» »

Napad na Border Gateway Protocol

Napad na Border Gateway Protocol

Wired Blog - Border Gateway Protocol (BGP) je temeljni usmerjevalni protokol interneta, s pomočjo katerega usmerjevalniki pošiljajo podatkovne pakete od enega IP naslova do drugega. Konec avgusta pa sta Anton "Tony" Kapela ter Alex Pilosov na konferenci DefCon pokazala, kako je mogoče spreminjati pot podatkovnih paketov ter tako neopazno prestrezati internetni promet iz kjerkoli na svetu.

Tehnika seveda ni uporabna za običajne uporabnike interneta, saj je potrebno imeti povezavo na eno izmed internetnih hrbtenic ter BGP usmerjevalnik (ki si ga lahko tudi sami naredite), vendar pa lahko tehniko povsem neopazno izvaja katerakoli vlada ali velika korporacija.

Za kaj gre?

Raziskovalca sta odkrila, da ima BGP protokol že v sami zasnovi nekatere resne pomankljivosti. Glavna težava je v tem, da v BGP protokol ni vgrajenih ustreznih mehanizmov zaupanja. BGP protokol namreč deluje tako, da ko npr. uporabnik v svoj brskalnik vnese naslov spletne strani (npr. www.youtube.com), DNS brskalniku sporoči IP naslov tega strežnika, zahtevek za ogled te spletne strani pa je nato poslan na ta IP naslov. Usmerjevalnik uporabnikovega ponudnika dostopa do interneta nato v posebni BGP tabeli preveri najboljšo povezavo do ciljnega IP naslova ter nato izbere najhitrejšo pot do tega ciljnega IP naslova.

BGP tabela pa je sestavljena iz tim. "obvestil", ki jih pošljejo ponudniki dostopa do interneta in druga omrežja (tim. Autonomni Sistemi ali AS-i), ki sporočajo nabor IP naslovov na katere preusmerjajo podatkovni promet.

Problem nastopi, ko nek BGP usmerjevalnik sebe predstavi kot najhitrejšo pot do ciljnega IP naslova. Posledica tega je, da se bo ves promet namenjen temu IP naslovu preusmeril preko tega usmerjevalnika.

Kapela in Pilosov sta tudi odkrila kako tako prestrežen promet nato neopazno preusmerjati do pravega ciljnega naslova (zanimivo je predvsem skrivanje napada s pomočjo tim. TTL adjustment-a).

Zanimivo pa je, da Kapela in Pilosov nikakor nista prva raziskovalca, ki sta opozorila na ta problem. Član hekerske skupine L0pht Peiter "Mudge" Zatko je podoben napad s katerim bi bilo mogoče povsem sesuti internet v 30 minutah, predstavil v ameriškem Kongresu 18. maja 1998. Za Wired je tudi izjavil, da so tehniko podrobno predstavili tudi ameriškim tajnim službam. Podobno demonstracijo so predstavnikom ameriškega Ministrstva za domovinsko varnosti in Ministrstva za obrambo pred nekaj leti predstavili v podjetju BBN Technologies.

Podobno tehniko so v članku A Study of Prefix Hijacking and Interception in the Internet leta 2007 opisali tudi Hitesh Ballani, Xinyang Zhang ter Paul Francis iz Cornell University, Steve Bellovin iz Columbia University pa je o tem problemu pisal že leta 1989 (!), leta 1999 pa sta Steve Bellovin in Steve Kent v članku opozorila, da sta problem BGP usmerjanja in DNS protokolov dve največji grožnji internetu. Kljub opozorilom, se napaka ni odpravila.

Kapela in Pilosov sta v svoji predstavitvi predlagala tim. Secure BGP (SBGP), ki bi zahteval, da bodo vsi BGP usmerjevalniki vsako prej omenjeno obvestilo digitalno podpisali, hkrati pa bodo vsi usmerjevalniki tudi imeli ustrezne digitalne certifikate, s katerimi se bo zagotavljala njihova prava identiteta.

Za tehniko zlorabe (pravzaprav ne gre za zlorabo, pač pa za normalno delovanje BGP protokola) so dolgo časa menili, da je zgolj teoretična. Vendar pa se je v začetku leta pokazalo, da ima lahko resne posledice tudi v praksi. 24. februarja letos je namreč pakistansko sodišče zaradi objave spornega posnetka prepovedalo dostop do YouTubea, pakistanski ponudniki dostopa do interneta pa so prepoved implementirali s pomočjo BGP usmerjanja. Posledica je bila, da se je večina celotnega svetovnega internetnega prometa preusmerila na pakistanski strežnik, ki je obiskovalce obveščal, da je dostop do YouTubea prepovedan.

Morda pa bo to dovoljšen razlog za investicijo v varnost BGP protokola?

27 komentarjev

Sparrow ::

Dobro vprašanje je, koliko časa kak NSA že pridno to izkorišča.

DixieFlatline ::

Pa ne samo NSA!
The sky above the port was the color of television, tuned to a dead channel.

Spc ::

Stara novica.
 

poweroff ::

Ja, že 20+ let. :-)
sudo poweroff

Spc ::

Problem tega je samo to, da če naredijo secure bo zadeva delala dosti bolj počasi kot pa bi drugače .. razen če dodajo zelo hitre procesorje.
 

jlpktnst ::

Kaj bo delalo počasi? Saj gre samo za propagiranje sprememb v topologiji ... secure je samo trusted lista in način identifikacije teh "trusted" serverjev. V končni fazi lahko nsa vohuni tudi če naredijo stvar secure.

Spc ::

Ja če bi generiral key-e vsak node vsakih tolko milisekund bi se response time routing-a močno povečal.
 

Zgodovina sprememb…

  • spremenil: Spc ()

jype ::

Če je secure, potem ni fault-tolerant. In obratno.

MrStein ::

Kake milisekunde ?
To se gre za spremembe tabel. Če imaš srečo, se zgodi enkrat na teden.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Spc ::

Če bi bilo enkrat tedensko potem je ok.
 

poweroff ::

Včasih so precej pogoste te spremembe... včasih so route statične več dni.
sudo poweroff

poweroff ::

Poglejte si BGPlay na RIPE-u.
sudo poweroff

Bistri007 ::

Lahko da kak ISP ali Pakistan sesuje internet preko BGP.

Ampak če se to zgodi, bo ta ISP oz. "Pakistan" odklopljen od interneta. Pa naj si rušijo svoj vrt, če si hočejo.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...

poweroff ::

Ti sploh ne razumeš kaj je to routing in kaj sta ta dva tipa ugotovila. TTL Adjustment si poglej na slideih!
sudo poweroff

MrStein ::

A se "obvoz" ne bi videl na traceroute ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

krho ::

Mimo grede tole s podpisi. Who do you trust? Nekdo lahko zavaja s podpisan BGPjem... pa ti ne moreš čisto nič...
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

Zgodovina sprememb…

  • spremenil: krho ()

poweroff ::

Ja poglej si no prosojnice.

Odgovor je NE.
sudo poweroff

poweroff ::

Krho: poglej si kako bib ila vzpostavljena hierarhija CA certifikatov.V končni fazi imaš lahko potem Verisign, ki issua glavne certe, potem pa vsak ISP za svoje routerje svoje.

Vrhnji CA je enostavno implementirat v obstoječi formware.
sudo poweroff

G-man ::

Hm, kot da nekdo čaka na tisti t.i. e-najsti september...

darkolord ::

A se "obvoz" ne bi videl na traceroute ?

Če paketku nazaj prišteješ TTL, se ga pač ne vidi.

MrStein ::

Mislil sem, da se vidi spremenjena pot. Kar se, kot kaže slajd.
Seveda kdo bo to skoz kontroliral.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

denial ::

Old school ninjitsu pwns Internet :)
SELECT finger FROM hand WHERE id=3;

fiction ::

BGP usmerjevalnik je lahko vsak navaden PC, ne vem zakaj bi moral biti ravno Mac Mini.
Pac instaliras gor Quagga (fork od GNU Zebre) pa je.

Samo v praksi se pa najbrz za core routerje uporabljajo bolj namenski proizvodi od Ciscota / Juniperja.

Internetni protokoli v osnovi niso bili misljeni za take case kot so sedaj. Tudi za SMTP bi lahko kdo rekel da je beden ker se da uporabiti katerikoli izvorni naslov...

fiction ::

Ni orodja, ki bi ti povedalo "aha paket gre pa po tej in tej poti". Traceroute je ze v osnovi hack.
Kar naredi je to, da posljes nek (ponavadi UDP) paket na cilj. Najprej vzames TTL 1 in prvi router bo poslal
nazaj ICMP TTL exceeded. Potem povecas TTL za 1 in poskusis ponovno. S tem dosezes, da se ti routerji na poti k cilju oglasajo (zaradi napake) eden za drugim, saj je vedno naslednji tisti, ki ne more vec dostaviti zeljenega paketa naprej.

Samo v principu ni nujno da gre sploh zmeraj vse po eni in isti poti do cilja (lahko je vec poti do cilja,
lahko se "poti" vmes spreminjajo). Niti ni nujno da bo "clovek v sredini" sploh odgovarjal z ICMP
napako (potem se bo videlo samo *). Teoreticno lahko poslje odgovor tudi s ponarejenim izvornim naslovom.

Ampak to da se sploh ne oglasa in se TTL enostavno popravlja navzgor za 1 (TTL adjustment) je se najbolj
elegantna resitev. Potem bo res pravi naslednji hop odgovoril in se tistega, ki je vmes sprejel podatke sploh nikoli ne bo videlo.

poweroff ::

Pojasnilo: vmes sem bil na morju. In da sem napisal to novico sem si moral prej še kaj prebrati.
sudo poweroff

Matevžk ::

Pa dobro, no, če bi s tridnevno (ali tedensko) zamudo objavili novico, da en dan delijo zastonj iPhone (in bi ta novica samo poročala o preteklem dogodku, ostali mediji pa bi o tem poročali prej), bi bilo to malo smešno in neresno. Da se pa z nekajdnevno zamudo objavi "novica" o pred kratkim še enkrat potrjeni desetletja stari napaki v protokolu, ki bo vsaj par let še ostala, pa res ni noben bavbav. Hvala, Matthai, da se sploh trudiš.
lp, Matevžk

AndraZK ::

Meni je novica všeč, saj pred 10 leti teh zadev pač še nisem poznal. Vse pohvale za trud in lepo nazorno napisano novico.
The Matrix Has Me...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SIOL tujina down? (strani: 1 2 3 4 5 )

Oddelek: Omrežja in internet
22421068 (4860) MacGyver141
»

Krhkost interneta

Oddelek: Novice / Omrežja / internet
156585 (4113) masterpsi
»

Kitajska je za 18 minut na skrivaj čez svoje ozemlje preusmerila 15% svetovnega inter

Oddelek: Novice / Zasebnost
178419 (5987) Lonsarg
»

15% vsega internetnega prometa skrivaj routano cez kitajsko

Oddelek: Informacijska varnost
61529 (1154) Isotropic

Več podobnih tem