Największa dziura w Internecie
Specjaliści od dawna teoretyzowali o możliwości przeprowadzenia ataku na protokół BGP (Border Gateway Protocol) tak, by ofiary tego nie zauważyły. Podczas ostatniej konferencji DefCon Anton Kapela i Alex Pilosov pokazali, w jaki sposób można tego dokonać. Eksperci mówią o największej dziurze w Internecie.
Atak Kapeli i Pilosova pozwala na przechwycenie ruchu skierowanego do rutera BGP. Możliwe jest więc podsłuchanie komunikacji kierowanej do danego adresu IP lub grupy adresów. Możliwe jest przekierowanie tego ruchu na własne serwery. A wszystko w taki sposób, że ofiara nie zorientuje się, iż doszło do ataku. Nie robimy nic niezwykłego. Nie wykorzystujemy dziur, błędów w protokole czy w oprogramowaniu - mówi Kapela. Obaj specjaliści wykorzystali zwykły sposób pracy ruterów BGP.
Urządzenia te uważane są za zaufane. Gdy chcemy połączyć się z jakąś witryną WWW czy wysłać maila, ruter naszego dostawcy internetu sprawdza tabelę BGP, by wybrać jak najlepszą drogę dla naszego sygnału. Tabela ta tworzona jest na podstawie informacji wysyłanych przez rutery BGP. Każdy z nich ogłasza się i informuje do jakich adresów IP dostarcza dane. Jeśli w tabeli BGP ruter naszego dostawcy znajdzie dwa rutery dostarczające informacje pod interesujący go adres, ale jeden z nich ma połączenie z 50 000 IP, a drugi z 30 000, to nasze żądanie zostanie wysłane przez ten drugi ruter.
Tak więc atakujący powinien podłączyć swój własny ruter BGP i skonfigurować go tak, by ogłaszał, że łączy się z tymi adresami, których dane cyberprzestępca chce ukraść (np. z IP należącymi do jakiegoś koncernu). Wystarczy teraz, by zakres adresów był węższy niż ma to miejsce w innych ruterach BGP, a w ciągu kilku minut na ruter atakującego zacznie napływać ruch kierowany do interesujących do IP.
Taki sposób ataku znany jest od dawna. Jednak powodował on na tyle duże zakłócenia w pracy sieci, że był szybko wykrywany.
Pomysł Pilosova i Kapeli polega na tym, żeby ruch ten, po przechwyceniu, natychmiast kierować do jego prawdziwego odbiorcy. Zwykle nie powinno to działać, bowiem przesłanie ruchu z rutera przestępców do innych ruterów powinno skutkować ponownym odesłaniem go do rutera przestępców (pamiętajmy, że ogłasza się on jako najlepszy pośrednik dla tych danych). Jednak Pilosov i Kapela wykorzystali technikę zwaną AS path prepending, która powoduje, że niektóre rutery BGP odrzucają ogłoszenia naszego rutera, a więc możliwe jest wysłanie danych inną drogą.
Dotychczas każdy myślał, że do przechwycenia ruchu konieczne jest złamanie jakichś zabezpieczeń. My pokazaliśmy, że niczego nie trzeba łamać. A skoro niczego się nie łamie, to kto zwróci na atak uwagę? - mówi Kapela.
Istnieją sposoby na zabezpieczenie Sieci przed tego typu atakiem, są one jednak bardzo skomplikowane, pracochłonne i wymagają dużo dobrej woli od dostawców Internetu. Na razie nie są wdrażane.
Komentarze (1)
Zerivael, 28 sierpnia 2008, 08:57
czyli na takie ataki będą mogły połasić się tylko duże i dobrze finansowane grupy przstępcze/rządowe/specjalne itp., bo wątpię aby "zwykłego" hackera/crackera było stać na uruchomienie własnego routera brzegowego