» »

Kitajska je za 18 minut na skrivaj čez svoje ozemlje preusmerila 15% svetovnega internetega prometa

Kitajska je za 18 minut na skrivaj čez svoje ozemlje preusmerila 15% svetovnega internetega prometa

Slo-Tech - Ta teden je ameriška kongresna komisija US-China Economic and Security Review Commission, katere namen je spremljanje in preiskovanje nacionalno-varnostnih posledic bilateralnega sodelovanja med ZDA in Kitajsko, izdala letno poročilo o Kitajski.

V njem so (stran 243 in 244) med drugim zapisali, da je kitajski China Telecom 8. aprila 2010 za 18 minut 15% svetovnega internetnega prometa preusmeril skozi svoje usmerjevalnike. Pri tem so po vsej verjetnosti uporabili napad na BGP protokol (o tem napadu smo sicer že poročali leta 2008), s pomočjo katerega so promet preusmerili na omrežne usmerjevalnike na Kitajskem.

Cilj napada so bili ameriški vladni (.gov) in vojaški (.mil) strežniki (med drugim tudi strežniki Senata, kopenske vojske in mornarice, marincev, zračnih sil, strežniki obrambnega ministrstva, NASE, trgovinskega ministrstva, ministrstva za okolje, itd.) pa tudi strežniki nekaterih zasebnih podjetij, kot npr. Dell, Yahoo!, Microsoft in IBM.

Na ArsTechnici so sicer razvili tezo, da je do tega morda prišlo zaradi tehnične napake (podobno se je leta 2008 zgodilo v Pakistanu, kjer so želeli blokirati dostop do YouTube, a so pomotoma ves promet namenjen na YouTube speljali v Pakistan). Kljub temu pa je izbor "tarč" nadvse zanimiv, odpirajo pa se tudi resna vprašaja povezana z varnostjo, saj je že dalj časa znano, da ima Kitajska posebne vojaške oddelke (tim. kibermilica) namenjene informacijskemu bojevanju (več o tem si lahko preberete v knjigi Varnost v informacijski družbi, avtorja Uroša Sveteta).

Če vse skupaj začinimo še s pomanjkljivim sistemom overjanja SSL certifikatov ter možnostjo, da CA overitelji prostovoljno ali prisilno "sodelujejo" z različnimi vladami, se paranoja le ne zdi tako neupravičena. Interesi so vsekakor veliki.

17 komentarjev

Highlag ::

So si pa zafilali diske :)).

Zdaj pa verjetno sledi razbijanje zaščite. Niso kupili superračunalnik brez veze...
Never trust a computer you can't throw out a window

Kostko ::

A sem kej zgrešil, od kje izhaja tale zaključek: "Pri tem so po vsej verjetnosti uporabili napad na BGP protokol"? To da trenutni BGP ni varen, ker ne avtenticira ASjev, ki lahko oglašujejo določene prefixe in da je to hud varnostni riziko, če maš AS in ustrezne peere (ki nimajo ustreznih filtrov) ni prav nič novega. Ampak takih incidentov (zaradi napak v konfiguraciji) je bilo že povhno, sedaj ko je pa en iz Kitajske je pa to kar takoj napad.

To poročilo ima potem tako cvetko kot je npr.:
Nonetheless, each incident demonstrates a capability that could possibly be used for malicious purposes.

Ne me basat, a to so pogruntali šele sedaj? Pa to je znano že res dolgo časa in nima nobene veze s konkretno Kitajsko ampak z neustrezno varnostjo BGPja.

Zaskrbljujoče je npr. tudi da zaupamo kitajskim (oz. katerimkoli zunanjim) CAjem. Z deployem DNSSEC-a bi bilo veliko bolj smiselno da se le-tega uporabi za varno distribucijo javnih ključev namesto obstoječe infrastrukture. Prav tako bi na podoben način DNSSEC lahko uporabl za oportunistično vzpostavljanje end-to-end IPSec sej. Druga varianta pa je web-of-trust model.
Human stupidity is not convergent, it has no limit!

Zgodovina sprememb…

  • spremenil: Kostko ()

guest #44 ::

Medtem ko kitajska trenira vojaške hekerje s polno paro, se zahod še vedno praska po glavi kaj dogaja!

Zgodovina sprememb…

  • spremenilo: guest #44 ()

keworkian ::

Kako na skrivaj, če vsi vejo? Isto kot bi rekel, sem naskrivaj scal natanko 2 minute in 22 sekund v Triglavskem Narodnem parku. Skregano z logiko.
Obscenities in B-Flat

poweroff ::

Za ranljivosti BGP protokola se seveda že dolgo ve, vendar le v razmeroma ozkih strokovnih krogih. Poleg tega DNSSEC problema v resnici ne rešuje.
sudo poweroff

masterpsi ::

A lahko kdo razloži kakšna je konkretno pomankljivost? Pakistan telekom je 24.2.2008 začel oglaševat network, ki pripada youtubeu. Ampak tak "napad" bi moral preprečit obični prefix-list/route-map/access-list. Kako torej obideš te filtre in uspešno oglasiš tuj prefix pri sebi?? Berem po internetu, pa nikjer ni razlage.

Looooooka ::

Ker ni filtrov.Ce bi bli filtri bi pomenil, da mamo nek centraln del interneta iz kjer bi vsi providerji dobival te "route".Ker so hotl nevtraln internet tega ni...in so samo neki dogovori kera drzava ma kere ipje cez.To se ocitno zapise v neke tabele in potem ti routerji announcajo, da se zdaj zadeva routa prek njih.Zgleda pa zadeva verjetn podpira se neko dinamicno updejtanje in optimizacijo teh poti in ce se kitajska odloci, da bo zajebala svojo tabelo zna hitro veliko routerjev sprejemat te announcemente in promet posiljat tja.
Tole bi verjetn res lahko kksn uber geek iz slo-techa razlozil(grem stavt da jih mamo).Ampak...tole je zgleda bl politicn protokol, ki temelji na nekih sheranih tabelah.Se zmer boljs kot pa, da ga ma ena drzava cez i guess...

poweroff ::

Ti samo oglašuješ svojo routo kot optimalno... in se avtomatsko propagira po celem svetu.
sudo poweroff

Kostko ::

poweroff je izjavil:

Za ranljivosti BGP protokola se seveda že dolgo ve, vendar le v razmeroma ozkih strokovnih krogih. Poleg tega DNSSEC problema v resnici ne rešuje.


No odvisno kaj so zate ozki krogi. Komurkoli, ki pozna BGP, bi moralo biti popolnoma jasno kako krhko je vse skupaj. In pomanjkljiva varnost je samo eden izmed problemov trenutnega globalnega routinga. Vprašanje pa je, kdaj se bo šlo v karkoli novega, ki bi bilo bolj varno in bolj skalabilno. Za to potrebuješ konsenz in motivacijo.

Katerega problema DNSSEC ne rešuje? Jaz sem ga omenil za rešitev drugega problema in sicer obstoječe PKI z množico CAjev, katerim implicitno zaupamo. Mi poveš razlog zakaj DNSSEC ne bi bil bolj primeren za varno distribucijo oz. avtentikacijo javnih ključev?
Human stupidity is not convergent, it has no limit!

ALT ::

Security expert Dmitri Alperovitch--VP of threat research at McAfee--says that this happens "accidentally" a few times a year, but this time it was different: The China Telecom network absorbed all the data and returned it without any significant delay. Before, this kind of accident would have resulted in communication problems, which lead experts to believe this wasn't an accident but a deliberated attempt to capture as much data as possible.


tole nekako daje vtis, da ni slo zgolj za nedolzno napako.

masterpsi ::

Looooooka je izjavil:

Ker ni filtrov.


ni res. Omenil sem jih - access-list/prefix-list/route-map. Vsaj na cisco opremi se omenjeni filtri uporabljajo prav v ta namen. Da ne more nekdo oglaševat networka, ki mu ne pripada.

Looooooka je izjavil:

Ce bi bli filtri bi pomenil, da mamo nek centraln del interneta iz kjer bi vsi providerji dobival te "route".Ker so hotl nevtraln internet tega ni...in so samo neki dogovori kera drzava ma kere ipje cez.

ni res. Država ne določa IPje, ampak IANA oz. njene podorganizacije (RIPE, ARNIC, AfriNIC2, LACNIC)

Torej vprašanje za "uber geeke" ostaja :) how to exploit BGP.
Predvidevam, da filtri niso delovali in da niso uporabljali cisco opreme :)

poweroff ::

Klikni na povezane novice... poišči prosojnice ... in se čudi.
sudo poweroff

terryww ::

It is the night. My body's weak.
I'm on the run. No time to sleep.

Rudolf ::

Vse jasnejši so obrisi prihodnje hladne ali pa prave vojne. NATO+Rusija proti Kitajski+kaki od držav "osi zla". Vsi ti drobni ravsi, tudi taki na kiber ravni, so zgolj otipavanje v prvi rundi.

roscha ::

Tukaj ni nobene ne hladne ne "tople" vojne zadaj. Vsi po celemsvetu pač vohljajo za vsemi. Pika.

Je že kdo videl državo brez obveščevalne službe? Janez Blondi so passe. Zadeve so se sofisticirale. Recimo tisti "Iranski" virus izpred par tednov je podoben hec.

poweroff ::

Slashdot pravi:

"Yesterday, we discussed what most of the world's major media outlets were reporting on China's April 2010 hijack of '15% of Internet traffic,' including sensitive US government and defense sites. The alarm came following a US Government report (see page 244) on China / US economic and security relations released on Tuesday. Unfortunately, few bothered with fact checking or actually reading the report. The actual study never makes any estimate of Internet traffic diverted during the hijack -- it only cites a blog post to suggest large volumes of traffic were involved. And curiously, the cited blog at the heart of the report never mentions traffic at all -- only routes. You have to go to an interview with a third-party security researcher in a minor trade magazine to first come up with the 15% number (and this article never explains where the number came from). In a review of real data and actual facts, Arbor Nework's Craig Labovitz has a blog post looking at the traffic volumes involved in the incident (only a couple of Gigabits per second, or a 'statistically insignificant' percentage of Internet traffic)."


To samo kaže na bolj ciljan napad. 15% prometa bi težko presnifali, par GB/s pa kmot.
sudo poweroff

Lonsarg ::

Al pa kaže na to, da je en mal preveč tehnološko laičen človek pisal take reporte in gre sam za pravopisni lapsus in sploh ni blo nič:)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Grand theft internet?

Oddelek: Novice / Omrežja / internet
129060 (6668) AštiriL
»

Pakistan odblokiral YouTube za tri minute

Oddelek: Novice / NWO
105161 (3477) MrStein
»

Krhkost interneta

Oddelek: Novice / Omrežja / internet
156585 (4113) masterpsi
»

Pakistan bo spremljal in po potrebi cenzuriral spletne strani

Oddelek: Novice / Omrežja / internet
212966 (2557) Thomas
»

Napad na Border Gateway Protocol

Oddelek: Novice / Varnost
2710545 (8723) AndraZK

Več podobnih tem