BGP spoofing – waarom er niets op het internet is eigenlijk beveiligd

De engste hack van allemaal op het internet is al een lange tijd, maar het is niet veel aandacht krijgen in de bredere tech pers. Het is BGP spoofing en het afbreuk doet aan de meest basale functies van het internet: de routering van gegevens van het ene systeem naar het andere.

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters

Effectief gebruik van BGP spoofing is niet binnen het bereik van script kiddies, maar er is een heleboel te beleven. Hoe veel? Niemand weet en niemand kan weten. Het is mogelijk om te ontdekken dat een aanval gaande is, maar het is onmogelijk om het te voorkomen en het kan moeilijk zijn om een ​​aanslag in de voortgang te stoppen.

Ik sprak met Dave Rand, Technical Fellow bij Trend Micro. Terug in de mid-90’s Rand werkte bij een ISP en eerst in aanraking met BGP spoofing gebruikt om spam te vergemakkelijken. De routing in de mail headers van de spam zag er bijzonder echt omdat alle adressen correct waren. Onderaan het een gecompromitteerde router bij ISP. Ik heb Dave vele malen door de jaren heen over BGP spoofing gesproken. Hij is altijd beschouwd als een zeer ernstig probleem dat is fundamenteel onoplosbaar en ik wil hem bedanken voor alle onderstaande gegevens.

Hoe is dit mogelijk? Het begint met de basis van hoe het internet werkt.

Het internet is een netwerk van netwerken. Routers worden gebruikt om gegevens tussen netwerken te verplaatsen naar IP adressen die in de routeringstabellen worden opgeslagen. Routers zullen adverteren bij elkaar dat ze gebruik maken van bepaalde adressen.

Maar – en dat is heel belangrijk – er is geen autoriteit om te controleren om te bevestigen dat een bepaald adres behoort tot een bepaald netwerk. Er zijn organisaties, zoals RIPE in Europa en ARIN voor de VS en Canada, die IP-adressen (alles wat ze hebben verlaten is IPv6-adressen) toe te wijzen, maar er is geen plek waar je kunt controleren om een ​​toewijzing gezag te bevestigen. Hierdoor wordt het bijwerken van routeringstabellen gebeurt volledig op vertrouwen.

Beschouw dit simplistische voorbeeld: ISP1 heeft de adresruimte 1.0.0.0/8 en ISP2 heeft 2.0.0.0/8. Ze hebben elk hun reclame ruimte naar de andere. Nu isp3 adverteert 3.0.0.0/8 om ISP1 en vraagt ​​ISP1 zijn adressen adverteren, wat het doet. ISP1 wordt een transit provider voor isp3, een dienst waarvoor isp3 betaalt ISP1. Maar ISP1 heeft geen echte manier om te bevestigen dat reclame isp3 zijn accuraat.

Hier is nog een belangrijk punt: kortere routes krijgen een hogere prioriteit van de router. Als isp3 waren om reclame te maken een klein deel van de adressen aan isp1 met kortere wegen dan ISP1 al had, zou ISP1 die routes in plaats van wat er al was in de routing tabel te volgen.

Het is belangrijk op te merken dat, om deze aanval uit te voeren je de controle over een ISP router nodig. Je zou denken dat dit moeilijk zou zijn om te doen, en het is moeilijker dan vroeger, maar het is niet onmogelijk. Het is nog steeds mogelijk om routers met standaard admin wachtwoorden of wachtwoorden te vinden op een gemeenschappelijke woordenboek lijst. En als je dat doet en de controle, er is niets om je te stoppen adverteren Bank of America-adressen op uw netwerk.

Ik vermoed dat de grote meerderheid van de onjuiste reclame zijn, nou ja, onjuist. Ze zijn niet kwaadaardig, ze zijn gewoon screwups. Er was een recent incident waarbij een aantal slechte routes in netwerk NedZone Internet BV’s inclusief Amazon.com en een bos van grote banken. Het ziet er veel te brutaal om een ​​aanval te zijn.

