Poważne zagrożenie dla komunikacji w Internecie

Anton "Tony" Kapela i Alex Pilosov podczas konferencji DefConzaprezentowali technikę umożliwiającą przechwytywanie danychprzesyłanych w Internecie. Wykorzystuje ona protokół BGP (BorderGateway Protocol), który służy do konfiguracji tras routingu. Już w 1998 roku Peiter "Mudge" Zatko, były członek hakerskiej grupyL0pht oświadczył w Kongresie USA, że jest w stanie sparaliżowaćdziałanie Internetu w ciągu 30 minut. O tym jak to zrobić przywykorzystaniu podobnego ataku na BGP poinformował amerykańskieagencje rządowe. Przechwytywanie danych przy użyciu BGP było jednakprzez długi czas jedynie teorią i nie traktowano go jakorzeczywiste zagrożenie. Podczas swojego wystąpienia na DefCon w Las vegas dwaj badaczepokazali jednak jak teoria staje się praktyką. Przekierowali ruch zsieci konferencyjnej do swojego systemu znajdującego się w NowymJorku. Co ciekawe Kapela i Pilosov nie wykorzystali żadnej dziury wprotokole BGP, po prostu skorzystali ze sposobu w jaki on działa.Wiele protokołów sieciowych, których dziś używamy, powstało wlatach 70-tych. Wtedy jeszcze ogólnoświatowe sieci z milionamiużytkowników oraz różnymi rodzajami ataków były czystą fantastyką.Dlatego też BGP zakłada, że otrzymywane informacje o optymalnejtrasie routingu są poprawne i pochodzą z zaufanego źródła.Informacje te mają postać rozgłoszeń wysyłanych przez tzw. ASy (Autonomous System). Jeśli adres znajdziesię w zakresie rozgłoszeń dwóch ASów, wtedy "wygra" ten, któryrozgłasza węższy zakres i to on zostanie użyty do routingu pakietówdo tego adresu. Fakt ten może spróbować wykorzystać atakujący doprzekierowania ruchu do siebie. Nie daje to jednak jeszczemożliwości podsłuchiwania. Nasi Czytelnicy zapewne pamiętają jakPakistan próbując zablokować YouTube u siebie sprawił, że było ononiedostępne na całym świecie. Blokada ta była właśnie wykonanaprzez rozgłoszenia BGP, które w kilka minut zakłóciły routingpakietów do serwerów YouTube także poza sieciamipakistańskimi. Aby nie blokować ruchu a podsłuchiwać, atakujący musiałby przesyłaćprzechwycone pakiety do właściwego docelowego adresu. Ponieważjednak przekierował ruch na siebie to te pakiety i tak by do niegowróciły. Pilosov i Kapela opracowali więc metodę AS pathprepending, która powoduje, że niektóre ASy odrzucą rozgłoszeniaatakującego i doprowadzą pakiety do adresu docelowego. W ten sposóbatakujący może przechwytywać ruch a nawet go modyfikować będącpraktycznie niezauważonym. Dzięki modyfikacjom pola TTL możnasprawić, że adres IP komputera przechwytującego ruch zostanieukryty. Należy tu jednak zauważyć, że przechwytywany jest ruchpłynący do ofiary, nie od niej. Poza tym nie zawsze możliwe jest"wyssanie" danych z każdej sieci. Nadal także wyzwaniem pozostająpołączenia zaszyfrowane. Zabezpieczenie się przed opisywanym atakiem nie jest łatwe.Należałoby bowiem zmienić zasady, które obowiązują oddziesięcioleci. Konieczne byłoby wprowadzenie protokołu SBGPoferującego cyfrowe podpisywanie rozgłoszeń, lub też weryfikowanie,także oparte na certyfikatach, jakie ASy mogą rozgłaszać informacjeo routingu do jakich zakresów adresów. Rozwiązania te są jednakkosztowne i wymagają zmian na dużą skalę. Ponadto ze względu napropagację rozgłoszeń zabezpieczenia musiałyby stosować wszystkieASy. Obserwując oszałamiające tempo wprowadzania IPv6 (całe 0,0026%ruchu w Internecie) nie należy liczyć na szybkie wprowadzenie zmiando sposobów wyznaczania tras routingu przez dostawców Internetu.Być może jednak kolejne ewentualne blokady popularnych serwisówprzyspieszyłyby ten proces. Więcej szczegółów można przeczytać w serwisie Wired oraz w prezentacjiz konferencji.