Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...HackIT Ukraine
В рамках своего выступления я расскажу о современных способах атак на мобильные сети, таких как эксплуатирование уязвимостей SS7-сетей и подмена базовой станции. К сожалению, разрабочики «сотовой связи» в 80-е годы прошлого века думали о качестве, о стоимости, о доступности, но не о безопасности создаваемой системы. Не многие знают, что сегодня любой грамотный хакер может получить доступ к вашим звонкам, СМС и отслеживать ваше местонахождение. Целью подобных атак является получение данных о звонках и СМС, их содержание, определение местонахождения и отслеживание передвижения абонента. Кроме сбора информации, подобные атаки часто применяются злоумышленниками для получения доступа к банковским аккаунтам жертвы, либо к конфиденциальной информации, например, мессенджерам, привязанным к мобильному номеру. Если мне дадут разрешение, я бы хотел продемонстрировать одну из атак на посетителях конференции. Если атака путем подмены базовой станции требует нахождения в одной соте с отлеживаемым абонентом, то эксплуатирование уязвимостей SS7-сетей можно проводить даже с территории другого государства. И если простой пользователь не сможет никак лично предотвратить эксплуатацию уязвимостей в SS7-сетях, то он подмены базовой станции разработан эффективные инструменты защиты, о которых я и расскажу в своем выступление. В завершение выступления мне бы хотелось поговорить о защищенных альтернативах SS7-сетей.
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...HackIT Ukraine
В рамках своего выступления я расскажу о современных способах атак на мобильные сети, таких как эксплуатирование уязвимостей SS7-сетей и подмена базовой станции. К сожалению, разрабочики «сотовой связи» в 80-е годы прошлого века думали о качестве, о стоимости, о доступности, но не о безопасности создаваемой системы. Не многие знают, что сегодня любой грамотный хакер может получить доступ к вашим звонкам, СМС и отслеживать ваше местонахождение. Целью подобных атак является получение данных о звонках и СМС, их содержание, определение местонахождения и отслеживание передвижения абонента. Кроме сбора информации, подобные атаки часто применяются злоумышленниками для получения доступа к банковским аккаунтам жертвы, либо к конфиденциальной информации, например, мессенджерам, привязанным к мобильному номеру. Если мне дадут разрешение, я бы хотел продемонстрировать одну из атак на посетителях конференции. Если атака путем подмены базовой станции требует нахождения в одной соте с отлеживаемым абонентом, то эксплуатирование уязвимостей SS7-сетей можно проводить даже с территории другого государства. И если простой пользователь не сможет никак лично предотвратить эксплуатацию уязвимостей в SS7-сетях, то он подмены базовой станции разработан эффективные инструменты защиты, о которых я и расскажу в своем выступление. В завершение выступления мне бы хотелось поговорить о защищенных альтернативах SS7-сетей.
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
Вебинар «Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников» http://www.croc.ru/action/webinars/41850/
Презентация Данила Дрожжина, эксперта по сетевой безопасности компании КРОК
DDoS как актуальная проблема безопасностиQrator Labs
Что такое DDoS-атаки в современном мире, тенденции, история, примеры из жизни. Защита от атак своими силам, при помощи оборудования, облачными сервисами. На что следует обращать внимание при выборе защиты и как не оплатить несуществующие в реальности услуги.
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Сетевая безопасность: две стороны одной медалиКРОК
Вебинар «Сетевая безопасность: две стороны одной медали» http://www.croc.ru/action/detail/56301/
Презентация Данила Дрожжина, эксперта по сетевой безопасности КРОК
УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи"
1. «РАЗВИТИЕ СЕРВИСОВ ПО ЗАЩИТЕ
ОТ DDOS-АТАК: ВЗГЛЯД СО СТОРОНЫ
ОПЕРАТОРА СВЯЗИ»
#CODEIB
2. РОСТЕЛЕКОМ В
ЦИФРАХ
2
28 000 000 АБОНЕНТОВ ФИКСИРОВАННОЙ ГОЛОСОВОЙ СВЯЗИ
11 200 000 АБОНЕНТОВ ШИРОКОПОЛОСНОГО ДОСТУПА В
ИНТЕРНЕТ
8 200 000 АБОНЕНТОВ ПЛАТНОГО ТЕЛЕВИДЕНИЯ
80 РЕГИОНАЛЬНЫХ ФИЛИАЛОВ
2 500 ТОЧЕК ПРОДАЖ И ОБСЛУЖИВАНИЯ
