Zarejestruj się na Inna Sieć!
Masz już konto? Zaloguj się

📬 ISN 147: CCNP Enterprise i Security: Twoja droga do certyfikacji z rabatem

W 147. numerze newslettera poruszamy przerwy w dostępie do Internetu podczas egzaminów, konieczność regulacji BGP oraz tajniki identyfikacji fałszywych User-Agentów. Sprawdź, jak zdobyć CCNP Enterprise i Security z rabatem oraz poznaj historię zabezpieczeń sieciowych!
Rafał Rudewicz
8 min czytania
📬 ISN 147: CCNP Enterprise i Security: Twoja droga do certyfikacji z rabatem

Przerwania dostępu do Internetu podczas egzaminów

Exam-ining recent Internet shutdowns in Syria, Iraq, and Algeria
Similar to actions taken over the last several years, governments in Syria, Iraq, and Algeria have again disrupted Internet connectivity nationwide in an attempt to prevent cheating on exams. We investigate how these disruptions were implemented, and their impact
The Cloudflare BlogDavid Belson

Czy zastanawiałeś się kiedyś, jak rządy niektórych krajów manipulują dostępem do Internetu podczas egzaminów? W tym artykule przyjrzymy się technicznym aspektom tego zjawiska na przykładzie Syrii, Iraku i Algierii.

W ostatnich latach obserwujemy rosnącą tendencję do ograniczania dostępu do Internetu podczas ważnych egzaminów państwowych. Celem tych działań jest zapobieganie oszustwom. Przyjrzyjmy się, jak wygląda to od strony technicznej w trzech krajach: Syrii, Iraku i Algierii.

Syria: Brutalne, ale skuteczne odcięcie

Metoda stosowana w Syrii jest prosta i radykalna. Syrian Telecom (AS29256) wycofuje swoje prefiksy BGP z Internetu na czas trwania egzaminów. Skutkuje to całkowitym brakiem możliwości routingu do sieci syryjskich.

Kluczowe obserwacje:

  • Ruch internetowy spada do zera.
  • Liczba ogłaszanych prefiksów IPv4 i IPv6 spada praktycznie do zera.
  • Asymetryczne działanie: ruch wychodzący jest możliwy, ale ruch powracający nie.

Interesujące zjawiska:

  1. Wzrost ruchu UDP do serwera DNS 1.1.1.1 podczas przerw
  2. Całkowity brak ruchu TCP, w tym HTTPS i DNS over TLS/HTTPS
  3. Wzrost ruchu do autorytatywnych serwerów DNS Cloudflare

Irak: Złożone podejście do blokowania

W przeciwieństwie do Syrii, Irak ma bogatsze środowisko dostawców usług internetowych. Skutkuje to bardziej skomplikowanym i niejednorodnym obrazem przerw w dostępie.

Główne cechy:

  • Spadek ruchu o około 87% na poziomie kraju
  • Zróżnicowane zmiany w ogłaszanych przestrzeniach adresowych IPv4
  • Blokowanie zarówno ruchu UDP, jak i TCP

Prawdopodobne metody:

  1. Blokowanie na poziomie IP
  2. Blokowanie połączeń na podstawie SNI/nagłówków HTTP
  3. Manipulacja DNS

Algeria: Subtelne manipulacje

Algeria stosuje najbardziej wyrafinowane podejście, skupiając się na manipulacji połączeniami TCP.

Kluczowe obserwacje:

  • Dwa okresy zakłóceń dziennie
  • Brak znaczących zmian w ogłaszanych przestrzeniach adresowych IPv4
  • Widoczne zakłócenia w ruchu HTTPS i DNS over TCP/TLS/HTTPS
  • Brak widocznych zmian w ruchu DNS over UDP

Techniki:

  1. Ingerencja w połączenia TCP (post-ACK i post-PSH tampering)
  2. Prawdopodobne blokowanie na podstawie hostnames lub adresów IP

Czy BGP wymaga prawnych regulacji?

Is regulated BGP security coming? | APNIC Blog
What impact would regulating BGP routing security have on the global Internet?
APNIC BlogGeorge Michaelson

Ostatnio Federalna Komisja Łączności (FCC) w Stanach Zjednoczonych opublikowała projekt deklaracji i zarządzenia w sprawie otwartego internetu, który budzi obawy w społeczności internetowej, w tym wśród Internet Society (ISOC) oraz Global Cyber Alliance (GCA), ze względu na zawarte w nim zapisy dotyczące bezpieczeństwa Border Gateway Protocol (BGP).

