• Транскрипция двенадцатого выпуска подкаста «Прокуратор»

      imageВ незапамятные времена на всеми нами любимом ресурсе (то есть прямо здесь) был тип публикации, называемый «подкаст». С тех утекло много воды, подкасты исчезли с Хабра, но пережили взлет, падение и новый взлет, приводя нас в день сегодняшний. Мы долго думали, стóит ли нам проводить эксперимент по транскрибированию часового подкаста в текст, но где-то после третьего запроса «почитать», но не «послушать» поняли, что сделать это придется.

      Краткая справка:
      • Да, подкаст называется «Прокуратор», но не Иудеи, а информационной безопасности.
      • Нет, на картинке не Понтий Пилат, а Николо Маккиавелли, ведь его «Принцепс» (или «Государь») первым описал методологию захвата власти и методы управления — то, с чем (попытками захвата и контроля) мы постоянно сталкиваемся в области «информационной» и любой другой «безопасности».
      • Да, мы решили сделать текстовую расшифровку одного из выпусков подкаста в первую очередь для тех, кто пока не знает, было бы ему интересно слушать подобные обсуждения, а во-вторую — для людей, лучше воспринимающих текст, нежели аудио.
      • Нет, мы не будем делать расшифровки каждого подкаста регулярно.
      • Да, это двенадцатый по счёту выпуск подкаста, его название 0c. Он был опубликован 30 марта — в процессе чтения (или прослушивания) вы поймёте, почему это важно понимать в середине апреля.
      Читать дальше →
      • +25
      • 2,7k
      • 2
    • Четыре факта о memcached-амплификации

      • Перевод

      Это перевод оригинальной публикации Артема ximaera Гавриченкова «Understanding the facts of memcached amplification attacks», опубликованной в блоге APNIC (Азиатско-Тихоокеанский сетевой информационный центр).

      Неделя с 25 февраля по 3 марта была высокоинтенсивной с точки зрения memcached-амплифицированных DDoS-атак во всех уголках мира, то есть в интернете.

      Тем не менее, давайте еще раз вспомним все факты, которые нам известны об амплифицированных атаках.

      Факт номер один: Амплификаторы были, есть и будут есть


      NTP (Network Time Protocol) был первым протоколом, злонамеренно использованным в качестве амплификатора (усилителя) DDoS-атак еще в 2013 году. Тысячи и сотни тысяч NTP-серверов к тому моменту были развернуты по всей сети, так что использование данного вектора амплификации было вполне выгодно злоумышленникам. И NTP давал такую возможность, что вылилось в волну амплифицированных NTP DDoS-атак. В начале 2014 года на какое-то время NTP в качестве главного амплификатора стал даже популярнее протокола DNS (Domain Name System).
      Читать дальше →
      • +40
      • 3,7k
      • 1
    • Годовой отчет по кибер- и инфобезопасности за 2017 год

        Здравствуй, Хабр. Мы бы хотели представить тебе краткую версию годового отчета по кибер- и инфобезопасности за 2017 год, написанный нами совместно с главным партнером — Wallarm, предоставившим информацию по наиболее заметным уязвимостям и взломам.

        В 2017 году компании Qrator Labs и Wallarm отметили растущую диверсификацию угроз из-за увеличивающегося множества возможных векторов атаки. Диапазон критических уязвимостей современной глобальной сети настолько широк, что злоумышленники могут выбирать различные способы создания проблем для практически любой организации. И все большее количество инструментов может работать автоматически, делая централизованное управление излишним.

        Если 2016 год можно назвать годом ботнетов и терабитных атак, то 2017 год был годом сетей и маршрутизации. Такие инциденты как спровоцированная Google утечка маршрутов сетей Японии, перехват чужого трафика Level3 в Соединенных Штатах и «Ростелекомом» в России, как и многие другие, демонстрируют устойчивые и высокие риски, связанные с человеческими факторами, основанные на бесхозяйственности и недостаточной автоматизации процессов. Храбрый инженер, уверенно останавливающий важный автоматический сценарий, может создать серьезные проблемы в доступности сетевых ресурсов.


        Динамика количества атак за 2016–2017 гг
        Читать дальше →
      • UPDATED: Амплифицированные memcached DDoS-атаки на 500 Гбит/с прокатились по всей Европе



          Давным-давно в далеком-далеком git-репозитории Брайаном Акером был сделан коммит, внедряющий замечательную фичу прослушивания UDP трафика в установке memcached по умолчанию.

          А между 23 и 27 февраля 2018 года по всей Европе прокатилась волна memcached-амплифицированных DDoS атак.
          Читать дальше →
        • Угрозы прошлого и протоколы будущего



            Как многие из читателей блога Qrator Labs, вероятно, уже знают, DDoS-атаки могут быть нацелены на разные уровни сети. В частности, наличие у злоумышленника крупного ботнета позволяет ему осуществлять атаки на уровень L7 (application/прикладной) и пытаться мимикрировать под нормального пользователя, в то время как без оного атакующий вынужден ограничиваться пакетными атаками (любыми, позволяющими подделывать адрес источника на том или ином этапе) на нижележащие уровни транзитных сетей.

            Естественно, и для первой, и для второй задачи атакующие обычно стремятся использовать какой-то уже существующий инструментарий – ровно так же, как, например, разработчик веб-сайта не пишет его полностью с нуля, а использует распространённые фреймворки вроде Joomla и Bootstrap. Например, популярным фреймворком для организации атак с Интернета вещей уже полтора года является Mirai, чей исходный код был выложен в открытый доступ его авторами в попытке стряхнуть с хвоста ФБР еще в октябре 2016-го.

            А для пакетных атак таким популярным фреймворком является встроенный в Linux модуль pktgen. Его туда встраивали не для этого, а для вполне легитимных целей сетевого тестирования и администрирования, однако, как писал Исаак Азимов, «атомный бластер — хорошее оружие, но он может стрелять в обе стороны».
            Читать дальше →
            • +33
            • 8,4k
            • 3
          • Измерения как путь к открытости

              Сегодня все мы живем в мире «подобного». Подобных услуг IP-транзита, нейтрализации DDoS, в общем и целом практически любому цифровому сервису можно найти аналогичный. То есть факт — на рынке существует множество поставщиков услуг. И при сравнении предлагаемых ими услуг между собой у потенциального клиента зачастую небольшой круг возможностей. В итоге потребитель вынужден сравнивать между собой исключительно маркетинговые материалы разных компаний, то есть фактически собственные интерпретации компаний по поводу своих же услуг. Это, как минимум, странно и далеко от объективного сравнения даже по такому простому соотношению как «цена/качество».

              Долгое время этой ситуации не существовало никакой альтернативы. Да, есть аналитические агентства, сравнивающие и анализирующие рыночные предложения; опять же – насколько они являются доступными и готовы ли мы им полностью доверять? Доля рынка, финансовое состояние компании и другие «бизнес-метрики» могут не говорить ровным счётом ничего о качестве сервиса и услуги. В данный момент мы живём в мире сравнения брендов, а не качества предлагаемых ими услуг. На наш взгляд, это достаточно плохой симптом для рынка.

              Однако ситуация меняется и в последнее время стали появляться возможности всё-таки провести бесплатно количественную, и качественную оценку желаемого сервиса до его покупки. И один из лучших таких механизмов — это RIPE Atlas.
              Читать дальше →
            • Не фича, но баг

                22 декабря 2017 года — ВКонтакте выкатила интересный апгрейд собственного iOS-приложения. Вот цитата новостного агентства, касающаяся конкретных изменений:
                В новой версии «ВКонтакте» для iOS и Android появилась поддержка Accelerated Mobile Pages (AMP) — мобильного стандарта, который позволяет быстро загружать внешние статьи. Теперь страницы всех сайтов, которые настроили AMP, открываются прямо внутри приложения.
                (официальная новость)

                Технология AMP, разработку которой инициировал Google, призвана ускорять работу вебсайтов на всех устройствах и платформах. Это современный подход к оптимизации HTML и CSS, позволяющий ускорять загрузку на устройствах с помощью preconnect API и асинхронного выполнения Javascript.
                Читать дальше →
              • Рожденный перехватывать трафик

                  Новые интернет-провайдеры появляются буквально каждый день, и 12 декабря 2017 года не было исключением. Новичок в экосистеме междоменной маршрутизации, AS39523 (DV-LINK-AS), начала анонсировать собственное адресное пространство (один префикс), добавив к нему в то же время еще 80 чужих префиксов, принадлежащих как российским, так и международным контент-провайдерам, таким как Google, Facebook, Mail.ru, Vkontakte и многих других.

                  image
                  Инцидент длился более 2-х часов, начавшись в 4:44 по UTC с пиком в 80 префиксов, закончившись в 7:19 с еще одним пиком в районе 7:04 UTC.
                  Читать дальше →
                • ENOG'14 — влияние блокировок контента на инфраструктуру интернета



                    Qrator Labs выражает благодарность программному комитету ENOG за разрешение опубликовать на Хабре расшифровку круглого стола, посвященного блокировкам запрещенного к распространению контента. Мероприятие проходило в Минске 9-10 октября. Внимание! Текст длинный, тема чувствительная — просьба отнестись серьёзно к комментарию, который вы захотите оставить под публикацией.

                    ENOG («Евразийская группа сетевых операторов», в оригинале European Network Operators Group) представляет собой региональный форум интернет-специалистов, занимающихся важнейшими аспектами работы интернета. В рамках форума они имеют возможность обмениваться опытом и знаниями по вопросам, присущим Российской Федерации, странам СНГ и Восточной Европы.

                    Очередность выступлений и темы докладов:

                    1. Техническая сторона блокировок — Алексей Семеняка, RIPE NCC
                    2. Обзор технической ситуации с блокировками в России — Филипп schors Кулин, DIPHOST
                    3. Проблемы deep packet inspection в транспортных сетях — Артем ximaera Гавриченков, Qrator Labs
                    4. Перспективы блокирования контента в условиях дальнейшего развития технологий интернет — Антон Басков, AB Architecture Bureau
                    5. Административные вопросы блокировок — Юрий Каргаполов, UANIC

                    Блокировки контента, введение

                    Читать дальше →
                    • +55
                    • 9,1k
                    • 6
                  • Глобальные последствия одной ошибки в Quagga

                      imageСлева вы наблюдаете аватар savannah.gnu.org, где лежит репозиторий Quagga. Нам показалось, что он подходит к событию.

                      Примерно две недели назад команда Qrator Radar столкнулась с интересным сетевым инцидентом, выяснение обстоятельств которого вылилось во внутреннее расследование-исследование, с поиском пострадавших и виновных, а также попытками исправить ситуацию. 30.09.2017 наша команда обратила внимание на необычно большое количество «мигающих» BGP-сессий.
                      Читать дальше →
                    Самое читаемое