США разработали «цифровую бомбу»...

business-gazeta.ru — ...для направленных кибератак на Россию. По данным The Washington Post, в пакете санкций против России, принятом в декабре 2016 года, была неопубликованная часть, в которой американским спецслужбам поручили найти слабые места в российской инфраструктуре. Бывший американский чиновник рассказал, что кибероперация находится на ранней стадии. Предполагается размещение «имплантов» в российских сетях, которые считаются важными, чтобы применение кибероружия причинило «боль и дискомфорт».

Новости, Политика | Ворчун 14:05 23.06.2017

29 комментариев | 63 за, 0 против |

#1 | 14:35 23.06.2017 | Кому: Всем

Некая кибератака уже несколько месяцев идёт. Конкретно: DDoSят DNS (named/bind9), причём если раньше такие атаки были короткими и в основном с китайщины, то сейчас массированные налёты по нескольку суток подряд, и география очень пёстрая, включая ряд ламериканских университетов. Студенты балуются? Не думаю.

PS: Работаю в некрупном пром.провайдере, нам стабильно named кладут, примерно раз в две недели. Вчера, в четверг, 22-го, в очередной раз было. В понедельник будем собирать совет мудейших (не опечатка!) и решать, как закрываться. Поскольку мы пров терминирующий, у нас нет транзита, то есть мысль закрыть файрволом ipfw все запросы, кроме наших сеток (клиентских).

UPD: Мысль оказалась дурацкой. Наш named держит ещё и нашу зону, и несколько клиентских. Закрываться снаружи просто нельзя. Либо передать зоны на внешние NS, что, учитывая, что мы сами себе провайдер, выглядит несколько нелепо. Платить сторонним NSам за то, что мы сами для себя делаем забесплатно, никто из генералов не готов.

#2 | 15:00 23.06.2017 | Кому: Ябадабадун

> Сетевая инфраструктура есть, вместо цисок будут координатно-матричные АТС на декадно-шаговых искателях

Нет уже той инфраструктуры. В Питере, во всяком случае. Многое уже посрезали и повыдергали. Кабельные канализации заметно опустели. Остались шкафные районы и "последние мили", но все магистрали -- давно оптика.

#3 | 15:12 23.06.2017 | Кому: dse

> Если есть свои прямые зоны, публикуемые в интернете -- разместить их на DNS-серверах какого-нибудь крупного хостинг-провайдера, который может себе позволить прикрыть их с помощью своей мощной IDS/IPS.

Для субпровов это стоит денег, и совсем немелких. Генералы платить не хотят -- их решение. Объяснять генералам, что они неправы -- не моя задача, да и ссыкотно :)

Когда на предыдущей работе поднимал шлюзак (сугубо конечно-клиентский), озадачился вопросом ценника на NS-зоны для юриков и для физиков. Разница есть. Поэтому и там одним из NS-ов выставили свой, другой был вообще левый частный хост на колоколе. Но тогда ДДоСили вяло, fail2ban успевал отбиваться.

> И вообще, раз пошла такая пьянка с DDoSами, считаю, что мелкому провайдеру имеет смысл вообще избавиться в своей сети от всех сервисов, которые доступны из интернета и, опять-таки, разместить их у крупных провайдеров. Потому что см. выше про IDS/IPS.

Анриал. Ряд клиентов сидит на нашем почтаке. У некоторых на территории свои вебаки. У нас у самих вебак свой. NS-ы -- опциональны, но изначально взведены свои, и переделывать это генералы жмотятся. И не мне им объяснять, что экономия сегодня может обернуться пиздецом завтра.

У нас уже Астериску подломили на более чем 300 тыр, сейчас трём тёрки с надпровайдером, ситуация неоднозначная.

#4 | 15:16 23.06.2017 | Кому: dse

> В Москве уже здания АТС сносят, и строят на их местах жильё

У меня АТС, двухэтажное здание, два 10-тысячника -- ужались до половины первого этажа (с ДШ проагрейдились до 5-го поколения, вроде, Eric AXE). Остальное сдают в аренду, весь второй этаж -- фитнесс-клуб известной сети.

