Уязвимость в BGP позволяет незаметно перехватывать интернет-трафик
Уязвимость в BGP позволяет незаметно перехватывать интернет-трафик
Alexander Antipov
Доклад об дыре в одном из основных протоколов Интернета сделали 10 августа на конференции DefCon двое IT-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.
Интернет-трафик можно незаметно перехватить, сохранить, изменить и послать после этого адресату таким образом, что он ничего не заметит. Доклад об дыре в одном из основных протоколов Интернета сделали 10 августа на конференции DefCon двое IT-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.
Доклад Антона "Тони" Капелы из компании 5Nines Data и Алекса Пилосова из Pilosoft был сделан всего месяц после того, как интернетчики узнали о недоработке в протоколе DNS, отвечающем за сопоставление IP-адресов и доменных имен.
В этот раз хитроумные эксперты смогли найти слабое место в BGP (Border Gateway Protocol, протокол граничного шлюза). Именно BGP отвечает за то, чтобы автономные системы могли обмениваться информацией и при этом данные пересылались по оптимальному маршруту.
Когда пользователь вписывает адрес сайта в строку браузера, DNS преобразует эту строку в цифровой IP-адрес. Маршрутизатор запрашивает таблицу BGP, по какому маршруту лучше всего пересылать информацию. Эта таблица - аналог газеты бесплатных объявлений, в которой сеть провайдера и другие сети могут помещать "объявления". В последних написан диапазон адресов, по которым сеть может переслать данные. В случае, если вариантов много, BGP выбирает более узкие адресные диапазоны.
Поэтому, предполагают исследователи, для перехвата трафика необходимо вывесить объявление с более узким адресным диапазоном, чем у других сетей. В течение нескольких минут объявление сработает и данные начнут прибывать в сеть злоумышленника.
Надо сказать, что ничего нового в этом нет - соответствующая техника называется IP hijacking и выявляется по неизвестно куда исчезающим пакетам с данными. Например, некоторое время назад пакистанский провайдер, стремясь заблокировать YouTube по приказу властей, нечаянно вырубил популярный видеохостинг во всем мире.
Капела и Пилосов пошли дальше. Они предложили возвращать перехваченную информацию законному владельцу и не давать понять, что его прослушивают. Для этого находятся несколько автономных систем, распознающих "фальшивый" маршрут. Пакет перенаправляется на них и он возвращается не в сеть злоумышленника, а в сеть пользователя.
При желании можно проанализировать таблицы BGP и засечь факт вмешательства, но вероятность этого, по мнению авторов доклада, невелика. Более того, они утверждают, что подобные атаки провайдеры могут предотвратить на 100 процентов при помощи фильтрации трафика, однако для этого нужно затратить слишком много труда.
Также предлагается создать систему сертификатов доверия между автономными системами. Такая система помогла бы определить, безопасен ли тот или другой маршрут.
Доклад Антона "Тони" Капелы из компании 5Nines Data и Алекса Пилосова из Pilosoft был сделан всего месяц после того, как интернетчики узнали о недоработке в протоколе DNS, отвечающем за сопоставление IP-адресов и доменных имен.
В этот раз хитроумные эксперты смогли найти слабое место в BGP (Border Gateway Protocol, протокол граничного шлюза). Именно BGP отвечает за то, чтобы автономные системы могли обмениваться информацией и при этом данные пересылались по оптимальному маршруту.
Когда пользователь вписывает адрес сайта в строку браузера, DNS преобразует эту строку в цифровой IP-адрес. Маршрутизатор запрашивает таблицу BGP, по какому маршруту лучше всего пересылать информацию. Эта таблица - аналог газеты бесплатных объявлений, в которой сеть провайдера и другие сети могут помещать "объявления". В последних написан диапазон адресов, по которым сеть может переслать данные. В случае, если вариантов много, BGP выбирает более узкие адресные диапазоны.
Поэтому, предполагают исследователи, для перехвата трафика необходимо вывесить объявление с более узким адресным диапазоном, чем у других сетей. В течение нескольких минут объявление сработает и данные начнут прибывать в сеть злоумышленника.
Надо сказать, что ничего нового в этом нет - соответствующая техника называется IP hijacking и выявляется по неизвестно куда исчезающим пакетам с данными. Например, некоторое время назад пакистанский провайдер, стремясь заблокировать YouTube по приказу властей, нечаянно вырубил популярный видеохостинг во всем мире.
Капела и Пилосов пошли дальше. Они предложили возвращать перехваченную информацию законному владельцу и не давать понять, что его прослушивают. Для этого находятся несколько автономных систем, распознающих "фальшивый" маршрут. Пакет перенаправляется на них и он возвращается не в сеть злоумышленника, а в сеть пользователя.
При желании можно проанализировать таблицы BGP и засечь факт вмешательства, но вероятность этого, по мнению авторов доклада, невелика. Более того, они утверждают, что подобные атаки провайдеры могут предотвратить на 100 процентов при помощи фильтрации трафика, однако для этого нужно затратить слишком много труда.
Также предлагается создать систему сертификатов доверия между автономными системами. Такая система помогла бы определить, безопасен ли тот или другой маршрут.
Ваш провайдер знает о вас больше, чем ваша девушка?