Nowy stary “bug” BGP zagrożeniem dla Internetu?

Taką przynajmniej informację wysyłają w świat kolejne serwisy internetowe powołując się na rewelacje opisane przez magazyn Wired, a ujawnione w prezentacji ekspertów bezpieczeństwa, Antona “Tony” Kapeli i Aleksa Pilosowa podczas konferencji DefCon.

Pamiętacie jak pisaliśmy o tym, jak Pakistan zablokował YouTube? Wykorzystano wtedy (przez przypadek) właściwość protokołu BGP, umożliwiającą przekierowanie ruchu internetowego na inny serwer przez rozgłaszanie w danej podsieci alternatywnej ścieżki routingu z wykorzystaniem systemu autonomicznego (AS).

Jak czytamy w serwisie DobreProgramy.pl:

Aby nie blokować ruchu a podsłuchiwać, atakujący musiałby przesyłać przechwycone pakiety do właściwego docelowego adresu. Ponieważ jednak przekierował ruch na siebie to te pakiety i tak by do niego wróciły. Pilosov i Kapela opracowali więc metodę AS path prepending, która powoduje, że niektóre ASy odrzucą rozgłoszenia atakującego i doprowadzą pakiety do adresu docelowego. W ten sposób atakujący może przechwytywać ruch a nawet go modyfikować będąc praktycznie niezauważonym. Dzięki modyfikacjom pola TTL można sprawić, że adres IP komputera przechwytującego ruch zostanie ukryty. Należy tu jednak zauważyć, że przechwytywany jest ruch płynący do ofiary, nie od niej. Poza tym nie zawsze możliwe jest “wyssanie” danych z każdej sieci. Nadal także wyzwaniem pozostają połączenia zaszyfrowane.

“Luka”, a właściwie błąd projektowy w BGP nie jest nowa. Nowością jest praktyczny przykład wykorzystania właściwości tego protokołu do podsłuchiwania ruchu w sieci. Zabezpieczenie się przed tego rodzaju atakiem nie jest proste. Najsensowniejsze wydaje się “po prostu” ominięcie problemu przez przejście na IPv6. Postęp w migracji na nowy sposób adresowania jest jednak od lat stały i bliski granicy błędu statystycznego. Na razie można jedynie mieć nadzieję, że ataki takie nie będą popularne ze względu na koszt i trudność ich przeprowadzenia.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar soda2
    soda2

    to co tutaj prezentujesz nie jest bugiem. nawet jeden serwis o tym pisał.

    1. Awatar Sławek
      Sławek

      Nie jest bugiem, ale błędem projektowym 😉 . Część rzeczy tutaj przedstawionych jest wykorzystywanych do routingu(routing został właśnie stworzony w celu rozplanowania obciążenia poszczególnych węzłów sieci – piszę rano) i innych rzeczy. Poprawcie mnie, jeśli się pomyliłem.

    2. Awatar morsik
      morsik

      A myślisz że dlaczego michuk słowo "bug" napisał w cudzysłowiu?

      1. Awatar soda2
        soda2

        wcześniej tego "" nie było z tego co wiem, pozatym to nie jest błąd projektowy a same założenie BGP

        1. Awatar Sławek
          Sławek

          Dokładnie… Jak już pisałem, rano miałem problemy z przelaniem swoich myśli na monitor(no dobra… w internet 😉 ).

  2. Awatar 125007
    125007

    a ja polecam sobie poczytac o tym w tym kontekscie

    http://pl.wikipedia.org/wiki/Echelon

    wiec co tu o bugu jakims starym co tu o bugu jak oni i tak robili robia i beda robic takie rzeczy

    uwazajcie co piszecie w necie – Big Brother is watching you!;)

    1. Awatar i
      i

      osobiście traktuję to jako działalność przestępczą

    2. Awatar fragger
      fragger

      Encrypt for freedom! …czy jakoś tak 🙂

      Z bezpieczeństwem komunikacji kiedy użytkownik nie ma pojęcia o co chodzi jest tak jak ze wszystkim – trzeba to zrobić za niego. Jeśli komunikator/klient poczty będzie to robił domyślnie to będzie jeśli nie to nie. Jak na razie trudno to idzie – za mały nacisk na wiodących producentów oprogramowania, nie muszą implementować to mają to gdzieś bo tak jest taniej, ot przykład z GG Sp. z o.o.. Google tutaj trochę sprawę poprawiło bo szyfrowanie dla ich poczty jest wymuszone tak jak dla komunikatora (webmaila można ustawieniem utrzymywać po HTTPS-ie). Za to z drugiej strony wszystko składują i przeszukują na serwerach żeby dopasowywać reklamy. Oczywiście preferowane jest szyfrowanie point to point ale znowu – sprawa kompatybilności klientów między sobą, standardów co do których główni gracze się zgodzą i chęci producentów softu do implementacji. A nacisku na to nie ma bo większość ludzi nie wie o co chodzi – dlatego słabo to widzę.

