Last Thursday Juniper Networks released advisory PSN-2010-01-623 urging Network administrator running JUNOS versions older then one year to upgrade. The advisory states that by sending ‘malformed’ tcp options will cause JunOS to crash. The advisory does not mention which tcp options will cause this behavior.
So last Friday and Saturday I spend a few hours to trying to generate TCP packets with different kind of options set, trying to see if I could find out the exact options needed. However before I found the magic combination, Jermey Gaddis posted a blog post describing which options need to be set. He also published an exploit.
I tried running this exploit, but for some reason the perl code does not run on my Mac book. After slightly rewriting some of his perl code I managed to get it working and was ready to give it a try on one of our lab routers, a M10 running JunOS 7.x.
I was able to crash the router with only sending one packets, also see the video.
Of course most routers have firewall/acl filters to only allow traffic to the RE from trusted sources. According to the advisory and some resources online firewall filters don’t help in this case. However in my lab testing applying a firewall did seem to help.
To test this I configured my lab router with a firewall blocking all ssh traffic from all sources. I tried the exploit again and nothing happened. So it seems that at least in some cases a firewall filter does help. This might be different on a Olive box, as it doesn’t have hardware filtering in PFE’s. I assume that’s why filtering does work on a ‘real’ box, as it’s probably filtered out by the PFE’s before it reached the kernel.
Although firewall filters do seem to protect you against this issue. It’s still fairly easy to spoof IP addresses and by pass the firewall. As router Ip addresses are easy to find (traceroute) it will also be easy to guess the IP address of a BGP peer. Using that spoofed address will allow an attacker to crash your router. So upgrading to a more recent release is the only real solution.
На Github опубликован позорный скрипт, который американский интернет-провайдер Comcast автоматически вставляет в веб-трафик своих пользователей. Этот скрипт должен при определённых условиях выводить информационное сообщение для пользователя. Например, если пользователь превысил 90% своего месячного лимита на трафик.
Комментаторы на Github немедленно подвергли обструкции веб-разработчиков из компании Comcast за катастрофически низкое качество кода. Скрипт ужасен по нескольким причинам. Например, он осуществляет бесконечные AJAX-запросы на неправильный URL каждые 5000 миллисекунд при любой открытой веб-странице. Если отображается информационное сообщение для пользователя, то не предусмотрено способов его закрыть, но оно само закроется через пять секунд из-за неправильного AJAX-запроса. В этом случае один баг нивелируется другим багом. Скрипт тратит много времени на проверку наличия браузера Netscape Navigator 6, есть и другие несуразности.
В общем, разработчики считают крайне непрофессиональным внедрять такие скрипты в трафик, тем более что они забивают полосу бессмысленными AJAX-запросами.
в Аргентине стал очень известным 19-летний юноша, который руководил шайкой дроповодов, специализировавшихся на международных денежных переводах, процессинге крипты и азартных играх. Парень, скромно именовавший себя The Superhacker, получал доход примерно в 50 000 долларов США в месяц, хотя работал он не выходя из собственного дома в Буэнос-Айресе.
Молодой человек жил в Буэнос-Айресе с отцом, который также по работе был связан с компьютерами. «Мы думаем, что столь прибыльный бизнес был создан им самим (подростком) и его братом. Родители, вероятно, догадывались о деятельности детей, но предпочитали не спрашивать их», — говорят в редакции национального телевидения.
Аргентинская пресса отмечает, что такой теневой бизнес одновременно присутствовал в пяти городах страны. 19-летний молодой человек был одним из троих успешных бизнесменов этого процессинга.
В августе 2010 года студия Paramount Pictures выпустила в прокат фильм Middle Men («Меж двух огней»). Действие этой трагикомедии происходит в середине 90х годов: главный герой, Джек Харрис, создает первую в мире электронную платежную систему, специализирующуюся на обслуживании порносайтов. Харрис попадает в одну неприятную ситуацию за другой: его преследуют агенты ФБР, русские бандиты и международные террористы, но в итоге он выходит сухим из воды. Фильм провалился в прокате: при бюджете в $22 млн собрал за три недели всего $733 000, зато стал одним из самых обсуждаемых в сети релизов 2010 года.