Als je echt wilde effectieve en heimelijke met een dergelijke aanval te zijn zou je een lagere profiel. Je zou de router van een kleine of middelgrote ISP aan te vallen en je zou alleen adverteren voor een korte tijd, maar in die tijd zou je andere aanvallen, zoals cross-site scripting en gerichte spam, lopende tegen dat ISP’s hebben gebruikers. Wanneer ze proberen te communiceren met hun bank of retailer ze zullen in plaats daarvan gaan naar uw servers, je kunt die servers spoofen, zie de cookies, het hangt allemaal af van hoe sierlijke u wilt krijgen, maar alles wat je echt nodig hebt is om gebruikers in staat om in te loggen op de site, die SSL kan voldoen en krijgen het kleine slotje omdat de aanvaller deze adressen te kunnen controleren. Zodra je logins gevalideerd voor die accounts kun je ze verkopen voor een veel.

Soms kwaadaardige aanvallen zijn niet voor de winst, maar het netwerk vandalisme. In 2008 was er een geschil tussen YouTube en de regering van Pakistan over bepaalde content. Enige tijd later valse BGP routes wees YouTube verkeer in grote delen van Europa naar Pakistan Telecom, het stelen van het verkeer van YouTube, maar ook overstromingen Pakistan Telecom met alle YouTube verkeer. RIPE, de regionale internet registry voor Europa, heeft een fascinerende YouTube-video van hoe het gebeurd is.

Na een aanval als deze kunnen er geen voetafdrukken achtergelaten. Niemand logt router advertenties. Er zijn groepen die loggen en analyseren van de wereldwijde routing tafel, zoals de fascinerende CIDR Report, en op zoek naar routes die geen steek houden. Maar deze enige vangst veranderingen die uit doorgeven aan de globale routing tabel. Een voorbijgaande reclame die alleen gaat naar peer-ISP’s en niet een transit provider zal niet aan de wereldwijde tafel te krijgen. En zelfs als dat zo is, tegen de tijd dat iedereen kan zien wat er gaande is het te laat zal zijn.

Het is onmogelijk om BGP spoofing-aanvallen op een consistente, geautomatiseerde wijze te blokkeren, maar het is mogelijk om wat gezond verstand en ervaring, wat je zou kunnen noemen heuristiek, om vast te stellen dat er een route is niet koosjer. Als een kleine ISP in Brazilië begint reclame routes naar PayPal dan een ervaren CNE misschien twee keer nadenken over het repliceren het. Maar deze dingen niet krijgen meestal doorgelicht door een mens, er is te veel aan de hand. Alle ISP’s reclame voor hun routes naar de andere netwerken waarmee ze verbinding en deze bedrijven (er zijn nu 30 of 40 duizend ISP’s) hebben een relatie en contracten, zodat ze vertrouwen elkaar. En als ze wilden het adres dat zij niet konden controleren, er is geen gezaghebbende plaats om te controleren.

Je zou kunnen klagen dat best administratie praktijken, zoals goede route filtering, zouden deze aanvallen te voorkomen, en er is iets dat. Je kan zeker voorkomen dat veel van hen met best practices. Er zijn nog andere praktijken die kan het moeilijker maken om dergelijke aanvallen met succes, zoals het gebruik van sterke encryptie en authenticatie voor alle verkeer te benutten, maar er is geen techniek die deze aanvallen in alle gevallen zal blokkeren.

Als u vindt dat een ISP valse routes naar uw netwerk wat kan je doen? Alles wat je kunt doen is bellen hen en hen vragen (mooi of anderszins) om de route in te trekken, maar je kunt ze niet maken. Als ze niet adequaat te reageren kunt u een klacht indienen bij de upstream providers en hen vragen om de route te blokkeren, maar opnieuw is er geen officiële mechanisme om dit te doen, want er is geen autoriteit die belast is met het, en u waarschijnlijk niet eens hebben een relatie met de ISP waarop je klagen.

Van alle aanvallen zich onder de radar op het internet, worden de gevaarlijkste die waarschijnlijk op basis van BGP spoofing. Het is de beste reden om te veronderstellen dat er veel meer netwerk in gevaar te brengen, door middel van strafrechtelijke en de overheid acteurs, er gebeurt dan wordt officieel erkend, en zelfs de ambtenaren niet echt weten hoeveel er gebeurt. Wat gedaan kan worden? Als Dave Rand niet dan weet ik zeker niet.

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters