Największa dziura w internecie
Anton Kapela i Alex Pilosov udowodnili, że w bardzo prosty sposób można przeprowadzić atak na protokół BGP (Border Gateway Protocol), tak by ofiary tego nie zauważyły. Eksperci określają to "największą dziurą w internecie".
– Dotychczas każdy myślał, że do przechwycenia ruchu konieczne jest złamanie jakichś zabezpieczeń. My pokazaliśmy, że niczego nie trzeba łamać. A skoro niczego się nie łamie, to kto zwróci na atak uwagę? – mówi Anton Kapela. – Nie robimy nic niezwykłego. Nie wykorzystujemy dziur, błędów w protokole czy w oprogramowaniu – dodaje ekspert.
Zgodnie z powyższą dewizą zademonstrowany przez specjalistów atak polega na przechwyceniu ruchu skierowanego do routera BGP i przekierowanie tego ruchu na własne serwery. Działania te umożliwiają podsłuchanie komunikatów kierowanych do konkretnych adresów IP, co więcej – można to zrobić tak, by ofiara nie zorientowała się, że doszło do ataku.
Eksperci wykorzystali w tym celu wiedzę na temat zwykłego sposobu pracy routerów BGP, który w uproszczeniu polega na tym, że każdy z nich informuje, do jakich adresów IP dostarcza dane. W oparciu o te informacje tworzona jest tabela BGP. Kiedy użytkownik sieci próbuje połączyć się z jakąś witryną, router dostawcy internetu, z którego usług korzysta, sprawdza tabelę BGP i jeśli znajdzie w niej kilka routerów, które dostarczają informacje pod wskazany adres, to do wysłania danych wybierze ten z nich, który ma połączenie z mniejszą liczbą adresów IP.
Przeprowadzenie ataku z wykorzystaniem tej wiedzy jest więc dosyć proste.W tym celu agresor podłącza swój własny router BGP i konfiguruje go tak, by przekazywał komunikat, że łączy się z tymi adresami, których dane chce przejrzeć. Jeżeli tylko zakres adresów jest mniejszy niż w innych routerach BGP (o co bardzo łatwo), to na router cyberprzestępcy kierowany jest ruch pierwotnie przeznaczony dla interesujących go IP. Ten sposób przeprowadzania ataku i wykradania informacji jest znany, jednak ze względu na duże zakłócenia dotychczas był często szybko wykrywany.
Anton Kapela i Alex Pilosov wymyślili, w jaki sposób informacje od razu po przechwyceniu kierować do rzeczywistego adresata, w celu zamaskowania ich przejęcia. Normalnie nie powinno to być możliwe – ze względu na to, że router agresora jest odbierany jako najlepszy pośrednik do przekazu danych, próba przekierowania informacji z routera przestępcy do innych routerów kończy się ponownym odesłaniem danych do routera hakera. Eksperci do ominięcia tego problemu wykorzystali technikę o nazwie AS path prepending, która powoduje, że niektóre routery BGP pomijają informacje wysyłane przez „podstępny” router, dzięki czemu możliwe staje się odesłanie wcześniej przechwyconych informacji do pierwotnego adresata przez inny router BGP.
Sposoby na zabezpieczenie sieci przed tego typu atakiem co prawda istnieją, jednak ze względu na to, że są bardzo skomplikowane i wymagają dużych nakładów pracy, nie są wdrażane.
Źródło: Elektronista, WIKIO, Wired News
