211service.com
De schijnbaar onherstelbare scheur in de ruggengraat van internet
Het is verontrustend eenvoudig om de ruggengraat van internet aan te vallen om de toegang tot een grote online dienst zoals YouTube te blokkeren, of om online communicatie op grote schaal te onderscheppen.
Dus stel dat beveiligingsonderzoekers proberen hun branche ertoe aan te zetten iets te doen aan al lang bestaande zwakheden in het protocol dat uitwerkt hoe gegevens over de verschillende netwerken van internet kunnen worden gerouteerd. Bijna alle infrastructuur waarop dat protocol draait, gebruikt niet eens een basisbeveiligingstechnologie die het veel moeilijker zou maken om gegevens te blokkeren of te onderscheppen.
De technologie is beschikbaar - het probleem is dat we het niet gebruiken, zei Wim Remes, manager strategische diensten bij beveiligingsbedrijf Rapid7, in een gesprek op de Black Hat-beveiligingsconferentie woensdag in Las Vegas. De kans op deze aanvallen is beperkt, maar de impact als ze eenmaal plaatsvinden, is enorm.
De zwakte ligt in het border gateway-protocol, of BGP. Grote routers die worden beheerd door internetserviceproviders en grote bedrijven gebruiken BGP om erachter te komen hoe ze gegevens tussen verschillende plaatsen kunnen krijgen. Elk van deze grote routers wendt zich tot anderen zoals hijzelf - degenen die door andere bedrijven worden beheerd - voor de informatie die het nodig heeft om gegevens zo efficiënt mogelijk naar hun bestemming te verzenden. Bedrijven die de routers handmatig bedienen, kiezen welke andere routers ze zullen vertrouwen.
Helaas heeft BGP geen ingebouwde beveiligingsmechanismen waarmee routers de informatie die ze ontvangen of de identiteit van de routers die deze verstrekken kunnen verifiëren. Er kunnen zeer slechte dingen gebeuren wanneer routers onjuiste informatie verspreiden over hoe gegevens moeten worden gerouteerd, al dan niet opzettelijk.
Dat probleem is al decennia bekend. Het was de basis van de bewering van de hackgroep L0pht in 1998 voor het Congres dat ze het internet in 30 minuten konden uitschakelen. Maar incidenten die de tekortkomingen van BGP aan het licht hebben gebracht, hebben sommige beveiligingsbedrijven ertoe aangezet om het serieuzer te nemen.
In 2013 observeerde het beveiligingsbedrijf Renesys verschillende gevallen waarin Amerikaans webverkeer op onverklaarbare wijze omgeleid via Wit-Rusland en IJsland , in wat mogelijk een man-in-the-middle-aanval was, ontworpen om heimelijk gegevens te onderscheppen. In juni van dit jaar heeft een Maleisische ISP zijn routers verkeerd geconfigureerd en verkeer van over de hele wereld naar zijn netwerk geleid, wat leidde tot urenlange onderbrekingen of trage prestaties voor diensten zoals Snapchat, Skype en Google. Artyom Gavrichenkov, een onderzoeker bij het beveiligingsbedrijf Qrator , liet op Black Hat zien hoe BGP kan worden gemanipuleerd om zonder toestemming een beveiligingscertificaat op naam van een bepaalde website te verkrijgen, waardoor het mogelijk wordt om zich voor te doen als een website en beveiligd verkeer te decoderen.
Remes van Rapid7 zegt dat bedrijven met BGP-infrastructuur de risico's van dergelijke problemen niet serieus genoeg nemen. Een technologie genaamd RPKI kan worden gebruikt om routers een manier te geven om te controleren of de informatie die ze van anderen ontvangen geldig is. Maar slechts 16 van 's werelds meest bezochte sites hebben het geïmplementeerd, en Facebook is de enige site in de top 10 die dit heeft gedaan, zei hij.
Andree Toonk, manager netwerktechniek bij OpenDNS, een beveiligingsbedrijf dat onlangs door Cisco Systems is overgenomen, zegt dat zelfs een brede acceptatie van RPKI de gevaren van BGP alleen maar enigszins kan aanpakken, omdat het mogelijk is om er omheen te werken. Het lost 90 procent van het probleem op, maar het is niet onfeilbaar, zei hij.
In zijn eigen toespraak op Black Hat op donderdag, was Toonk van plan een systeem van sondes te beschrijven die hij over de hele wereld had opgezet om de activiteit van BGP-routers te volgen. OpenDNS gaat een soort openbaar waarschuwingssysteem lanceren dat zorgwekkende veranderingen in dataroutes zal uitzenden via Twitter .