r   e   k   l   a   m   a
r   e   k   l   a   m   a

Poważne zagrożenie dla komunikacji w Internecie

Strona główna Aktualności

Anton "Tony" Kapela i Alex Pilosov podczas konferencji DefCon zaprezentowali technikę umożliwiającą przechwytywanie danych przesyłanych w Internecie. Wykorzystuje ona protokół BGP (Border Gateway Protocol), który służy do konfiguracji tras routingu.

Już w 1998 roku Peiter "Mudge" Zatko, były członek hakerskiej grupy L0pht oświadczył w Kongresie USA, że jest w stanie sparaliżować działanie Internetu w ciągu 30 minut. O tym jak to zrobić przy wykorzystaniu podobnego ataku na BGP poinformował amerykańskie agencje rządowe. Przechwytywanie danych przy użyciu BGP było jednak przez długi czas jedynie teorią i nie traktowano go jako rzeczywiste zagrożenie.

Podczas swojego wystąpienia na DefCon w Las vegas dwaj badacze pokazali jednak jak teoria staje się praktyką. Przekierowali ruch z sieci konferencyjnej do swojego systemu znajdującego się w Nowym Jorku. Co ciekawe Kapela i Pilosov nie wykorzystali żadnej dziury w protokole BGP, po prostu skorzystali ze sposobu w jaki on działa. Wiele protokołów sieciowych, których dziś używamy, powstało w latach 70-tych. Wtedy jeszcze ogólnoświatowe sieci z milionami użytkowników oraz różnymi rodzajami ataków były czystą fantastyką. Dlatego też BGP zakłada, że otrzymywane informacje o optymalnej trasie routingu są poprawne i pochodzą z zaufanego źródła. Informacje te mają postać rozgłoszeń wysyłanych przez tzw. ASy (Autonomous System). Jeśli adres znajdzie się w zakresie rozgłoszeń dwóch ASów, wtedy "wygra" ten, który rozgłasza węższy zakres i to on zostanie użyty do routingu pakietów do tego adresu. Fakt ten może spróbować wykorzystać atakujący do przekierowania ruchu do siebie. Nie daje to jednak jeszcze możliwości podsłuchiwania. Nasi Czytelnicy zapewne pamiętają jak Pakistan próbując zablokować YouTube u siebie sprawił, że było ono niedostępne na całym świecie. Blokada ta była właśnie wykonana przez rozgłoszenia BGP, które w kilka minut zakłóciły routing pakietów do serwerów YouTube także poza sieciami pakistańskimi.

Aby nie blokować ruchu a podsłuchiwać, atakujący musiałby przesyłać przechwycone pakiety do właściwego docelowego adresu. Ponieważ jednak przekierował ruch na siebie to te pakiety i tak by do niego wróciły. Pilosov i Kapela opracowali więc metodę AS path prepending, która powoduje, że niektóre ASy odrzucą rozgłoszenia atakującego i doprowadzą pakiety do adresu docelowego. W ten sposób atakujący może przechwytywać ruch a nawet go modyfikować będąc praktycznie niezauważonym. Dzięki modyfikacjom pola TTL można sprawić, że adres IP komputera przechwytującego ruch zostanie ukryty. Należy tu jednak zauważyć, że przechwytywany jest ruch płynący do ofiary, nie od niej. Poza tym nie zawsze możliwe jest "wyssanie" danych z każdej sieci. Nadal także wyzwaniem pozostają połączenia zaszyfrowane.

Zabezpieczenie się przed opisywanym atakiem nie jest łatwe. Należałoby bowiem zmienić zasady, które obowiązują od dziesięcioleci. Konieczne byłoby wprowadzenie protokołu SBGP oferującego cyfrowe podpisywanie rozgłoszeń, lub też weryfikowanie, także oparte na certyfikatach, jakie ASy mogą rozgłaszać informacje o routingu do jakich zakresów adresów. Rozwiązania te są jednak kosztowne i wymagają zmian na dużą skalę. Ponadto ze względu na propagację rozgłoszeń zabezpieczenia musiałyby stosować wszystkie ASy. Obserwując oszałamiające tempo wprowadzania IPv6 (całe 0,0026% ruchu w Internecie) nie należy liczyć na szybkie wprowadzenie zmian do sposobów wyznaczania tras routingu przez dostawców Internetu. Być może jednak kolejne ewentualne blokady popularnych serwisów przyspieszyłyby ten proces.

Więcej szczegółów można przeczytać w serwisie Wired oraz w prezentacji z konferencji.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.