Povezane novice
Izpis novic (3 zadetki)
- povezano z: Napad na Border Gateway Protocol
Ušel tajni seznam IP naslovov nemške tajne službe
- oznake: N/A
Schneier.com - Sredi novembra so na Wikileaks objavili tajni seznam IP-naslovov, ki jih je pri svojem delu uporabljala nemška tajna služba BND (Bundesnachrichtendienst). Gre za interni dokument hčerinskega podjetja nemškega Telekoma, T-Systems, katerega verodostojnost je že potrjena.
Raziskava, ki so jo opravili pri Wikileaks, je pokazala, da so iz omenjenih IP-naslovov agentje nemške tajne službe urejali Wikipedijo (iz vnosa o nemški tajni službi BND so odstranili nekatere informacije), iz teh IP-naslovov so preiskovali spletne strani ruske vlade, obiskovali forume in spletišča, ki so vsebovali podatke o terorizmu in terorističnih aktivnostih, obiskovali spletno stran berlinske posredovalnice tim. poklicnih spremljevalk itd.
Po podatkih Wikileaks naj bi se omenjeni IP-naslovi fizično nahajali v Münchnu, Berlinu, Flensburgu, Freiburgu in Braunschweigu, kjer naj bi po javno znanih podatkih BND imela svoje urade za elektronske operacije, del IP-naslovov pa naj bi pripadal domeni bvoe.de (oz.podjetju Informationsboerse - spletna stran je medtem že izginila, ni pa je mogoče najti niti v Web Archive) ter nemški vojski. BND naj bi za kritje uporabljala tudi Goethejev Inštitut.
Takoj po razkritju je podjetje T-Systems vse razkrite IP naslove "počistila" iz RIPE-registra, tajni službi pa dodelila nove IP naslove.
Sedaj pa brž poglejte v dnevniške zapise svojih spletnih strežnikov ...
Raziskava, ki so jo opravili pri Wikileaks, je pokazala, da so iz omenjenih IP-naslovov agentje nemške tajne službe urejali Wikipedijo (iz vnosa o nemški tajni službi BND so odstranili nekatere informacije), iz teh IP-naslovov so preiskovali spletne strani ruske vlade, obiskovali forume in spletišča, ki so vsebovali podatke o terorizmu in terorističnih aktivnostih, obiskovali spletno stran berlinske posredovalnice tim. poklicnih spremljevalk itd.
Po podatkih Wikileaks naj bi se omenjeni IP-naslovi fizično nahajali v Münchnu, Berlinu, Flensburgu, Freiburgu in Braunschweigu, kjer naj bi po javno znanih podatkih BND imela svoje urade za elektronske operacije, del IP-naslovov pa naj bi pripadal domeni bvoe.de (oz.podjetju Informationsboerse - spletna stran je medtem že izginila, ni pa je mogoče najti niti v Web Archive) ter nemški vojski. BND naj bi za kritje uporabljala tudi Goethejev Inštitut.
Takoj po razkritju je podjetje T-Systems vse razkrite IP naslove "počistila" iz RIPE-registra, tajni službi pa dodelila nove IP naslove.
Sedaj pa brž poglejte v dnevniške zapise svojih spletnih strežnikov ...
- Nemčija prispevala 100.000 slik v arhiv Wikipedije :: 6. dec 2008
- Napad na Border Gateway Protocol :: 5. sep 2008
- Kitajski vojaški hekerji napadajo ZDA? :: 2. jan 2006
- Heker, ki je imel dostop do elektronske pošte ameriške tajne službe :: 13. jan 2005
Napad na Border Gateway Protocol
- oznake: N/A
Wired Blog - Border Gateway Protocol (BGP) je temeljni usmerjevalni protokol interneta, s pomočjo katerega usmerjevalniki pošiljajo podatkovne pakete od enega IP naslova do drugega. Konec avgusta pa sta Anton "Tony" Kapela ter Alex Pilosov na konferenci DefCon pokazala, kako je mogoče spreminjati pot podatkovnih paketov ter tako neopazno prestrezati internetni promet iz kjerkoli na svetu.
Tehnika seveda ni uporabna za običajne uporabnike interneta, saj je potrebno imeti povezavo na eno izmed internetnih hrbtenic ter BGP usmerjevalnik (ki si ga lahko tudi sami naredite), vendar pa lahko tehniko povsem neopazno izvaja katerakoli vlada ali velika korporacija.
Za kaj gre?
Raziskovalca sta odkrila, da ima BGP protokol že v sami zasnovi nekatere resne pomankljivosti. Glavna težava je v tem, da v BGP protokol ni vgrajenih ustreznih mehanizmov zaupanja. BGP protokol namreč deluje tako, da ko npr. uporabnik v svoj brskalnik vnese naslov spletne strani (npr. www.youtube.com), DNS brskalniku sporoči IP naslov tega strežnika, zahtevek za ogled te spletne strani pa je nato poslan na ta IP naslov. Usmerjevalnik uporabnikovega ponudnika dostopa do interneta nato v posebni BGP tabeli preveri najboljšo povezavo do ciljnega IP naslova ter nato izbere najhitrejšo pot do tega ciljnega IP naslova.
BGP tabela pa je sestavljena iz tim. "obvestil", ki jih pošljejo ponudniki dostopa do interneta in druga omrežja (tim. Autonomni Sistemi ali AS-i), ki sporočajo nabor IP naslovov na katere preusmerjajo podatkovni promet.
Problem nastopi, ko nek BGP usmerjevalnik sebe predstavi kot najhitrejšo pot do ciljnega IP naslova. Posledica tega je, da se bo ves promet namenjen temu IP naslovu preusmeril preko tega usmerjevalnika.
Kapela in Pilosov sta tudi odkrila kako tako prestrežen promet nato neopazno preusmerjati do pravega ciljnega naslova (zanimivo je predvsem skrivanje napada s pomočjo tim. TTL adjustment-a).
Zanimivo pa je, da Kapela in Pilosov nikakor nista prva raziskovalca, ki sta opozorila na ta problem. Član hekerske skupine L0pht Peiter "Mudge" Zatko je podoben napad s katerim bi bilo mogoče povsem sesuti internet v 30 minutah, predstavil v ameriškem Kongresu 18. maja 1998. Za Wired je tudi izjavil, da so tehniko podrobno predstavili tudi ameriškim tajnim službam. Podobno demonstracijo so predstavnikom ameriškega Ministrstva za domovinsko varnosti in Ministrstva za obrambo pred nekaj leti predstavili v podjetju BBN Technologies.
Podobno tehniko so v članku A Study of Prefix Hijacking and Interception in the Internet leta 2007 opisali tudi Hitesh Ballani, Xinyang Zhang ter Paul Francis iz Cornell University, Steve Bellovin iz Columbia University pa je o tem problemu pisal že leta 1989 (!), leta 1999 pa sta Steve Bellovin in Steve Kent v članku opozorila, da sta problem BGP usmerjanja in DNS protokolov dve največji grožnji internetu. Kljub opozorilom, se napaka ni odpravila.
Kapela in Pilosov sta v svoji predstavitvi predlagala tim. Secure BGP (SBGP), ki bi zahteval, da bodo vsi BGP usmerjevalniki vsako prej omenjeno obvestilo digitalno podpisali, hkrati pa bodo vsi usmerjevalniki tudi imeli ustrezne digitalne certifikate, s katerimi se bo zagotavljala njihova prava identiteta.
Za tehniko zlorabe (pravzaprav ne gre za zlorabo, pač pa za normalno delovanje BGP protokola) so dolgo časa menili, da je zgolj teoretična. Vendar pa se je v začetku leta pokazalo, da ima lahko resne posledice tudi v praksi. 24. februarja letos je namreč pakistansko sodišče zaradi objave spornega posnetka prepovedalo dostop do YouTubea, pakistanski ponudniki dostopa do interneta pa so prepoved implementirali s pomočjo BGP usmerjanja. Posledica je bila, da se je večina celotnega svetovnega internetnega prometa preusmerila na pakistanski strežnik, ki je obiskovalce obveščal, da je dostop do YouTubea prepovedan.
Morda pa bo to dovoljšen razlog za investicijo v varnost BGP protokola?
Tehnika seveda ni uporabna za običajne uporabnike interneta, saj je potrebno imeti povezavo na eno izmed internetnih hrbtenic ter BGP usmerjevalnik (ki si ga lahko tudi sami naredite), vendar pa lahko tehniko povsem neopazno izvaja katerakoli vlada ali velika korporacija.
Za kaj gre?
Raziskovalca sta odkrila, da ima BGP protokol že v sami zasnovi nekatere resne pomankljivosti. Glavna težava je v tem, da v BGP protokol ni vgrajenih ustreznih mehanizmov zaupanja. BGP protokol namreč deluje tako, da ko npr. uporabnik v svoj brskalnik vnese naslov spletne strani (npr. www.youtube.com), DNS brskalniku sporoči IP naslov tega strežnika, zahtevek za ogled te spletne strani pa je nato poslan na ta IP naslov. Usmerjevalnik uporabnikovega ponudnika dostopa do interneta nato v posebni BGP tabeli preveri najboljšo povezavo do ciljnega IP naslova ter nato izbere najhitrejšo pot do tega ciljnega IP naslova.
BGP tabela pa je sestavljena iz tim. "obvestil", ki jih pošljejo ponudniki dostopa do interneta in druga omrežja (tim. Autonomni Sistemi ali AS-i), ki sporočajo nabor IP naslovov na katere preusmerjajo podatkovni promet.
