Но поверьте нам, в действительности они не разработчики программного обеспечения, а просто управляют своими рекламными сетями на своих рекламных площадках.

lelmhtk4l5bumg_dhvd6qqnb0sk.jpeg

Одним из инструментов, который они широко используют, является OpenX – рекламный сервер, или рекламный движок. Это программное обеспечение с открытым исходным кодом.
Его используют множество рекламных сетей, и как это обычно бывает, несколько недель назад кто-то обнаружил в нём серьёзные уязвимости, которые подвергают риску миллионы пользователей рекламных платформ. Этот рекламный сервер может быть взломан путём выполнения случайного PHP-кода, который создаёт условия для проведения атаки межсайтового скриптинга XSS.

Так что если вы не хотите платить им свои деньги, а хотите просто воспользоваться рекламной сетью, вы сможете это сделать, просто взломав её и загрузив туда эксплойт, так, что вы сможете контролировать каждого, кто станет просматривать вашу рекламу.

Мэтт Йохансон: мы фактически просто вложили деньги в игральный автомат, который разместил наше объявление, и очень трудно выяснить, кто сделал это рекламное объявление, представляющее собой iframe. Мы исследовали, как iframe разрушает код и озаботились взломом браузера, но смысл нашего исследования состоял в том, что мы пытались использовать браузер для того, чтобы другие люди взламывали себя сами, своими руками.

Джереми Гроссман: это исследование будет продолжено, мы используем наш сервер Amazon и попытаемся собрать вместе некоторых из наших партнёров, чтобы попробовать атаковать сайты с DDoS-защитой и посмотреть, сколько трафика мы сможем на них направить, потому что мы не защищаемся, а нападаем – такова суть наших исследований.

Мэтт Йохансон: мы попытаемся посмотреть, как можно взломать хэш рекламной сети, так у нас есть метрики, дающие хорошее представление о том, что JavaScript может это сделать так быстро, как мы захотим. Мы можем соотнести это с суммой в долларах, чтобы узнать, как много хэшей MD5 можно взломать за 50 центов.

m8z0w2tsowk1junxi6miwbdilpy.jpeg

Джереми Гроссман: я снова повторю – мы можем мобилизовать миллион браузеров, возможно, не одновременно, но вы можете получить этот миллион браузеров примерно за $500 и создать мощнейшиё ботнет.

Я достаточно проработал в области веб-безопасности, и вспоминаю, что давно говорил – мы должны взломать Интернет, чтобы обеспечить его безопасность, взломать существующие в Интернете бизнес-модели, чтобы знать, от чего и как их защитить. Дэн Каминский сказал мне 21 декабря 2010 года: «Никто не сможет взломать Интернет, чувак. Ни сейчас, ни когда-нибудь». До сих пор он был прав.

Но сейчас мы видим проблему. Я не знаю, чья это проблема – рекламных сетей, или проблема поставщиков браузеров, или проблема владельцев сайтов, но она действительно существует. И мы не знаем, чья это ответственность и кто должен это исправить.

Мэтт Йохансон: мы показали вам, что можно натворить, просто загрузив картинку в рекламную сеть, но мы не пошли дальше, мы не нанесли людям никакого ущерба, хотя имели для этого все возможности. И мы не знаем, как от этого защититься – мы просто показали вам механизм, которым могут воспользоваться злоумышленники.

Джереми Гроссман: так что, как видите, есть причина, по которой браузеры предлагают использовать блокировщик рекламы. Включите блокировщик рекламы, и ваш браузер не будет уязвимым для такого типа атак.

Мэтт Йохансон: или как вариант – вообще отключитесь от Интернета.

Джереми Гроссман: я слышу вопрос, во сколько нам обходится сервер Amazon – сейчас, наверное, около $100.

Мэтт Йохансон: сегодня, когда мы действительно сбрасывали деньги в рекламную сеть, перед нашим выступлением мы заплатили $75, и я постарался выжать из них всё, что только возможно.

И я отвечу на последний вопрос насчёт IP-адреса — когда мы получили одобрение своего баннера, мы видели IP-адрес того, кто сделал это одобрение, но он не мог видеть наш IP-адрес и не мог о нас знать ничего, кроме адреса электронной почты.

Спасибо всем, кто пришёл нас послушать!


Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до декабря бесплатно при оплате на срок от полугода, заказать можно тут.

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Дата: 2018-10-16 21:03:03

Источник: https://habr.com/post/426311/