Successfully reported this slideshow.
Your SlideShare is downloading. ×

Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 46 Ad

Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)

Download to read offline

HighLoad++ 2017

Зал «Мумбай», 8 ноября, 15:00

Тезисы:
http://www.highload.ru/2017/abstracts/3008.html

Никогда не было и вот снова случилось! Компания Google в результате перенаправления трафика сделала недостпуными в Японии несколько тысяч различных сервисов, большинство из которых никак не связано с самой компанией Google. Однако, подобные инциденты происходят с завидной регулярностью, вот только не всегда попадают в большие СМИ. У таких инцидентов могут быть разные причины, начиная от ошибок сетевых инженеров и заканчивая государственным регулированием.
...

HighLoad++ 2017

Зал «Мумбай», 8 ноября, 15:00

Тезисы:
http://www.highload.ru/2017/abstracts/3008.html

Никогда не было и вот снова случилось! Компания Google в результате перенаправления трафика сделала недостпуными в Японии несколько тысяч различных сервисов, большинство из которых никак не связано с самой компанией Google. Однако, подобные инциденты происходят с завидной регулярностью, вот только не всегда попадают в большие СМИ. У таких инцидентов могут быть разные причины, начиная от ошибок сетевых инженеров и заканчивая государственным регулированием.
...

Advertisement
Advertisement

More Related Content

Slideshows for you (18)

Similar to Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs) (20)

Advertisement

More from Ontico (20)

Recently uploaded (20)

Advertisement

Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)

  1. 1. Перехват трафика Мифы и Реальность Евгений Усков Александр Азимов Qrator Labs
  2. 2. MiTM Attacks
  3. 3. Ночь, улица, коллектор…
  4. 4. Big Brother Is Watching You
  5. 5. Но все изменилось…
  6. 6. Но все изменилось…
  7. 7. Все стало хорошо? https://www.ssllabs.com/ssl-pulse/
  8. 8. Не совсем… Уязвимости, связанные с MiTM (октябрь 2017) ● Уязвимость WPA2 ● Критическая уязвимость Windows DNS Client ● Уязвимость в Outlook 2016
  9. 9. Уязвимость Windows DNS Client DNS query Malicious DNS response Remote code execution
  10. 10. Уязвимость в Outlook 2016 Outlook 2016 вместе с зашифрованным письмом присылает его открытый текст
  11. 11. Уязвимость в Outlook 2016 Открытый текст
  12. 12. HTTPS Идеальные условия: • Сервер использует только HTTPS • Все обновления безопасности установлены • Уязвимости отсутствуют (и у клиента, и у сервера) Полная безопасность?
  13. 13. HTTPS Идеальные условия: • Сервер использует только HTTPS • Все обновления безопасности установлены • Уязвимости отсутствуют (и у клиента, и у сервера) Не совсем
  14. 14. Выдача сертификатов May I have certificate for example.com
  15. 15. Выдача сертификатов May I have certificate for example.com OK
  16. 16. Выдача сертификатов May I have certificate for example.com OK May I have certificate for example.com
  17. 17. Как проверяетя «владение» домена?
  18. 18. Система сертификации уязвима к MiTM!
  19. 19. Система сертификации уязвима к MiTM! May I have certificate for example.com OK May I have certificate for example.com OK
  20. 20. Но это были только цветочки…
  21. 21. MiTM Attacks Connecting, port 80Connecting, port 80
  22. 22. MiTM Attacks Connecting, port 80 HTTP 302 Connecting, port 80
  23. 23. MiTM Attacks Connecting, port 80 HTTP 302 Connecting, port 443 Connecting, port 80
  24. 24. MiTM Attacks Connecting, port 80 HTTP 302 Connecting, port 443 HTTP 200 Connecting, port 80 HTTP 200 EncryptedNot encrypted
  25. 25. Как перехватить трафик?
  26. 26. Что управляет вашим трафиком? Ключевую роль играют 2 протокола: • DNS (Domain Name System) • BGP (Border Gateway Protocol)
  27. 27. Создатели Интернета
  28. 28. DNS
  29. 29. DNS Проблемы: • Данные передаются открытым текстом • Ответы никак не верифицируются DNS spoofing (DNS cache poisoning)
  30. 30. DNS spoofing DNS query Spoofed DNS response Cache poisoned
  31. 31. DNS spoofing DNS query Spoofed DNS response
  32. 32. BGP Автономная система (AS) — система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с Интернетом • Автономные системы обмениваются информацией о доступности сетей • На основе полученной информации принимается решение о маршрутизации
  33. 33. BGP Проблемы: • Маршрутизатор может отправить произвольный анонс своим соседям • Во многих случаях анонсы не верифицируются BGP hijacks, BGP route leaks
  34. 34. BGP hijacking AS 1 Я знаю маршрут до X.Y.Z.0/23
  35. 35. BGP hijacking AS 1 AS X Я знаю маршрут до X.Y.Z.0/23 Я знаю маршрут до X.Y.Z.0/24
  36. 36. BGP route leaks Provider (AS 2) Customer (AS 3) Анонс X.Y.Z.0/24 через AS 2Анонс X.Y.Z.0/24 через AS 3 2 Provider (AS1)
  37. 37. Что управляет вашим трафиком? DNS BGP BGP Hijacks BGP Route Leaks DNSSec BGPSec RFC4035, 2005 Adoption rate: 15% RFC8205: 2017 Adoption rate: 0% Cache Poisoning DNS Spoofing
  38. 38. DNS spoofing: Yandex Yandex Blackhole Other
  39. 39. BGP route leak: Google Инцидент 25 апреля 2017: • Утечка около 135к префиксов в сторону Verizon • Трафик, предназначенный для Японии, был направлен на серверы Google • Недоступность многих сервисов в Японии в течение 40 минут
  40. 40. BGP hijacking: Ростелеком Инциденты 25-27 апреля 2017: • Ростелеком анонсирует от себя около 50 префиксов из других автономных систем • Трафик ряда сервисов был перенаправлен в Ростелеком • Среди них Visa, MasterCard, Приватбанк, Norvik Bank, Альфа-банк, HSBC
  41. 41. BGP route leak: Homecredit банк
  42. 42. Большая тройка – MiTM – Ростелеком
  43. 43. «Добрый» перехват трафика +73ms в среднем +244ms максимально Увеличивает вероятность потери пакетов. Одинаковый эффект, как от перехвата входящего, так и исходящего трафика
  44. 44. Мониторинг или жизнь? •Системы сертификации уязвимы к MiTM! •Но даже сертификат не нужен для успешной атаки… •Перенаправление трафика пугающе просто осуществить; •Развитие протоколов безнадежно отстает; •Альтернативы мониторингу не существует.
  45. 45. Qrator.Radar 400 точек BGP мониторинга по всему миру!
  46. 46. Qrator.Radar BGP Secuirty Monitoring radar.qrator.net DNS Monitoring BGP Security Monitoring Vulnerability Monitoring Connectivity Monitoring

×