#5 | 15:25 23.06.2017 | Кому: dse

> Зачем нужно было выставлять её в интернет?

Не выставлена. Точнее, только по белому списку доступна. Всю ситуацию описывать не буду, несколько коммерческая тайна как бы. Подломили при глюке на бордере. Это всё, что могу сказать.

#6 | 15:43 23.06.2017 | Кому: dse

> Вижу, МСЭ на самом сервере с астериском настроить постеснялись

На Астериске теперь вздрючен иптаблес. Ну, так бюджетнее, чем развлекаться МСЭ. Астер стоит в нашей же сетке, в нашем пуле. Ну, так исторически сложилось. Переделать "как надо" можно, но у генералов жаба Жабба Хатт...

#7 | 15:53 23.06.2017 | Кому: dse

> камрад Antic пишет, что у него named регулярно падает. На канал камрад Antic не жалуется, следовательно, если это DDoS, то явно второго типа.

ТТ. На отказ конкретного сервиса жалуюсь. Только во Фряхе это вызывает отказ всего шлюзака (вплоть до кернел паники, лично наблюдал).

> Может, конечно, это и не DDoS, просто кто-то счупает его named на предмет уязвимостей с целью вломиться в его сетку, не знаю.

Один раз нам сетку подломили, но на Layer 2. Доказано, что "мстил" мой предшественник. Обошлись без уголовки, как-то объяснили персонажу, что он категорически был неправ.

> Вполне может быть, что камраду Antic'у достаточно будет мигрировать с этого named'а на что-нибудь другое, и проблема будет решена

Я не имею права голоса в этом вопросе, там генералы рулят. И, это... я здесь Layer 3 не заведую, он на аутсорсе, я рулю Layer 2 и иногда Layer 1.

#8 | 16:02 23.06.2017 | Кому: dse

> iptables -- это вполне себе полноценный МСЭ, верь мне

Хуле верить-то?? :) Так уж явно не стебись надо мной. Тот же ipfw в БЗДе -- точно так же МСЭ. Я ж не первый год в обнимку с чертями и пингвинами :)

Просто синтаксис правил ipfw заметно проще, чем иптаблесов (их пока так до конца и не освоил, мне Фря как шлюз/бордер роднее). И см. выше -- я не рулю Layer 3 в данном случае. Могу только давать умные советы аутсорсерам.

#9 | 16:06 23.06.2017 | Кому: kobanchi

> Ну это тогда не DDoS уже. Это в какую-то уязвимость долбят

Уязвимость Фряхи в том, что, если заДДоСить некий сервис и заставить его выжрать все мозги, то ядро трапается. В Линухах тоже так можно вынести ядро, но сильно реже, но там есть другие сетевые уязвимости, почему я не люблю пингвинов в качестве шлюзов. Бздяхи устойчивее к сетевым атакам вообще. Но вот по ДДоСам конкретно -- проигрывают, увы.

#10 | 16:09 23.06.2017 | Кому: dse

> Нагнуть аутсорсеров, допустивших взлом обслуживаемой ими астериски?

Там всё сложно. Ещё раз: коммерческая тайна, деталей излагать не имею права.

Аутсорсеров нагнули, да. Но это внутренние процессы.

#11 | 16:23 23.06.2017 | Кому: dse

> Мигрируй уже бинд с фри на линукс ;)

Хорошая шутка :)

Пингвина сходу проткнут навылет. Та же РХЕЛ по умолчанию имеет кучу сетевых дыр.

Чёртика хрен пробьёшь. Ну, то есть, можно, конечно, но наоставляв следов при этом.

#12 | 16:27 23.06.2017 | Кому: dse

> повесить на них 300 тыс., и проблема будет решена

Слишком многофакторная ситуация, чтобы на них всё вешать. Но и они тоже подтянуты за самое чувствительное :)

Ещё раз: ситуация была сложная, комплексная. Однозначно ткнуть пальцом в виноватого не получается. Ну, и коммерческая тайна...

#13 | 16:32 23.06.2017 | Кому: dse

> прикинь размеры их зданий и суммарное примерное количество портов в них

Одна обычная районная поликлиника -- около 200 портов. Из моей практики.

