Den till synes ofixbara sprickan i Internets ryggrad

Det är oroväckande lätt att attackera ryggraden på Internet för att blockera åtkomst till en stor onlinetjänst som YouTube, eller för att avlyssna onlinekommunikation i stor skala.





Så säger säkerhetsforskare som försöker väcka sin bransch till att göra något åt ​​långvariga svagheter i protokollet som utreder hur man dirigerar data över de olika nätverk som utgör Internet. Nästan all infrastruktur som kör det protokollet använder inte ens en grundläggande säkerhetsteknik som skulle göra det mycket svårare att blockera eller fånga upp data.

Tekniken är tillgänglig – problemet är att vi inte använder den, sa Wim Remes, chef för strategiska tjänster på säkerhetsföretaget Rapid7, i ett föredrag på Black Hat säkerhetskonferens i Las Vegas onsdag. Sannolikheten för dessa attacker är begränsad men effekten när de väl inträffar är enorm.

Svagheten ligger i border gateway protocol, eller BGP. Stora routrar som drivs av Internetleverantörer och stora företag använder BGP för att ta reda på hur man får data mellan olika platser. Var och en av dessa stora routrar vänder sig till andra som han själv – sådana som drivs av andra företag – för den information den behöver för att mest effektivt skicka data till sin destination. Företag som använder routrarna väljer manuellt vilka andra routrar deras kommer att lita på.



Tyvärr har BGP inte inbyggda säkerhetsmekanismer som gör att routrar kan verifiera informationen de tar emot eller identiteten på routrarna som tillhandahåller den. Mycket dåliga saker kan hända när routrar sprider felaktig information om hur man dirigerar data, avsiktligt eller på annat sätt.

Det problemet har varit känt i decennier. Det var grunden för hackergruppen L0phts påstående från 1998 inför kongressen att de kunde ta ner Internet på 30 minuter. Men incidenter som har belyst BGP:s brister har fått vissa säkerhetsföretag att ta det på större allvar.

Under 2013 observerade säkerhetsföretaget Renesys flera fall där amerikansk webbtrafik var oförklarligt avledas via Vitryssland och Island , i vad som kan ha varit en man i mittenattacken utformad för att i hemlighet fånga upp data. I juni i år felkonfigurerade en malaysisk internetleverantör sina routrar och fick trafik från hela världen att konvergera på sitt nätverk, vilket ledde till timmar av avbrott eller trög prestanda för tjänster som Snapchat, Skype och Google. Artyom Gavrichenkov, forskare på säkerhetsföretaget Qrator , visade på Black Hat hur BGP kunde manipuleras för att få ett säkerhetscertifikat i namnet på en viss webbplats utan tillstånd, vilket gör det möjligt att efterlikna den och dekryptera säker trafik.



Remes från Rapid7 säger att företag som driver BGP-infrastruktur inte tar riskerna med sådana problem på tillräckligt stort allvar. En teknik som kallas RPKI kan användas för att ge routrar ett sätt att verifiera att information de får från andra är giltig. Men bara 16 av världens mest åtkomliga sajter har implementerat det, och Facebook är den enda sajten i topp 10 som har gjort det, sa han.

Andree Toonk, chef för nätverksteknik på OpenDNS, ett säkerhetsföretag som nyligen förvärvats av Cisco Systems, säger att även en bred användning av RPKI bara skulle gå på ett bra sätt för att ta itu med riskerna med BGP eftersom det är möjligt att kringgå det. Det löser 90 procent av problemet, men det är inte idiotsäkert, sa han.

I sitt eget föredrag på Black Hat på torsdagen planerade Toonk att beskriva ett system av sonder som han satt upp runt om i världen för att spåra aktiviteten hos BGP-routrar. OpenDNS ska lansera ett slags offentligt varningssystem som kommer att sända oroande förändringar i datavägar via Twitter .



Dölj