Problem nastopi, ko nek BGP usmerjevalnik sebe predstavi kot najhitrejšo pot do ciljnega IP naslova. Posledica tega je, da se bo ves promet namenjen temu IP naslovu preusmeril preko tega usmerjevalnika.
Kapela in Pilosov sta tudi odkrila kako tako prestrežen promet nato neopazno preusmerjati do pravega ciljnega naslova (zanimivo je predvsem skrivanje napada s pomočjo tim. TTL adjustment-a).
Zanimivo pa je, da Kapela in Pilosov nikakor nista prva raziskovalca, ki sta opozorila na ta problem. Član hekerske skupine L0pht Peiter "Mudge" Zatko je podoben napad s katerim bi bilo mogoče povsem sesuti internet v 30 minutah, predstavil v ameriškem Kongresu 18. maja 1998. Za Wired je tudi izjavil, da so tehniko podrobno predstavili tudi ameriškim tajnim službam. Podobno demonstracijo so predstavnikom ameriškega Ministrstva za domovinsko varnosti in Ministrstva za obrambo pred nekaj leti predstavili v podjetju BBN Technologies.
Podobno tehniko so v članku A Study of Prefix Hijacking and Interception in the Internet leta 2007 opisali tudi Hitesh Ballani, Xinyang Zhang ter Paul Francis iz Cornell University, Steve Bellovin iz Columbia University pa je o tem problemu pisal že leta 1989 (!), leta 1999 pa sta Steve Bellovin in Steve Kent v članku opozorila, da sta problem BGP usmerjanja in DNS protokolov dve največji grožnji internetu. Kljub opozorilom, se napaka ni odpravila.
Kapela in Pilosov sta v svoji predstavitvi predlagala tim. Secure BGP (SBGP), ki bi zahteval, da bodo vsi BGP usmerjevalniki vsako prej omenjeno obvestilo digitalno podpisali, hkrati pa bodo vsi usmerjevalniki tudi imeli ustrezne digitalne certifikate, s katerimi se bo zagotavljala njihova prava identiteta.
Za tehniko zlorabe (pravzaprav ne gre za zlorabo, pač pa za normalno delovanje BGP protokola) so dolgo časa menili, da je zgolj teoretična. Vendar pa se je v začetku leta pokazalo, da ima lahko resne posledice tudi v praksi. 24. februarja letos je namreč pakistansko sodišče zaradi objave spornega posnetka prepovedalo dostop do YouTubea, pakistanski ponudniki dostopa do interneta pa so prepoved implementirali s pomočjo BGP usmerjanja. Posledica je bila, da se je večina celotnega svetovnega internetnega prometa preusmerila na pakistanski strežnik, ki je obiskovalce obveščal, da je dostop do YouTubea prepovedan.
Morda pa bo to dovoljšen razlog za investicijo v varnost BGP protokola?
- Ušel tajni seznam IP naslovov nemške tajne službe :: 26. nov 2008
- Odkrita resna ranljivost v DNS sistemih :: 9. jul 2008
Odkrita resna ranljivost v DNS sistemih
- oznake: N/A
Arnes - Kot poročajo številni varnostni portali, med drugim tudi Arnesov SI-CERT in Slashdot je raziskovalec Dan Kaminsky v DNS protokolu odkril resno ranljivost, ki omogočajo izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning), posledično pa napadalec lahko s pomočjo DNS predpomnilnika izvede napad z ribarjenjem (tim. phishing).
Kaminsky je o ranljivosti obvestil 81 proizvajalcev programja za DNS strežnike, večina pa jih je danes izdala koordiniran popravek ranljivosti. Podrobnosti o ranljivosti sicer še niso javno znane, jih bo pa Kaminsky objavil avgusta letos na Black Hat konferenci. Na voljo je tudi on-line program za preverjanje ranljivosti vašega DNS-ja.
Pa še opozorilo: poleg nadgradnje DNS programske opreme na vaših strežnikih (če jih imate) pa ne pozabite nadgraditi tudi programske opreme na napravah kot so domači brezžični usmerjevalniki.
Kaminsky je o ranljivosti obvestil 81 proizvajalcev programja za DNS strežnike, večina pa jih je danes izdala koordiniran popravek ranljivosti. Podrobnosti o ranljivosti sicer še niso javno znane, jih bo pa Kaminsky objavil avgusta letos na Black Hat konferenci. Na voljo je tudi on-line program za preverjanje ranljivosti vašega DNS-ja.
Pa še opozorilo: poleg nadgradnje DNS programske opreme na vaših strežnikih (če jih imate) pa ne pozabite nadgraditi tudi programske opreme na napravah kot so domači brezžični usmerjevalniki.
- Uporaba DNS-a za (prikrito) komuniciranje :: 19. dec 2008
- Napad na Border Gateway Protocol :: 5. sep 2008
Izpis novic (3 zadetki)
- povezano z: Napad na Border Gateway Protocol