Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал (https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/) аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значитеальная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно (https://bgpmon.net/blog/) и будут продолжаться, пока не будут внедрены методы авторизации (https://bgpmon.net/securing-bgp-routing-with-rpki-and-roas/) BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).
В случае Ростелекома вопросы вызывает наличие в списке перенаправленных мировых финансовых сервисов, но скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.
URL: https://arstechnica.com/security/2017/04/russian-controlled-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46469
а я думал что Ростелеком только во времена (лет 10 назад) adsl-модемов был плохим/негодным провайдером, с бабушкой в техподдержке, которая уходила домой после 17:00, которая на мой сообщение об ошибке "у меня линк пропал" отвечали "кто вам сказал, что у вас линк пропал ??"
Так-то его 10 лет назад и не было. Был Связь-инвест.
ну ну, Ростелеком был изначально :)))) А ваши Связь-инвест etc. мелкие пиявки на его теле :DDDD 😉🤣🤣
Ростелеком понаскупал региональных операторов крупных и неочень, а до того пока не потекли в него рекой денюшки был лишь магистралом средней паршивости.
Ростелеком никогда не был магистралом.
Магистралами были РТКомм (дочка), Старттелеком (питерские связисты), которые паразитировали на нем.
Скупил не Ростелеком, а Связьинвест, и сделал из них МРК - МежРегиональныеКомпании.
10 лет назад небыло ростелекома в нынешнем понимании. Были региональные провайдеры, которых позже объединили.
> Были региональные провайдеры, которых позже объединили.Кто "объеденили"? Можно поконкретнее?
Как минимум, Новосибирский Сибирьтелеком.
Дальсвязь туда же
+ ВолгаТелеком и ещё до фига других.
у нас - Крастелеком->Сибирьтелеком->Ростелеком.
У нас (Московская область) - был Центртелеком -регионалы.
Сначала было наследие Советского периода - контора монополист. В начале 90х, её попилили на ряд региональных компаний для оптимизации управления, а магистральную часть выделили в предка Ростелекома. Пару десятилетий конторы плыли каждая в свою сторону, и как показало время - не всегда в нужную. А когда с баблом в стране стало получше и появился более-менее внятный проект развития, то местечковых опять загнали в одну мега-контору, присовокупив магистрального провайдера. Не хотели порознь строиться - становитесь в ряд в миссионерской позе, уважаемые директора ныне филиалов.
Немного не в тему. Некоторые сайты предлагают мне зеркала. Европа, Азия, Северная Америка и так далее. Я живу в Новосибирске, следовательно выбираю Азию. А traceroute показывает, что через Европу было более правильно. Страпнно что трафик не идёт напрямую из Азии в Новосибирск - неужели нет крупных магистральных каналов?
если совсем коротко, то самый дешевый маршрут не всегда самый близкий/быстрый. провайдеры всегда заруливают трафик в самый дешевый.
Они есть по сути только у Ростелекома, но используются очень избирательно, в основном для клиентов на ДВ, и иногда для Сибири. Раньше было и для Урала, но теперь нет. Видимо причина в том что недостаточна ёмкость на этом направлении, либо проще выключить мозг и гнать всё подряд через Европу и США.У RETN и TTK тоже раньше были какие-то прямые каналы в Азию, но уже с год как больше не видно их на трейсах.
МТС, Мегафон, Билайн - вообще забудьте.
> Страпнно что трафик не идёт напрямую из Азии в Новосибирск - неужели нет крупных
> магистральных каналов?разумеется, нет. Уж ты-то, живя в этой самой азии, должен немножко представлять масштабы региона не в проекции меркатора.
И с кем линки строить - с монгольскими овцее... ? Или тянуться до Индии через Китай ?
Есть тупиковые ветки в бывшие союзные республики (Кахахстан, Киргизия - про остальных не в курсе, где они берут траффик, но скорее всего - у нас), но они идут по кратчайшему пути, не через Новосибирск ни разу.
Есть какие-то децльные каналы в Китай, нахрен никому не нужны. С Японией строили-строили, что-то как-то так ничего, по-моему, и не построили. Своих трансокеанских каналов у эрефии...ну в общем, смеетесь, что-ле...К тому же все каналы у нас под известно кем, новых строить никому не дадут.
А этим удобнее все собирать в одной-двух точках. Ни одна из них не новосибирск и близко.
> монгольскими овцее... ?Извините, уважаемый эксперт по "этим делам", но у нас в Монголии такого отродясь не бывало, в отличии, скажем, от некоторых высокодуховных субъектов вашей федерации (на что есть, кстати, документальные факты, зафиксированные видео-хостингом YouTube). Я бы не хотел развивать эту тему, но не могли бы Вы обойтись без оскорблений в своих нечестивых и малокультурных речах? Спасибо.