Według ISOC, proponowane przez FCC regulacje "silnie sugerują intencję uregulowania bezpieczeństwa routingu BGP".

ISOC i GCA są przeciwko regulowaniu bezpieczeństwa BGP, podając trzy powody:

  1. Regulacje często spowalniają postęp, gdy przemysł musi analizować swoje obowiązki i implikacje prawne.
  2. Może to prowadzić do napięć konkurencyjnych wynikających z regulowanego zachowania.
  3. Istnieją obawy przed fragmentacją, gdy inne gospodarki będą chciały odzwierciedlić tę decyzję, ale wdrożą różne strategie.

Choć te ryzyka są realne, mało prawdopodobne jest, aby powstrzymały FCC przed działaniem. Telekomunikacja zawsze była regulowana, choć w ostatnich dekadach regulatorzy stosowali raczej łagodne podejście. Niemniej jednak operatorzy mają zarówno ochronę (w postaci obrony przed działaniami na ich systemach), jak i obowiązki (takie jak konieczność zapewnienia legalnego przechwytywania na żądanie władz).

Co ważniejsze, zagrożenia dla integralności funkcjonowania Internetu są realne. Wynikają one z działań przestępczych podmiotów, wrogich państw, a nawet z samej gospodarki. Zakłócają one kluczowe funkcje Internetu, niezbędne dla podstawowej komunikacji, służb ratunkowych i działań państwowych, takich jak dostawy prądu i wody. Wobec centralnej roli Internetu w nowoczesnym społeczeństwie, uzasadnione jest oczekiwanie, że podmioty odpowiedzialne za konfigurację BGP będą przestrzegać podstawowych standardów higieny i dokumentowania swoich zasobów, zapewniając ich wiarygodność.

W niektórych gospodarkach, takich jak Nowa Zelandia czy Australia, dostawcy internetu są już zobowiązani do zgłaszania znaczących zmian w routingu lub do odpowiedzialności za utratę usług w wyniku zagrożeń cybernetycznych.

Warto więc uważnie przyjrzeć się raportowi FCC. Nadchodzące zmiany zmierzające do nałożenia zobowiązań na amerykańskich dostawców internetu/BGP, sugerują, że kwestia bezpieczeństwa protokołu BGP będzie wymagała silniejszej regulacji.

Skąd strony internetowe wiedzą, że kłamiesz na temat swojego User-Agenta?

How Websites Know You’re Lying About Your User-Agent
Spoofing a browser’s user agent is often hailed as a privacy enhancing technique. On the Chrome Store, there are dozens of extensions allowing you to switch your user agent. Unfortunately, due to the abundance of other methods to detect browser and operating system information (as will be discussed in this…
Christopher Tarry's BlogChristopher Tarry.

Artykuł przybliża techniki spoofingu user agentów w przeglądarkach, które wielu z nas traktuje jako sposób na zwiększenie prywatności. Zauważa jednak, że sporo rozszerzeń dostępnych w Chrome Web Store nie do końca spełnia swoje zadanie, gdyż dostawcy usług korzystają z coraz bardziej zaawansowanych metod wykrywania.

Zostań CCNP Enterprise i CCNP Security z rabatem!

Cisco Learning Network

Cisco ma znakomitą ofertę dla osób, które zdały egzamin SCOR lub ENCOR! Możesz skorzystać z 25% zniżki na dowolny certyfikat koncentryczny i uzyskać tytuł CCNP Enterprise oraz CCNP Security jeszcze w tym roku. 

Zniżkę można zgarnąć do 30 września 2024 roku, a do egzaminu należy podejść do 31 grudnia 2024 roku.

👉 Zgarnij zniżkę 25% na egzamin certyfikacyjny specjalisty

Świetnie! Udało ci się pomyślnie zarejestrować.
Witaj z powrotem! Zalogowałeś się pomyślnie.
Pomyślnie subskrybowałeś Inna Sieć.
Twój link wygasł.
Sukces! Sprawdź swoją skrzynkę e-mailową, aby uzyskać magiczny link do logowania.
Sukces! Twoje informacje rozliczeniowe zostały zaktualizowane.
Twoje informacje rozliczeniowe nie zostały zaktualizowane.