Forum » Informacijska varnost » 15% vsega internetnega prometa skrivaj routano cez kitajsko
15% vsega internetnega prometa skrivaj routano cez kitajsko
Isotropic ::
http://defensetech.org/2010/11/16/15-pe...
dajem samo link, ker grem spat.
edit: za cca. 18min.
http://arstechnica.com/security/news/20...
dajem samo link, ker grem spat.
edit: za cca. 18min.
http://arstechnica.com/security/news/20...
- spremenil: Isotropic ()
masterpsi ::
bom pa še tu vprašal, mogoče bo tu kdo videl, ki v novici ne bo:
A lahko kdo razloži kakšna je konkretno pomankljivost? Pakistan telekom je 24.2.2008 začel oglaševat network, ki pripada youtubeu. Ampak tak "napad" bi moral preprečit obični prefix-list/route-map/access-list. Kako torej obideš te filtre in uspešno oglasiš tuj prefix pri sebi?? Berem po internetu, pa nikjer ni razlage.
A lahko kdo razloži kakšna je konkretno pomankljivost? Pakistan telekom je 24.2.2008 začel oglaševat network, ki pripada youtubeu. Ampak tak "napad" bi moral preprečit obični prefix-list/route-map/access-list. Kako torej obideš te filtre in uspešno oglasiš tuj prefix pri sebi?? Berem po internetu, pa nikjer ni razlage.
fiction ::
A lahko kdo razloži kakšna je konkretno pomankljivost? Pakistan telekom je 24.2.2008 začel oglaševat network, ki pripada youtubeu. Ampak tak "napad" bi moral preprečit obični prefix-list/route-map/access-list. Kako torej obideš te filtre in uspešno oglasiš tuj prefix pri sebi?? Berem po internetu, pa nikjer ni razlage.
http://www.ripe.net/news/study-youtube-...
Sej ne gre za pravo pomankljivost. Ponavadi ima upstream provider nek policy kaj lahko drug provider announca preko BGP-ja, ampak to je stvar medsebojnih dogovorov. Nek večji provider ponavadi ni omejen glede na to kaj lahko announca pri svojih peerih, ker ima zelo veliko IP rangov.
masterpsi ::
sm najdu precej dobro predstavitev, iz DEFCON 2008:
Anton Kapela & Alex Pilosov
Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack
Gre za to, da veliki ISPji ne omejujejo kar sprejemajo & oglašujejo med sabo. Torej če si stranka enega takega, lahko lepo preusmeriš nase promet. In celo posreduješ naprej, ne da bi kdo opazil.
Youtube & pakistan telekom je pa precej šolski primer.
Anton Kapela & Alex Pilosov
Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack
Gre za to, da veliki ISPji ne omejujejo kar sprejemajo & oglašujejo med sabo. Torej če si stranka enega takega, lahko lepo preusmeriš nase promet. In celo posreduješ naprej, ne da bi kdo opazil.
Youtube & pakistan telekom je pa precej šolski primer.
Zgodovina sprememb…
- spremenil: masterpsi ()
fiction ::
No ja, stranka enega takega, se sliši lažje kot je v resnici. Ni samo to, da izbereš določenega ponudnika pa je, imeti moraš svojo AS številko, kar pomeni tudi več IP območij (ponavadi so zahteve več kot /24, odvisno od RIR-a), svoje BGP routerje... Torej moraš biti sam LIR,u kar je povezano še s stroški članstva. Pod 50-100k EUR pomoje ne prideš z vsem skupaj.
Za ISP to ni veliko, ampak da bi se šel hobby ISP samo za svoje zle namene pa ni najbolj smiselno. Če ne drugega se vse skupaj precej hitro odkrije pa ob napadu tudi ne ostaneš anonimen, tako da če zavestno počneš kaj takega kmalu lahko nehaš biti ISP. Se splača vložek za 15 min slave? Malo bolj verjetna je varianta, da nekdo sheka providerja in potem v njegovem imenu naredi vse skupaj. Ampak dobiti dostop do usmerjevalnikov tudi ne bi smelo biti ravno trivialno. No ali pa social engineering kot je bil v primeru YouTuba, kjer je v bistvu pakistanska vlada vplivala na njihov telekom...
Kot uporabnik interneta se moraš samo zavedati, da gre paket lahko do cilja po najrazličnejših poteh. Te poti se vmes lahko spreminjajo pa tudi sicer tisto kar vidiš v traceroute ni nujno prava stvar. Za rešitev problema: zagotovitev tajnosti in preverjanje identitete obeh strani, ki komunicirata, lahko poskrbi kriptografija.
Za ISP to ni veliko, ampak da bi se šel hobby ISP samo za svoje zle namene pa ni najbolj smiselno. Če ne drugega se vse skupaj precej hitro odkrije pa ob napadu tudi ne ostaneš anonimen, tako da če zavestno počneš kaj takega kmalu lahko nehaš biti ISP. Se splača vložek za 15 min slave? Malo bolj verjetna je varianta, da nekdo sheka providerja in potem v njegovem imenu naredi vse skupaj. Ampak dobiti dostop do usmerjevalnikov tudi ne bi smelo biti ravno trivialno. No ali pa social engineering kot je bil v primeru YouTuba, kjer je v bistvu pakistanska vlada vplivala na njihov telekom...
Kot uporabnik interneta se moraš samo zavedati, da gre paket lahko do cilja po najrazličnejših poteh. Te poti se vmes lahko spreminjajo pa tudi sicer tisto kar vidiš v traceroute ni nujno prava stvar. Za rešitev problema: zagotovitev tajnosti in preverjanje identitete obeh strani, ki komunicirata, lahko poskrbi kriptografija.
masterpsi ::
Živjo,
No ja, dalo bi ce ceneje pridet skozi, ampak bi te res hitro ukinili. Moj namen ni bil "pohekat internet", ampak samo zvedet kako to deluje. Imam namreč skoraj dnevno delo na BGP protokolu in mi ni bilo jasno kako lahko preusmeriš promet nase - in kasneje celo vrneš končni stranki.
Kriptografija bi pomagala ja - sej kar je važnega je zaščiteno (maili, nakupi, ...). Tudi BGP sejo lahko zakriptiraš med ASi, ampak v tem primeru ta zaščita ne pomaga.
LP
No ja, dalo bi ce ceneje pridet skozi, ampak bi te res hitro ukinili. Moj namen ni bil "pohekat internet", ampak samo zvedet kako to deluje. Imam namreč skoraj dnevno delo na BGP protokolu in mi ni bilo jasno kako lahko preusmeriš promet nase - in kasneje celo vrneš končni stranki.
Kriptografija bi pomagala ja - sej kar je važnega je zaščiteno (maili, nakupi, ...). Tudi BGP sejo lahko zakriptiraš med ASi, ampak v tem primeru ta zaščita ne pomaga.
LP
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Evropi zmanjkalo naslovov IPv4 (strani: 1 2 3 )Oddelek: Novice / Omrežja / internet | 20770 (15857) | Gapi |
| » | IPv6, BGP, ASN - kateri router?Oddelek: Omrežja in internet | 2614 (2397) | Spc |
| » | Kako je Egipt izklopil internet in kako so se prebivalci prilagodiliOddelek: Novice / NWO | 16422 (12829) | ...:TOMI:... |
| » | Kitajska je za 18 minut na skrivaj čez svoje ozemlje preusmerila 15% svetovnega interOddelek: Novice / Zasebnost | 8492 (6060) | Lonsarg |
| » | Napad na Border Gateway ProtocolOddelek: Novice / Varnost | 10604 (8782) | AndraZK |