    3. Awatar trasz
      trasz

      @125007: Akurat "Big Brother" to zaden problem, bo ryzyko, ze wykorzystaja to przeciwko uczciwym obywatelom jest praktycznie zadne. Gorzej, ze moga tego uzyc takze przestepcy.

      1. Awatar fragger
        fragger

        Inaczej powiem – "ryzyko, ze wykorzystaja to przeciwko uczciwym obywatelom jest praktycznie zadne" JEŚLI WŁADZA NIE MA W TYM INTERESU. Jeśli ma to nieważne czy jesteś uczciwy czy nie, kolejny bat na ciebie. Nie jesteś przestępcą żeby cię inwigilowali w tajemnicy.

        1. Awatar Sławek
          Sławek

          Ja bym się też zastanowił czy władza(rządy różnych krajów) nie udostępnia tych informacji zaprzyjaźnionym podmiotą. Starczy, że zrobi to tylko jeden kraj, a już będzie nieźle. Na Wikipedii pisze, że system ten jest wykorzystywany do inwigilacji gospodarczej. Przypomnę, że możliwość przewidzenia wahań giełdowych pozwala nie tylko zrobić fortunę, ale także zyskać władzę(uznanie wśród określonych osób, możliwość wykupienia konkurencji, itd. ).

  3. Awatar fragger
    fragger

    @i

    Tak w samej rzeczy jest – ale państwa mają swego rodzaju monopol na taką przestępczość, no bo kto im co zrobi? Normalny człowiek za to idzie do pierdla, ale jak na szczeblu państwowym to już można wszystko przepchnąć.

    Podsłuchiwanie powinno być skrupulatnie kontrolowane, tylko w wypadku uzasadnionego podejrzenia prowadzenia działalności przestępczej o wysokiej szkodliwości popartego silnymi dowodami i zatwierdzonego przez sąd. W końcu narusza się prywatność także niewinnych ludzi!

    Prawidłowym podejściem jest zmienić prawo tak żeby tego zabraniało – ale góra się i tak nie zgodzi i już. Nic nie zrobisz. Szyfrowanie to tylko doraźne lekarstwo na to, w UK można dostać wyrok za nieujawnienie klucza szyfrującego, a co jeśli klient używał tylko kluczy sesyjnych po komunikacji usuwanych jak w TLS czy SSH? Masz duże szanse dostać wyrok za nic. Tak samo jeśli masz plik danych których nie można odczytać żadnym popularnym programem – też mogą wyskoczyć że zaszyfrowałeś, wystarczy że biegły potwierdzi – typowy paragraf na każdego.

    Nawet jeśli przepchniesz taką inicjatywę w swoim kraju – pozostają inne kraje które to robią. Automatycznie twój kraj osłabia swoje siły wywiadowcze. A jak wiadomo są kraje w których to nie przejdzie, daleko nie trzeba szukać np. taka Rosja. W Internecie nie widzisz kiedy przekraczasz granicę państwową a nawet jeśli to nikt nie powiedział że wroga agentura nie działa w twoim kraju.

    Najlepsze rozwiązanie i jedyne zdaje się – zaszyfrować wszystko. Ale to kosztuje i brak motywacji komercyjnej – a władzom państwowym by się to nie spodobało.

    Politycy są ślepi – nie widzą że kręcą bat na samych siebie – w końcu całe życie u władzy nie będą a system aż się prosi o nadużycie, kwestia czasu.

    1. Awatar Moarc
      Moarc

      /me szykuje widły na WW3 przeciw korporacjom i terrorowi technologicznemu 😉

    2. Awatar Sławek
      Sławek

      Jest jedno ale. Nie ważni są politycy, ale partie. I w takim przekonaniu Oni żyją. Dopóki są członkami jakiejś szanowanej partii, to im nic nie grozi. Przynajmniej tak myślą 😉 .

  4. Awatar pjf
    pjf

    Patrząc na te wypociny z perspektywy prawdziwego doświadczenia w routingu Internetu można odnieść wrażenie, że ktoś próbuje zrobić z igły widły – problem leży *po stronie niekompetentnych administratorów sieci* a nie BGP.

    Ludzie, którzy pracują na tym poziomie Internetu to zwykle pierwsza liga hackerów z wieloma latami doświadczeń – naprawdę nie wiem, jakby ktoś mógł mnie przekonać, że popełnili tak rażący błąd w architekturze protokołu, który równie dobrze mógłby się nazywać "the Internet".

    Każdy dobry admin powinien znać BGP na wylot i zdawać sobie sprawę z konsekwencji każdego swojego ruchu – w przeciwnym wypadku żadne mechanizmy i zwyczaje go nie uchronią.

  5. Awatar compi
    compi

    W jaki sposób stosowanie IPv6 miało by chronić przed tym atakiem? Metodą byłoby raczej powszechne stosowanie filtrów (RPSL).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *