Šķietami nelabojamā plaisa interneta mugurkaulā

Ir satraucoši viegli uzbrukt interneta mugurkaulam, lai bloķētu piekļuvi lielam tiešsaistes pakalpojumam, piemēram, YouTube, vai pārtvertu plašā mērogā tiešsaistes saziņu.





Tā saka drošības pētnieki, kas cenšas mudināt savu nozari kaut ko darīt, lai novērstu ilgstošas ​​​​nepilnības protokolā, kas nosaka, kā maršrutēt datus dažādos tīklos, kas veido internetu. Gandrīz visā infrastruktūrā, kurā darbojas šis protokols, pat netiek izmantota pamata drošības tehnoloģija, kas padarītu datu bloķēšanu vai pārtveršanu daudz grūtāku.

Tehnoloģija ir pieejama — problēma ir tā, ka mēs to neizmantojam, sacīja Vims Remess, drošības uzņēmuma Rapid7 stratēģisko pakalpojumu vadītājs. Black Hat drošības konference trešdien Lasvegasā. Šo uzbrukumu iespējamība ir ierobežota, taču to ietekme ir milzīga.

Vājums slēpjas robežas vārtejas protokolā jeb BGP. Lieli maršrutētāji, ko pārvalda interneta pakalpojumu sniedzēji un lielākās korporācijas, izmanto BGP, lai noskaidrotu, kā iegūt datus starp dažādām vietām. Katrs no šiem lielākajiem maršrutētājiem vēršas pie sev līdzīgiem — tiem, ko pārvalda citi uzņēmumi — pēc informācijas, kas tam nepieciešama, lai visefektīvāk nosūtītu datus uz galamērķi. Uzņēmumi, kas apkalpo maršrutētājus, manuāli izvēlas, kuriem citiem maršrutētājiem uzticēsies.



Diemžēl BGP nav iebūvētu drošības mehānismu, kas ļautu maršrutētājiem pārbaudīt saņemto informāciju vai to sniedzēju identitāti. Ja maršrutētāji apzināti vai citādi izplata nepareizu informāciju par datu maršrutēšanu, var notikt ļoti sliktas lietas.

Šī problēma ir zināma gadu desmitiem. Tas bija pamats hakeru grupas L0pht 1998. gada apgalvojumam pirms Kongresa, ka viņi varētu likvidēt internetu 30 minūšu laikā. Bet incidenti, kas ir atklājuši BGP trūkumus, ir mudinājuši dažus drošības uzņēmumus to uztvert nopietnāk.

2013. gadā drošības uzņēmums Renesys novēroja vairākus gadījumus, kad ASV tīmekļa trafika bija neizskaidrojami novirzīts caur Baltkrieviju un Islandi , kurā, iespējams, bija vīrietis vidū uzbrukums, kas paredzēts, lai slepeni pārtvertu datus. Šā gada jūnijā Malaizijas interneta pakalpojumu sniedzējs nepareizi konfigurēja savus maršrutētājus un izraisīja trafika no visas pasaules saplūst savā tīklā, izraisot stundu pārtraukumus vai lēnu veiktspēju pakalpojumiem, tostarp Snapchat, Skype un Google. Apsardzes firmas pētnieks Artjoms Gavričenkovs Qrator , parādīja Black Hat, kā ar BGP var manipulēt, lai bez atļaujas iegūtu drošības sertifikātu uz konkrētas vietnes vārda, ļaujot uzdoties par to un atšifrēt drošu trafiku.



Remes of Rapid7 saka, ka uzņēmumi, kas izmanto BGP infrastruktūru, neuztver šādu problēmu risku pietiekami nopietni. Tehnoloģiju, ko sauc par RPKI, var izmantot, lai maršrutētājiem nodrošinātu iespēju pārbaudīt, vai informācija, ko viņi saņem no citiem, ir derīga. Taču tikai 16 no pasaulē visvairāk pieejamām vietnēm to ir ieviesušas, un Facebook ir vienīgā vietne top 10, kas to ir izdarījusi, viņš teica.

Andree Toonk, tīkla inženierijas vadītājs no drošības uzņēmuma OpenDNS, ko nesen iegādājās Cisco Systems, saka, ka pat plaša RPKI ieviešana tikai zināmā mērā palīdzētu novērst BGP radītos apdraudējumus, jo to ir iespējams apiet. Viņš teica, ka tas atrisina 90 procentus problēmas, taču tas nav drošs.

Savā sarunā Black Hat ceturtdien Toonk plānoja aprakstīt zondu sistēmu, ko viņš izveidoja visā pasaulē, lai izsekotu BGP maršrutētāju darbību. OpenDNS paredzēts ieviest sava veida sabiedrības brīdināšanas sistēmu, kas pārraidīs satraucošas izmaiņas datu maršrutos caur Twitter .



paslēpties