не обращайте внимания. Это не мейнстрим.
Для не монгольских:"трафик — Викисловарь
ru.wiktionary.org›wiki/трафик
тра́-фик. 1. неол., с доп. движение, перемещение чего-либо куда-либо. 2. неол., автомоб. интенсивное уличное движение, плотный автомобильный поток, большая загруженность автомобильных дорог."
> А traceroute показывает, что через Европу было более правильно. Страпнно что
> трафик не идёт напрямую из Азии в Новосибирск - неужели нет
> крупных магистральных каналов?В азии российских трафик не нужен, а значит, не нужна связность. Сами в РФ они не идут, а если кто из российских туда приходит (ТТК вроде как был), ценник был очень крутой. Поэтому кроме как для корпоративных VPN прямой канал не используется.
> В азии российских трафик не нужен, а значит, не нужна связность. Самион не то чтоб совсем не нужен, но, блин, дорого. Корпорации, скрипя зубьями, оплатят, но в целом это не рынок.
> в РФ они не идут, а если кто из российских туда
> приходит (ТТК вроде как был), ценник был очень крутой. Поэтому кромеэто не потому что китайцы сильно вредные. Просто возьми ручку и линейку и померь по карте, сколько будет дотянуться от Даляня до Харбина хотя бы (ну или где у них по дороге начинаются гейты с излишками пропускной способности - с той стороны, кстати, свои приколы, и тоже "к кому понравилось" и "поближе" присосаться тебе не удастся). К тому же там еще и с местностью не айс, то есть еще и за каждый километр дооооорого.
А государство ЭТО финансировать совершенно не собирается, ни прямо, ни косвенно. Так что ростелеку оно нафиг не надо, он лучше продолжит героическую телефонизацию отдаленных поселений. А у остальных денег на такие прожекты теперь нет и не будет уже.
С l2vpn попроще, поскольку это не интернет, там нет таких суровых требований ни с нашей, ни с китайской стороны, можно приземлять где получится и на что получится.
Живу на Урале, у меня пинг до Уругвая и НЗ меньше, чем до Южной Кореи и Японии. Вот что действительно странно.
>проведение столько заметной и грубой атаки по перехвату трафика маловероятноха-ха
> Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутовПервый раз слышу об этом проекте, хотя столько лет интересуюсь данной тематикой. Опеннет, спасибо за инфу!
Но мы то знаем ...
> Visa, MasterCard и некоторых банковслучайно, да, я так и подумал
> настораживает сам факт интереса инженеров РостелекомаЛюбой иностранный провайдер в аналогичной ситуации не насторожил бы автора.
> Любой иностранный провайдер в аналогичной ситуации не насторожил бы автора.Если бы это был американский провайдер, то тему вообще не стали бы выносить на публику.
А вот с остальными не всё так однозначно...
>> Любой иностранный провайдер в аналогичной ситуации не насторожил бы автора.
> Если бы это был американский провайдер, то тему вообще не стали бы
> выносить на публику.Да, никого не волнует. Ни то, ни это.
http://people.skolelinux.org/pere/blog/Where_did_that_packag...
> Любой иностранный провайдер в аналогичной ситуации не насторожил _бы_ автора.Всё дело у вас в "бы", вот когда случится это самое "бы" с какой-нибудь Угандой или Боливией, вот тогда и можно будет предметно комментировать новость про иностранного провайдера в Боливии, а пока-то трафик финансовых сетей завернули именно в Россию. Так что лучше без всяких _бы_. Как говорится, если бы у бабки были бы яйки, то она была бы дедкой.
>> Любой иностранный провайдер в аналогичной ситуации не насторожил _бы_ автора.
> Всё дело у вас в "бы", вот когда случится это самое "бы"
> с какой-нибудь Угандой или Боливией, вот тогда и можно будет предметно
> комментировать новость про иностранного провайдера в Боливии, а пока-то трафик финансовых
> сетей завернули именно в Россию. Так что лучше без всяких _бы_.
> Как говорится, если бы у бабки были бы яйки, то она
> была бы дедкой.Невозможно будет откомментировать такую новость, ибо про неё просто вы не узнаете.
> Невозможно будет откомментировать такую новость, ибо про неё просто вы не узнаете.конечно, конечно - на свете ведь ровно один сайт, мониторящий внезапные уходы траффика в не-Боливию, и ни миллиона LIR'ов с full-view, ни сотен (а может и тысяч) имеющих автоматическое отслеживание чудес в апдейтах (после как раз истории с утекшим в Иран ютубом очень многие этим озадачились, пользователям не объяснишь про Иран), и их инженеры все клялись на кора...э кодексе чести црушника? или чем там, никогда ничего подобного не разглашать.
В какой интересной альтернативной реальности вы живете...
Когда такой фокус лет 8 назад провернул Huaeway - занервничали, помнится, все.
шигорин, залогиньтесь.
> Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисовА кто сказал, что фейковый анонс исходил из Ростелекома?
>> Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов
> А кто сказал, что фейковый анонс исходил из Ростелекома?да я вот тоже сомневаюсь что у хипсторского сабжа есть пиринг со всеми АС ;)
>да я вот тоже сомневаюсь что у хипсторского сабжа есть пиринг со всеми АС ;)а наличие внезапно ростелековской AS в AS-PATH например, где его отродясь не было, не показатель?
Нет. бывают дятлы которые имеют пиринг с ростелекомом.
> А кто сказал, что фейковый анонс исходил из Ростелекома?Очевидно, всем похрен, _откуда_ он пришел (да и вычислить это непросто), важно - какие AS подсунули (то есть - куда он увел траффик), и это была ростелекомовская.
Но, конечно же, логично предположить, что это проклятые кибервойска наты очерняют ростелеком в рамках учений.
А не кому-то понадобился снимок финансового траффика, чтобы оценить, как он выглядит и как (например, хехехе) блокируя неопознанный шифрованный траффик, не заблокировать ненароком карточки уважаемых людей.
> Но, конечно же, логично предположить, что это проклятые кибервойска наты очерняют ростелеком в рамках учений.Не в рамках учений, а в рамках предлога для введения новых санкций.
> А не кому-то понадобился снимок финансового траффика, чтобы оценить, как он выглядит и как
А что, это такая уж большая тайна?
А зачем эти домыслы здесь?
Прикидывают, как весь трансграничный трафик через Ростелеком передавать будут? Давно обещали - http://www.vedomosti.ru/newspaper/articles/2013/08/20/zagran...
> Прикидывают, как весь трансграничный трафик через Ростелеком передавать будут?хуже: прикидывают, как не весь.
> Давно обещали
давно сделали. Для этого банковский траффик перехватывать было незачем.
Возможна ли такая схема: делаем анонс, заворачивая трафик на свою машину, там ставим ип какого либо процессинга, идем на LetsEncrypt и получаем сертификат через верификацию файлом на сайте и далее принимаем трафик от клиентов с номерами карт? За 5-7 минут думаю можно что-то поймать.
> Возможна ли такая схема: делаем анонс, заворачивая трафик на свою машину, тамнет. (ну то есть сертификат ты получишь, но не нужен)
> с номерами карт? За 5-7 минут думаю можно что-то поймать.
п-юлей. Причем бить будут конкретно, без всяких там "да я тут не причем" и "какие ваши доказательства".
но в целом идея работоспособная, просто надо не "платежные системы" выбирать в качестве цели атаки. В ростелекомовском бардаке велик шанс, что ты успеешь удрать с деньгами в страну, не связанную договорами о выдаче.
намекаете, что какой-нить василий из ряда технарей Ростелекома мог в одиночку под шумок чё нить провернуть и за это он мол получит люлей?речь пожалуй не об этом в новости. речь по всей видимости именно о глобальном эксцессе, т.к. РТК это почти гос. аппарат и там есть "свои" люди. а значит субъект не вася, а спец. службы, тем более завернули сети не магазинов по продаже мороженого, а сети банков, Visa, MasterCard и тп.
> намекаете, что какой-нить василий из ряда технарей Ростелекома мог в одиночкуне, не мог. Спереть деньги "и хрен вы меня найдете" мог, но он бы тоже выбрал правильную цель, а не кучу этого хлама.
могли попросить "вежливые люди" в штатском - это да. И не его, а его начальника.
Но тоже вряд ли - у тех нет подходящего оборудования и умения для таких исследований.А вот как раз на штатную деятельность некоторых вполне штатных подразделений ростелекома это вполне смахивает. Как и их незнание, что такие вещи мониторят.
> тем более завернули сети не магазинов по продаже мороженого, а сети
> банков, Visa, MasterCard и тп.ну зачем они спецслужбам, у них и так деньги бесконечные
я не в том смысле, что они воруют. не думаю, что они что-то могли бы воровать для себя. какая-то информация иная их могла заинтересовать.