#14 | 17:03 23.06.2017 | Кому: dse

>> Пингвина сходу проткнут навылет.

> Но он не рухнет!!!

Зато за ним всю сетку вынесут :) Пусть лучше рухнет один бордер, чем подломят сотни клиентов.

> Только не пиши сейчас, что это одна и та же машина, то есть, на бордере у тебя установлен named, открытый всему интернету!

Уже написал.

#15 | 17:20 23.06.2017 | Кому: kobanchi

> каналы спецсвязи без всяких цисок у них таки есть

Там могут быть и циски. Только сеть изолирована от тырнетиков.

Недавно был на службе у Srg_Alex'а, это госслужба. Там на каждом рабочем месте два компа -- один для интранета, другой для Интернета. Сети изолированы физически.

#16 | 17:40 23.06.2017 | Кому: dse

> Бордер, он такой. На нём сервисов вообще быть не должно, кроме BGP, да и тот должен смотреть строго на пиров.

Ты это не мне рассказывай, ты это моим Жабба Хаттам рассказывай, да??? Я сам фшоке. Но так было построено до меня, и рулят этим не я.

Кстати, на предыдущем месте, где как раз бздёвым шлюзаком рулил я -- всё сосуществовало на отлично на одном хосте. Ну, пара атак не в счёт, хост трапнулся, я его ребутнул -- и все забегали снова. Но это даже не пров, обычный конечный клиент был.

Кстати, а чем поможет вынос намеда за пределы бордера? Атаковать меньше станут, что ли? Адресок-то всё равно из нашего пула будет, иначе как его клиентам сдавать?

#17 | 17:42 23.06.2017 | Кому: dse

> мощному радиосигналу со спутника совершенно всё равно, изолирована сеть от интернетиков, или нет

Нахуй мощные радиосигналы.

Обычным индуктивным методом снять инфу с витухи можно из припаркованного рядом со зданием авто -- нефиг делать. Это раньше фазирования не было.

#18 | 17:45 23.06.2017 | Кому: dse

> умирают эти коммутаторы, по слухам, после получения кодированного радиосигнала со спутника

В "медных" коммутаторах есть модуль, принимающий спутниковые сигналы???

#19 | 18:17 23.06.2017 | Кому: dse

Я тебя внимательно прочитал. Всё понял. В понедельник озвучу на совете мудейших (не опечатка!).

#20 | 18:26 23.06.2017 | Кому: dse

>> В "медных" коммутаторах есть модуль, принимающий спутниковые сигналы???

> Ходят слухи, что есть. Единственное назначение -- заблокировать работу устройства по этому сигналу

Нету. Я потрошил нашу дохлятину ради академического интереса -- ничего рядом не лежало. В схемотехнике, конечно, я не академик, но таки положение обязывает :)

Зато на Хабре был подробный разбор полётов одного Интела (простой сетевухи), который внезапно вставал в полном ступоре. Полным сниффингом таки сняли загадочный пакет, оказался UDP SIP что-то такое, в одном конкретном бите (!) которого был 0 вместо 1. И интерфейс прекращал реагировать на IEEE 802.3. Причём тут не UDP, не SIP ни при делах -- просто конкретный бит в очередном 802.3 фрейме.

#21 | 18:31 23.06.2017 | Кому: dse

Какбэ слегка уже пойух, я с ними расстаюсь. Но за контору обидно.

#22 | 18:35 23.06.2017 | Кому: dse

> колебательный контур характеризуется определённой резонансной частотой. А если искомый сигнал -- существенно широкополосный, и на него будут реагировать, но слабо, сразу несколько колебательных контуров, выглядящих для исследователя как паразитные?

Со спутника такой сигнал не довести. Спутниковый сигнал -- микро-(милли-)ватты. SNR знаешь? Оно самое.

#23 | 18:39 23.06.2017 | Кому: kobanchi

> достаточно заземленной арматуры в стенах и двойных заземленных дверей. Сертифицированные серверные (где ЧСХ и располагается ядро сети) делаются именно так

Там просто под штукатуркой "сетка Фарадея" -- достаточно.

Знаю минимум одну серверную, обшитую изнутри пермаллоевым листом (паранойя хозяина). Хорошо заземлённым, разумеется.

#24 | 19:12 23.06.2017 | Кому: dse

> закладки в буржуйской технике, активируемые сигналами со спутников, находили ещё в советские времена. В блоках питания, по-моему

Бред и ахинея. Либо давай пруфы. И, заметь, я их не требую в стиле "... или пиздобол", а просто спрашиваю. Мне самому интересно.

Мощность направленного сигнала убывает согласно квадрату расстояния, при этом ещё есть рассеяние в среде и локальная поляризация. Мощность всенаправленного (сферообразного) сигнала убывает аж в четвёртой степени (и про поляризацию помним). До поверхности Земли долетают милливатты. Микроватты. На общем фоне естественных ЭМИ-шумов их выделять крайне сложно. Ну, CDMA, например, позволяет это делать, только в советские времена такую модуляцию не знали даже и в буржуинии, это очень современная разработка.

#25 | 19:18 23.06.2017 | Кому: kobanchi

>> Там просто под штукатуркой "сетка Фарадея" -- достаточно.

> Ну это оно и есть, заземленная арматура.

По сути -- да. Но сетка Фарадея -- именно сетка, мелкоячеистая, прозрачна для максимум дециметрового диапазона. Арматурины с такой плотностью никто не будет укладывать -- там места для бетона не останется :)

Кстати (тут я включаю хитрецу), расскажи-ка мне, как арматура в железобетоне оказывается? И за коим хреном её потом заземлять? :) (У меня бывший тесть -- прораб, потом мастер участка на многих стройках, а я -- соучастник строительства аж целых двух кап.зданий (в роли ИТшника, правда)).

#26 | 19:37 23.06.2017 | Кому: dse

> CDMA, например, позволяет это делать, только в советские времена такую модуляцию не знали даже и в буржуинии, это очень современная разработка

Поправлюсь в терминологии:

Модуляция радиосигнала -- либо AM, либо FM, третьего не дано (упс, дано: фазовая, но в радиоканале это слабо работает). Плюс обязательная для учёта доводимой мощности поляризация. При распространении в приземной атмосфере -- горизонтальная.

Разделение радиосигнала множественного доступа -- FDMA, TDMA *), CDMA -- частотное, временнОе, кодовое. В обиходном жаргоне -- тоже именуются "модуляциями".

Кодовое разделение появилось сравнительно недавно, уже на моей вменяемой памяти, в 90-х, в пром.эксплуатацию пошло уже в нулевых.

_________________
*) Ты будешь, наверное, смеяться, но DECT-сортирник -- это TDMA. Почти GSM :)

#27 | 02:12 24.06.2017 | Кому: kobanchi

Прутки арматуры в железобетоне лежат практически свободно. Они не образуют сетку. Для создания структуры их вяжут проволокой, чтобы при заливке раствором их не смыло -- вот и всё.

Сетка Фарадея -- сплошное образование, с надёжным электрическим контактом между элементами. Чтобы из арматуры в бетоне получилась такая сетка, её надо было бы проваривать в каждой точке. Однако арматуру не варят, а просто вяжут проволочками с каким-то шагом.

Во-первых, сварщик заебётся столько точек варить, во-вторых, бетон при наборе прочности несколько меняет внутреннюю структуру, и сварные конструкции большой протяжённости может просто порвать. А свободно-лежащие прутки -- нет.

Арматуру как таковую не заземляют -- нет смысла заземлять несвязную конструкцию. Иногда получается, что арматура нулевого цикла имеет контакт с землёй, но она всё равно не создаёт контура.

А сеткой Фарадея изолируют отдельные помещения уже во время отделки. И это очень мелкоячеистая сетка из тонкой проволоки, ячейки, чтоб не соврать, 2-3 мм.

#28 | 08:50 24.06.2017 | Кому: kobanchi

> Ясно, буду знать

Наздоровие, товарисч!!! :)

#29 | 09:05 24.06.2017 | Кому: kobanchi

К слову... Меня ещё в FIDO учили и научили, что оверквотинг -- зло. Это не претензия никак, просто замечание на полях шляпы :)

Войдите или зарегистрируйтесь чтобы писать комментарии.