Продюсер картины — Кристофер Маллик, а сам фильм основан на истории его собственной жизни. Маллик стал известен как владелец системы ePassporte, крупнейшего платежного сервиса сайтов для взрослых. Через месяц после выхода фильма у ePassporte начались проблемы: VISA отказалась обслуживать платежи. В начале октября система закрылась. Не только мировая порноиндустрия понесла тяжелую утрату — бизнес Маллика обслуживал практически все виды «серых» операций в сети: например, торговлю поддельными товарами и контрафактными лекарствами. Доля ePassporte в этом сегменте доходила до 70%, и реальной замены ей пока не видно.
Фильм стал отчасти пророческим. У Маллика проблемы не только в Америке — русские бандиты тоже могут нагрянуть в гости. Маллик остался должен нашим соотечественникам как минимум $3 млн — это больше трети зависших в системе денег. В России система Маллика известна как «еПасс», и у нее было много клиентов. По условиям ликвидации, деньги, владельцы которых не успеют доказать свои права до 7 ноября, переходят в собственность основателя системы. Его, мягко говоря, не любят. Самые комментируемые темы на форуме master-x.com, хорошо известном среди российских порнодеятелей, связаны с закрытием «еПасс», одна из них «Маллик — крыса».
А еще летом у бизнесмена было множество фанатов в специфической среде. Немногие платежные системы толерантны к порноконтенту, большинство чурается обслуживать платежи за такие услуги. ePassporte была исключением. Толерантность стала одной из причин расцвета порноиндустрии в сети. Она же стала одной из причин ее заката.
КТО ПОРОДИЛ, ТОТ И УБИЛ
Владельцы классических сайтов с материалами для взрослых покупают эти материалы у производителей, вкладывают деньги в дизайн и раскрутку и затем зарабатывают на рознице, то есть на подписке. «Уже два года индустрия в кризисе», — жалуется Kit, владелец сайта master-x.com, самого авторитетного сообщества производителей контента для взрослых. Дело в том, что ePassporte стал родным домом не только для традиционных порнодельцов, но и для пиратов. Система обслуживала партнерские программы, которые занимались привлечением посетителей на файлообменники типа hotfile.com или megaupload.com, где то же самое порно было выложено бесплатно. Эти ресурсы не нарушают американских законов. На вопросы правоохранительных органов всегда готов ответ: «Это не мы закачали контент, это пользователи!» «И формально они невиновны», — объясняет Kit. Но на самом деле владельцы этих ресурсов платят за привлечение пользователей на свой ресурс и получают прибыль от размещения на нем рекламы.
Бесплатный порноконтент практически полностью победил легальный, некогда процветающие студии вынуждены экономить, многие сворачивают производство. Чтобы выжить, приходится искать ниши, свободные от бесплатного контента. Danaborisova, один из порнодеятелей, в интервью нам летом этого года рассказывал, что он теперь занялся веб-камерами: девушки общаются онлайн с посетителями. Его коллега, попросил называть себя Тron, говорит, что вполне платежеспособны любители садомазо, которые готовы отдавать до $80 в месяц за доступ к интересующему их контенту.
АНОНИМНОСТЬ ГАРАНТИРОВАНА
Можно ли получить карту VISA на имя героя известного мультсериала Гомера Симпсона, снимать с нее деньги, а то и расплачиваться ею? До сентября 2010 года ответ был положительным. Одним из главных преимуществ ePassporte была возможность обналичить деньги с помощью карточки, выпущенной на любое вымышленное имя. В российских системах — «Яндекс.Деньги», Qiwi и Webmoney — для того, чтобы вывести деньги из системы и получить наличные, клиент должен предъявить паспорт.
Расчетный банк ePassporte — Национальный банк островов Сент-Китс, Невис и Ангилья (SKNANB.com) — выдавал карты практически на любые псевдонимы пользователей ePassporte. Tron уверяет, что лично видел карту, где вместо имени и фамилии значилось Big Boobs (Большая грудь). «Симпсоны точно были», — уверяет Kit.