> я не в том смысле, что они воруют. не думаю, что они
> что-то могли бы воровать для себя. какая-то информация иная их могла
> заинтересовать."иная" снимается с сормов штатным образом, или нештатно зайти в собственно банчок и попросить поделиться. Там от нее гораздо больше пользы, потому что ее вменяемое количество.
А тут кому-то понадобился именно снимок траффика, глобальный, никаких иголок в этом шифрованном стогу найти в принципе невозможно, зато очень даже можно использовать его для оценок и тестов.Ну и у кого в мешке чёрт сидит, тоже известно совершенно достоверно - то есть что у самого ростелека есть _и_ инструменты, _и_ люди, и поводы проводить подобные исследования.
По-моему, дальше особо искать и незачем.
Скорее всего связано с переговорами по поводу приёма карты МИР операторами мастеркард, с июля бюджетников на эту карту переводят.
Один уже назвал софт "Миром" с явной отсылкой к космической станции. Не стоило называть систему платежей так!
РФ идёт к электронным деньгам. Не потому что это модно и правильно, а потому что это позволит вывести на свет серые доходы и обложить их грабительскими налогами. Забавно, но даже под грязную идею можно делать правильные вещи.Для этого нужно:
1. заставить всех принимать платёжные карты наравне с налом. Это реализуется сейчас с внедрением новых ККМ2. раздать все пластиковые карты. Работодателей обязали переводить часть з/п на карту, пенсионерам карту подарили.
Выбирая между забугорными MC/Visa и отечественной Мир - выбрали Мир. Типа импортозамещение.
3. запретить нал. С тем чтобы что-то запретить у государства уже давно нет проблем.
Переговоров с MC/Visa по сути не будет: или они перенесут процессинг в РФ и отвяжут его от США/ЕС т.о. выведя из-под санкций или им дадут под зад коленом. Китайцы с их UnionPay никаких санкций не накладывали и готовы раздавать свой пластик хоть даром.
Не хотелось бы оправдывать, но выведение денег из "черноты" и "серости" - единственная дорога к цивилизованной экономике.
Сейчас же проблема "серых" зарплат не в том, что любой, кто хочет сэкономить на налогах, может платить работникам именно так. И даже не в том, что налоговая на это забила. Проблема в том, что тот, кто, в принципе, готов платить налоги, встает перед выбором: либо уклоняться от налогов и платить работникам "чернотой", либо получить себестоимость своего продукта, заметно превышающую рыночную цену - так как конкуренты, платя "серые" зарплаты, получают экономическое преимущество.Ну, и естественно, отмывание этих "черных" денег в стране идет такими масштабами, что ваши налогооблагаемые копейки - пыль на этом фоне.
Гипотетически же предположив, что государство действительно готово бороться с коррупцией (а не с теми, кто с ней борется - см. новости), исключительно электронные платежи позволяют, например, проверить не только задекларированные доходы официальных лиц, но и их расходы. И сопоставить...
Два завода одного холдинга: один в России, другой в Канаде. Сравнение от топ-менеджмента:https://bloger51.com/2013/10/46457
Статья устарела, с тех пор налоги в России подняли и собираются поднимать ещё.
Проверить платежи можно и сейчас, если бы чинуши их декларировали. Сравнить стоимость квартир, машин и часов с доходами можно и сейчас, а смысл? Они оформлены на детей и друзей или подарены ими.
В том-то и дело, что, если ВСЕ платежи под контролем, жене мэра тоже придется объяснять, откуда она вдруг взяла на эти покупки сумму больше, чем заработала за всю жизнь.
Её покупки оплатит благотворительный фонд "Радость чиновничества". 10-летний сын-миллиардер купил ей квартиру в центре, роллс-ройс, личный самолёт и замок в Шотландии. А свою зарплату она пожертвовала больным и бездомным.Читаешь, и аж слёзы наворачиваются...
Да понятно, что все эти инструменты работают только тогда, когда тому, кто имеет право ими воспользоваться, действительно это нужно. Более того - если ему это действительно нужно, можно обойтись и теми инструментами, что есть сейчас...
Оформлены то ДА, а вот проверять нужно не избирательно.
Тогда и эффект будет.
>Два завода одного холдинга: один в России, другой в Канаде. Сравнение от топ-менеджмента:
>https://bloger51.com/2013/10/46457
>Статья устарела, с тех пор налоги в России подняли и собираются поднимать ещё.Ути пуси! :) А курс?!
По статье 2013 года - в России конструктор получал ~$2000US а в Канаде ~$3000US
а в 2017 это уже - в России конструктор получает ~$1000US а в Канаде ~$1500USНо если вы не либераст-грантосос то вот она реальность то:
а в 2017 это уже - в России конструктор так и получает 60К руб. а в Канаде так и получает свои $3000US.
Ибо полтораха в месяц в Канаде - это официальная нищета, с тебя даже налоги не возьмут. И работать за столько к тебе не пойдут тоже, ибо на такие деньги тут не выжить.Хозяева вывезли ворованное бабало с России, всё пучком. А Ваньку валяют чтоб Пу не сделал логичный шаг - раз вы иностранцы, вот вам таможенная пошлина за конкуренцию с внутренним производством. Денег то всем хочеЦЦо, и добывая их кодексам чести никто не следует, увы! :(
>Ибо полтораха в месяц в Канаде - это официальная нищета, с тебя даже налоги не возьмут.Зато еда дешевле. Во-вторых, твои 60к дают только в МСК и Питере, а там дают такую зп везде. Чувствуешь разницу?
Недавно видел вакансии в одной питерской фирме, так инженер-электронщик оплачивается даже ниже, чем сис.админ. И это в компании, где основной бизнес производство эл-ных девайсов. Все идет к тому, что в РФ больше не нужны будут инженеры, кроме Газпрома и алмазо-добывающих компаний.
Таким образом через 20-30 лет, инженер в РФ != инженер где-либо, т.к. после вымирания производственных мест, вымирает обучение. А как только накроется обучение, то и сравнивать будет нечего.
5 минут и дефицита бюджета нет.
Ростелеком хакнул платежные системы
> так как проведение столько заметной и грубой атаки по перехвату трафика
> маловероятно.как говорил классик, страшны именно те времена, когда самые нелепые вещи могут быть правдой...
я сам администрировал ряд BGP маршрутизаторов и занимался Райпом когда лет пять назад работал в ряде isp, при практике постоянной возможность таких грубейших ошибок просто исключена. при том, что мои конфиги всегда перепроверялись и мной, и другими инженереами.
и ладно бы это была реальная ошибка с рандомной системой (КАК ОБЫЧНО РЕДКО СЛУЧАЕТСЯ), но тут именно конкретные системы финансовых диапазонов, так что вывод в конце новости -
> что может быть использовано для проведения целевых атак
> на менее защищённые партнёрские компании.АБСОЛЮТНО верный и имеет место быть.
Да тут всё, что угодно может быть - вплоть до снятия дампа. Сняли порцию траффика и дальше пустили. Могли вообще попытаться заспуфать автономную систему (интересующую их), но либо что-то пошло не так, либо всё прошло удачно.
версии могут быть любые
дайте больше инфы, что сами ростелекомы говорят? хотя последние события (санкции, учения по отключения интернета, блокировки, взломы) намекают, что у новости все же негативный окрас
Да это же банальная подстава честных инженеров РТК иностранными спецслужбами!
Смотрите, как грубо сработали, чтобы остались... вопросы.
С Ростелекомом бывает..... Они даже сицки после настройки reload не хотят, а потом перегружают не вовремя.... и удивляются как у них трафик куда уходит...
при всем при этом даже для ростелекома это крайне необычная ситуация...
Хе-хе.
Гибридный ответ на "Томагавки".
Демонстрация возможностей.
И никто не обсуждает всю уё...ность протокола BGP. Который является основой маршрутизации всего интернета, и в принципе не обладает никакой защитой. Любой инженер любого провайдера, или обладателя АС с несколькими узлами магистральщиков может по-наворотить без проблем. Зато будем бороться за HTTPS и кричать, как плохо и небезопасно HTTP..
сам по себе протокол - неплох. Фильтры при желании пишутся на раз через RIPE DB, другой вопрос что большие магистральные операторы обычно доверяют друг другу - дабы не нагружать железо.
Работаю в Tier 1 ISP. Нет, не доверяем вообще никому — ни клиентам, ни пирам. Фильтруем вообще всё — и на входе, и на выходе. Тем не менее, из-за ошибок персонала, марштуры нет-нет, да и утекают. К счастью, очень редко.
Teir 1 вынужден доверять нескольким пирам (от которых может получить полную таблицу маршрутов). Ну и доверять, с RIPE оно ясно, есть база, по ней можно построить, а с AfriNIC - не покажете где брать роут ориджин) ?
> И никто не обсуждает всю уё...ность протокола BGP.Потому, что BGP — отличный протокол маршрутизации, а в будущем он станет ещё лучше.
То ли ещё будет. "Вымпелком", "Мегафон", теперь и "Ростелеком" увольняет специалистов, отдавая всё (включая основную деятельность) в аутсорсинг.