PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?PROIDEA
The document discusses automating operations for a network operator. It describes how SDN, network intelligence, and orchestration can be used to automate management, configuration of devices and components, and network services. It provides an example of how a script could automatically adjust QoS policies and IGP metrics in response to changing link bandwidth on a microwave backhaul network.
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPROIDEA
This document discusses challenges related to implementing 100G deep packet inspection on x86 platforms. It begins by explaining why DPI is needed at speeds of 100G+ and examples of large DDoS attacks where DPI could help. It then sizes the requirements for scanning packets at 100Gbit/s rates. Next, it covers approaches to software payload lookup like regular expressions and finite state machines. The rest of the document discusses specific regex and DPI techniques like Hyperscan, benchmarking regex performance, and examples of hardware that could accelerate such inspection.
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PROIDEA
Mellanox provides open Ethernet switches that decouple switch software and hardware, allowing users freedom to choose any software to run on any hardware. This includes open source options like Quagga and SONiC. Mellanox's SN series switches run on ONIE, an open source bootloader that allows installation of any network OS. Mellanox's switch software drivers provide standard APIs like SAI and SDK that abstract the hardware and allow network OSes to run. This enables the use of switches with Linux and popular open source networking software.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport:
https://www.cybsecurity.org/wp-content/uploads/2016/02/Raport_FBC_Raport-Cyberzagrozenia_2016.pdf
PLNOG 18 - Piotr Jabłoński - Co i jak można zautomatyzować u operatora?PROIDEA
The document discusses automating operations for a network operator. It describes how SDN, network intelligence, and orchestration can be used to automate management, configuration of devices and components, and network services. It provides an example of how a script could automatically adjust QoS policies and IGP metrics in response to changing link bandwidth on a microwave backhaul network.
PLNOG 18 - Paweł Małachowski - Spy hard czyli regexpem po pakietachPROIDEA
This document discusses challenges related to implementing 100G deep packet inspection on x86 platforms. It begins by explaining why DPI is needed at speeds of 100G+ and examples of large DDoS attacks where DPI could help. It then sizes the requirements for scanning packets at 100Gbit/s rates. Next, it covers approaches to software payload lookup like regular expressions and finite state machines. The rest of the document discusses specific regex and DPI techniques like Hyperscan, benchmarking regex performance, and examples of hardware that could accelerate such inspection.
PLNOG 18 - Arne Heitmann - Open Ethernet Switches – Decoupling Switch Softwar...PROIDEA
Mellanox provides open Ethernet switches that decouple switch software and hardware, allowing users freedom to choose any software to run on any hardware. This includes open source options like Quagga and SONiC. Mellanox's SN series switches run on ONIE, an open source bootloader that allows installation of any network OS. Mellanox's switch software drivers provide standard APIs like SAI and SDK that abstract the hardware and allow network OSes to run. This enables the use of switches with Linux and popular open source networking software.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport:
https://www.cybsecurity.org/wp-content/uploads/2016/02/Raport_FBC_Raport-Cyberzagrozenia_2016.pdf
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport: https://www.cybsecurity.org/wp-content/uploads/2016/02/RaportFBC_Cyberzagrozenia_2016.pdf
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PROIDEA
Andrzej Karpiński – TBD
Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.
Język prezentacji: Polski
Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.
06 Bluetooth, zaprojektowany aby "zjednoczyć"MarcinStachniuk
Prezentacja wprowadzająca do korzystania z Bluetooth'a w j2me. Przygotowana i wygłoszona przez Przemysława Bieruta 03.12.2009.
Prezentacja wygłoszona w ramach Warsztatów programowania telefonów komórkowych w j2me przy Studenckim Kole Naukowym Informatyki Systemów Autonomicznych i Adaptacyjnych ISA^2.
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
Speaker: Jarosław Sordyl
Language: Polish
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie.
Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża?
Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis - CaaS).
Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak.
Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku
z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
CONFidence: http://confidence.org.pl/pl/
PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach w 2016 oczami CERT Polska
1. Zagrożenia w (głównie) polskich
sieciach oczami CERT Polska
PRZEMEK JAROSZEWSKI
CERT POLSKA / NASK
PLNOG18, WARSZAWA, 6 MARCA 2017
2. Czym jest CERT Polska?
Od 1996 pomagamy polskim użytkownikom Internetu i
użytkownikom polskiego Internetu
Prowadzimy działalność badawczą w zakresie metod wykrywania
incydentów, analizy złośliwego oprogramowania i systemów
wymiany informacji o zagrożeniach
Aktywnie współpracujemy z innymi zespołami CSIRT w kraju i
zagranicą, pełniąc rolę de facto CSIRT krajowego, a od 2017
reprezentując Polskę w CSIRT Network
Część instytutu badawczego NASK (rejestr domeny .pl)
Od połowy 2016 roku część pionu NC Cyber
3. Czym jest NC Cyber?
Pion w NASK, w skład którego wchodzą m.in. CERT Polska, dyżurnet.pl,
Dział Rozwoju, Polityk i Standardów
Działanie w trybie 24/7
Współpraca z partnerami na podstawie trójstronnych porozumień z MC
i NASK oraz umów szczegółowych
Gotowość do przyjęcia zadań związanych z analizą i koordynowaniem
incydentów – przede wszystkim o charakterze międzysektorowym i
międzynarodowym
Gotowość do tworzenia obrazu sytuacyjnego i wkładu do analizy
ryzyka dla organów państwa odpowiedzialnych za reagowanie
kryzysowe
4. Co ciekawego w 2016?
root:xc3511
root:vizxv
root:admin
admin:admin
root:888888
root:xmhdipc
root:default
root:juantech
root:123456
root:54321
support:suport
root:
admin:password
root:root
root:12345
5. Mirai
Bot napisany w C pod Linux/BusyBox + C&C w Go
Skanuje internet w poszukiwaniu urządzeń z domyślnymi danymi
dostępowymi (telnet, porty tcp 23, 2323, 23231, …)
Główne cele: kamery, rejestratory wideo, routery
Wykorzystywany do DDoS (w tym „as a service”)
potwierdzone wolumeny 600-1000 Gbps
nietypowe rodzaje ataków (DNS Water Torture, GRE Flood, TCP STOMP)
wśród ofiar m.in. Brian Krebs, OVH, Dyn
Kod upubliczniony pod koniec września 2016
6. Miara
Liczba unikalnych adresów
IP dobowo
Mediana 6970
Maksimum 14054
Lp. ASN Nazwa operatora
Średnia liczba
botów dziennie
1 5617 Orange Polska S.A. 4141
2 12741 Netia S.A. 934
3 8374 Polkomtel sp. z o.o. 218
4 21021 Multimedia Polska S.A. 211
5 12912 T-MOBILE POLSKA S.A. 164
6 29314 VECTRA S.A. 110
7 43939 Internetia Sp.z o.o. 71
8 20960 TK Telekom sp. z o.o. 64
9 16342 Toya sp.z.o.o 48
10 35191 ASTA-NET S.A. 46
7. TR-064/TR-069
W listopadzie 2016 zmodyfikowany kod Mirai został wykorzystany do
stworzenia bota skanującego TR-064 w poszukiwaniu routerów
podatnych na nowo wykryte RCE
Podatne wiele modeli routerów, dystrybuowanych w wielu krajach
W samym tylko niemieckim T-Mobile potwierdzone 900 tysięcy
podatnych urządzeń klienckich (Zyxel)
8. Po co to wszystko?
Boty na przejętych routerach to świetne źródło anonimowości dla
przestępców!
trudne do wytropienia źródło spamu
SOCKS proxy wykorzystywane przy kradzieży pieniędzy (obejście
mechanizmów kontrolnych banków!)
wykorzystanie fast-flux i proxy do zarządzania infrastrukturą botnetu
9. Avalanche
Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania
botnetami, działająca w technologii „double fast-flux”
Działająca co najmniej od 2009
Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania
do wysyłki spamu, obsługi ransomware, phishingu itp.
W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w
ponad 60 rejestrach
Wiele algorytmów DGA
Dobrze zorganizowane sieci słupów
10. Avalanche
Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania
botnetami, działająca w technologii „double fast-flux”
Działająca co najmniej od 2009
Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania
do wysyłki spamu, obsługi ransomware, phishingu itp.
W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w
ponad 60 rejestrach
Wiele algorytmów DGA
Dobrze zorganizowane sieci słupów
11. Zamknięcie Avalanche
30 listopada 2016 w wyniku czteroletniego śledztwa, w które
zaangażowane były organy ścigania w 3 krajach, DoJ, FBI, Europol i
dziesiątki partnerów przeprowadzono skoordynowaną akcję, której
wynikiem było:
5 zatrzymań
37 przeszukań
39 zatrzymanych serwerów
221 serwerów wyłączonych przez dostawców
ponad 800 000 domen przejętych, zablokowanych lub sinkhole’owanych
14. Pravyi Sektor
@PolishClubBos Ukrainian nationalists broke into the major
TV and internet provider https://t.co/9snF5gwmIC
— Lemberg (@noskovfurs1994) July 7, 2016
20. Więcej danych w n6
Hurtownia danych z sinkhole’i, honeypotów, skanerów, blacklist i in.
Właściciele sieci dostają informacje o swoich sieciach
Dane udostępniane po HTTPS przez REST API w wielu formatach,
uwierzytelnienie certyfikatem klienckim
Warunkiem dołączenia jest własny AS lub sieć co najmniej /29
Więcej informacji: http://n6.cert.pl/