160 000 СОТРУДНИКОВ
БОЛЬШЕ 50% АКЦИЙ КОМПАНИИ КОНТРОЛИРУЕТ ГОСУДАРСТВО
ОПОРНЫЙ УЗЕЛ
РЕГИОНАЛЬНЫЙ УЗЕЛ
ДАТА-ЦЕНТР
Nx40GГбит/с
Nx10 Гбит/с
#CODEIB
7. ВИДЫ DDoS-АТАК
8
DDoS НА TCP-СТЕК/ТАБЛИЦУ СЕССИЙ
• Атака, направленная на устройства связи
с контролем состояний (load balancers,
firewalls, application servers)
• Нацелена на традиционную структуру
сетевой безопасности и на сервера
DDoS НА КАНАЛ СВЯЗИ
• Переполняет каналы связи:
• Во внутренних сетях цели
• Между сетями провайдера и атакуемой
сетью
DDoS НА ПРИЛОЖЕНИЯ
• Малозаметные атаки на приложения –
HTTP/DNS/SIP
• Нацелены на определенные уязвимости
приложений
#CODEIB
8. 11
ТИПОВОЕ ПОДКЛЮЧЕНИЕ КОМПАНИЙ
К ИНТЕРНЕТУ
• >= 50 Mbps
• <= 1 Gbps
• Control Plane
• Performance
• Statefull
• App Inspection
•
WWW
• MAIL
• DNS
• VOIP
• VPN
• Доступ в Интернет
#CODEIB
10. 13
• В СЕТЬ КЛИЕНТА НАЧИНАЕТ ПОСТУПАТЬ
АНОМАЛЬНЫЙ ТРАФИК АТАКИ
• АКТИВИРУЕТСЯ СИСТЕМА ПРОТИВОДЕЙСТВИЯ
АТАКЕ, ТРАФИК НАПРАВЛЯЕТСЯ НА ОЧИСТКУ
• ОЧИЩЕННЫЙ ТРАФИК ПЕРЕДАЁТСЯ В СЕТЬ
КЛИЕНТА
СХЕМА СИСТЕМЫ АНАЛИЗА ТРАФИКА
И ЗАЩИТЫ ОТ DDoS АТАК
#CODEIB
13. 14
КЛИЕНТСКИЙ ПОРТАЛ
Ключевыми функциями портала
являются оповещение клиента о
начале и окончании атак
«ЗЕЛЕНОЕ» – небольшое
превышение трафика, малая
вероятность наличия атаки
«ЖЕЛТОЕ»– умеренное превышение,
вероятность наличия атаки средняя
«КРАСНОЕ» – критическое
превышение, совершается атака
ПРИ ВОЗНИКНОВЕНИИ
АТАКИ ПРЕДУСМОТРЕНЫ ТРИ ТИПА
ОПОВЕЩЕНИЙ:
#CODEIB
14. 15
ОПЦИЯ CLOUD-SIGNALING
СЕРВИС КЛИЕНТА ПОД АТАКОЙ (БЕЗ УЧАСТИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА
ЗАЩИТЫ ОТ DDoS АТАК
СЕРВИС КЛИЕНТА ПОД АТАКОЙ (С УЧАСТИЕМ ОПЕРАТОРСКОГО КОМПЛЕКСА
ЗАЩИТЫ ОТ DDoS АТАК
15. ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
16
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
Позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений
Позволяет отражать атаки емкостью более 5 Тбит/с за счет отражения атаки на пограничных
маршрутизаторах
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
50 инженеров обученных Arbor Peakflow
Опыт отражения атак пиковой производительностью 214 Гбит/с
Ежедневная фильтрация более 15 инцидентов емкостью более 10 Гбит/c
Опыт успешной защиты информационных ресурсов Олимпийских Игр Сочи 2014
#CODEIB
16. ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
17
Система Arbor ATLAS отслеживает около половины глобального интернет трафика, что
позволяет знать всю текущую информацию по атакам и противодействию им
Всем клиентам предоставляется доступ в личный кабинет по управлению услугой
Выделенная круглосуточная смена по отражению DDoS атак
Стоимость услуги не зависит от мощности и количества DDoS-атак
Единственный оператор связи, имеющий опыт подключения клиентских устройств защиты
от DDoS - Arbor Pravail (опция Cloud-signaling)
Емкость российских пиринговых стыков составляет более 5 Тбит/с, международных пиров
более 1,6 Гбит/с, емкость стыков с МН-апстримами – 1,4 Тбит/с, что позволяет контролировать
существенную долю интернет трафика в РФ и отражать атаки на границе сети
#CODEIB
Типовое подключение банка к ISP обычно включает в себя:
Каналы от нескольких независимых операторов связи
Ширина каждого канала от 50 Мбит/с до 1Гбит/с
Наличие собственных системы безопасности: Firewall/IPS/WAF
Смешанный набор сетевых приложений доступных всему Интернет
Доступ сотрудников в интернет осуществляется по этим же каналам
Возможные вектора DDoS-атак:
Канал
Вычислительные ресурсы маршрутизатора и уровень управления маршрутизатора
Statefull устройства безопасности
Вычислительные ресурсы серверов и приложений
Блокировка доступа в интернет для пользователей
Для борьбы с DDoS-атаками Клиенты зачастую устанавливают системы фильтрации трафика у себя на площадке, тем самым они устраняют проблемы связанные с доступность своих ресурсов, НО только в рамках трафика, который не превышает полосу пропускания канала или производительность antiddos устройства.
Отсюда напрашивается очевидный для всех вывод, что бороться ТОЛЬКО на стороне клиента как минимум не эффективно. И для того, чтобы обеспечить полноценную защиту необходимо обеспечивать защиту совместно с оператором связи или специализированных сервисов, на которые перенаправляется трафик Клиента.