Такая анонимность была нелишней для владельцев порносайтов, особенно в России, где за незаконное распространение порнографии преследуют в уголовном порядке. Но и другим дельцам хотелось бы скрыть свои операции в сети. Например, в системе много продавцов фармацевтики. Одно дело — торговать в сети биологически активными добавками, это легальный бизнес. Другое — индийскими аналогами виагры, сиалиса и т.д., продажа которых в США незаконна.
Еще один некогда смежный с порно нелегальный бизнес — мошенничество с пластиковыми картами. Кардеры — специалисты по хищениям — активно обмениваются информацией на своих тщательно законспирированных сайтах и форумах. Там можно приобрести украденные или полученные обманным путем базы данных, включающие данные о номерах карт. Раньше этого было достаточно, но защитные системы в банках развиваются. Теперь мошенникам требуется код CW2/CVC2, а также фамилия и имя держателя карты, а в идеале — еще и место жительства. Специалисты по добыче таких данных называются фишерами.
Банки уже научились отсеивать мошенников, которые, заходя в интернет-магазин с пакистанского адреса, пытаются расплатиться карточкой, выпущенной в штате Нью-Гэмпшир. Поэтому географическая привязка, информация о месте жительства владельца карты так важна — без нее мошенникам не обойти один из важных уровней защиты. Как бы то ни было, после того как номера карт украдены, необходимо как-то списать с них деньги — так, чтобы ни банки, ни платежные системы ничего не заподозрили до тех пор, пока украденные деньги не «отмыты» и не обналичены.
Применялась, например, такая схема, — рассказывает Тron. — Кардер получает базу — информацию о владельцах карт. Затем, например, покупает порносайт. На сайт приходят посетители, начинают покупать контент. Появляется поток сравнительно легальных платежей, в него и подмешивают хищения. Кардер подключает купленную базу и начинает «платить» себе за скаченные видео и фото чужими кредитками, номера которых для него украли фишеры, либо он похитил сам».
Впрочем, сегодня эта некогда популярная схема не работает, признает Тrоn. Пути кардеров и порнодельцов разошлись, и первым пришлось обогатить свой арсенал более изощренными способами отъема денег у населения.
АЛЬТЕРНАТИВНАЯ ОБНАЛИЧКА
В сентябре 2010 года Федеральное бюро расследований США объявило о раскрытии организованной группы интернет-мошенников в составе, как минимум, 37 человек—в основном граждан России и Молдавии. Они обвиняются в хищении из американских банков $3 млн. Позже ФБР заявило: украдено более $70 млн, однако в официальных обвинениях эта цифра не фигурирует. Чуть раньте в Британии было раскрыто аналогичное преступное сообщество, в которое входили исключительно граждане стран СНГ. Суд над ними должен начаться на днях. Но не похоже, что по кардингу нанесен серьезный удар. Сара Баумгалтер, адвокат одного из арестованных в США россиян, заявила, что задержанные по обвинению в банковском мошенничестве — «это дети, которых использовали гораздо более изощренные люди».
Арестованным предъявлены обвинения в банковском мошенничестве по предварительному сговору. В реальности их миссия была проще. Российские студенты снимали со счетов, открытых на их имя, похищенные из американских банков деньги. Вознаграждение за такие операции составляет не более 8-10%. Организаторов аферы, признают в ФБР, поймать не удалось. «Поймали дропов, похоже, что даже дроповода среди них нет», —говорит Тron.
Дропы — это те, кто обналичивает похищенные средства, они чаще всего работают по найму, за комиссионные или даже за зарплату. Это едва ли не самая рискованная профессия в мире интернет-преступности. Российские дропы, как правило, деклассированные элементы. Скажем, алкоголики либо наркоманы. Их миссия — сходить в банк и за гонорар в 5000 рублей получить денежный перевод от друга из Америки, с которым они вместе учились в школе. Конечно, доверять таким людям на 100% нельзя, и организатор схемы, дроповод, иногда предоставляет своим клиентам гарантию на случай «кидка дропа» — в таком случае он полностью или частично возмещает похищенную сумму.
Кардер JensMiller в интервью интернет-изданию «Хакер» рассказал, что он и многие его коллеги предпочитают нанимать дропов не в России, так надежнее. Похоже, такими дропами и были арестованные в США россияне и молдоване. Судя по предъявленным им обвинениям, российские студенты просто обналичивали деньги, которые присылали на их счета организаторы аферы. Это не единственная схема работы с дропами, дает понять JensMiller. Распространена, к примеру, «вещевуха» —покупка товаров с помощью украденных карт. Как и обычно, деньги переводят на счет дропу —в США или в Западной Европе. Типичная легенда такого дропа: «Меня наняла фирма из Лос-Анджелеса, моя работа получать и пересылать посылки, мне платят $2000 в месяц—это хорошие деньги». Допустим, товар хочет купить кто-то в России, но западный интернет-магазин не пересылает товар напрямую. А кардер тоже не хочет заниматься пересылкой сам и оформлять на себя покупку, оплаченную похищенными деньгами. Это делает дроп. Затем он пересылает полученный товар в Москву. Очень популярный товар — МасВоок: он достаточно дорог, чтобы окупить пересылку.
Организаторы этих схем просят за обналичку от 20 до 40%. Для воров это приемлемая цена. Для владельцев «серых» интернет-бизнесов вроде тех же порнографов или продавцов нелегальных лекарств это слишком дорого. Без системы вроде ePassporte они работать не могут, а другим похожим сервисам либо не доверяют веб-мастера, либо они сразу виснут от наплыва заявок на открытие счетов и карточек. Так что не похоже, что альтернатива ePassporte появится в ближайшее время.
Эксперты Google AdSense выявили крупный ботнет, накручивающий показы и скликивающий рекламу Google AdSense в автоматическом режиме. Боты для накрутки показов и скликивания рекламы также использовались для скрытых просмотры стримов Twitch и генерации фальшивых лайков на YouTube.
Исследователи пишут, что основными целями этого бота скликивания рекламы и накрутки показов являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образуют костяк ботнета скликивания рекламы. Сообщается, что только за последние три месяца через этот ботнет прошло более 1 млрд рекламных объявлений. При средней цене за 1000 показов объявлений в $1 прибыль владельцев рекламного бота могла составить не менее $1.000.000 за весь активный период.
Снаряжение и прогрузка бота на целевой машине или смартфоне начинается с использования модуля Installer, который установит и сконфигурирует скликивающее расширение для браузера, а также обеспечит постоянное присутствие в системе, создав запланированную задачу (рекламный бот притворится Windows Update).
Затем другой модуль рекламного бота, Finder, начнет собирать в заряженой системе файлы cookie и учетные данные, отправляя их своим операторам в формате ZIP-архивов. Также этот модуль будет поддерживать связь с вторичным управляющим сервером, который передает команды малвари и сообщает, с какой частотой нужно собирать и похищать данные из зараженных систем.
Третий модуль, Patcher, использовался в ранней версии ботнета для установки расширения скликивания и накрутки рекламы, но в последних версиях уже был включен в состав модуля Installer.
После успешной компрометации браузера, расширение немедленно приступит к работе, начнет внедрять рекламу на сайты и генерировать скрытый для пользователя трафик (к примеру, будет в фоновом режиме «смотреть» стримы Twitch или лайкать видео на YouTube).
«В основном функционал ботнета связан со накруткой показов и скликиванием рекламных объявлений и включает в себя скрипты, которые ищут и подменяют связанный с рекламой код на веб-страницах, но также рекламный бот содержит код для отслеживания информации о кликах и передачи других данных на управляющие серверы», — пишут эксперты Google AdSense.
Интересно, что внедрение рекламы происходит не на всех сайтах, которые посещает владелец заряженного компьютера или смартфона. Так, рекламный бот имеет обширные «черные списки», в которые входят домены Google, различные российские ресурсы и порно-сайты.
По информации Google adWare, данная кампания по скликиванию контекстной рекламы в основном сосредоточена на нескольких странах на постсоветском пространстве, включая Россию, Украину и Казахстан, однако после отклчения монетизации YouTube в России, активность adWare бота сместилась на демократичные и цивилизованные страны Евросоюза.
