Kæmpe hul i internettets sikkerhed afsløret ? igen

Dommedagsklokkerne ringer igen for internettet, nu på grund af et sikkerhedshul i Border Gate Protokollen, en af de grundlæggende protokoller for internettet. Hullet gør det muligt at aflure og ændre al trafik, der ikke er krypteret.

Dårligt har bølgerne lagt sig efter offentliggørelsen af Kaminsky-hullet i DNS-protokollen, før en ny sårbarhed i en af internettets grundpiller viser sig.

Mens DNS-problemet gjorde det muligt at sende internetbrugerne til helt andre websider, end de forventede, giver sårbarheden i Border Gate Protokollen hackere fri adgang til at lytte med eller sågar ændre på data i trafik, der ikke er krypteret. Det skriver Wired.com.

Var teoretisk mulighed

Sårbarheden har været kendt som en teoretisk mulighed siden internettets barndom, men indtil for nyligt var der ingen, der havde fundet ud af at misbruge tricket i praksis ? eller også er de bare aldrig blevet opdaget. Metoden blev demonstreret på sikkerhedskonferencen Defcon, der fandt sted tidligere i denne måned.

Border Gate Protokollen bliver først og fremmest brugt til at sende data mellem de store internetudbydere, men andre kan også koble sig på. Det gør det muligt at modtage og aflure data tiltænkt et bestemt IP-nummer, så længe det skal sendes rundt mellem forskellige udbydere.

Når en internetudbyder skal sende data videre til andre udbydere, leder selskabets router efter den bedst mulige vej til det IP-nummer, der skal modtage oplysningerne. Via en fælles database, hvor alle kan byde ind, annonceres mulige ruter rundt i kablerne, og systemet vælger automatisk den mulighed, der er hurtigst, ved at vælge den modtager med færrest IP-adresser at holde styr på. Det svarer lidt til at sammenligne to busruter til samme destination og vælge den med færrest stop.

14 år gammel protokol

Problemet opstår, fordi seneste version af Border Gate Protokollen blev taget i brug i 1994, hvor et system baseret på tillid i stedet for kontrol var tilstrækkeligt. Når den modtager, der på papiret ser hurtigst ud, bliver valgt automatisk, skal hackerne blot annoncere deres transportvej over for alle internetudbyderne, og så underbyde de andre muligheder. Derefter bliver alle data til en bestemt IP-adresse sendt ad hackernes rute.

Det nye består i, at det tidligere var meget synligt, når nogle forsøgte denne metode. Men to sikkerhedseksperter har fundet frem til en diskret måde at gøre det på, hvor data bagefter sendes tilbage i netværket og frem til den tilsigtede modtager.

Allerede i 1998 blev muligheden for at udnytte denne sårbarhed offentliggjort, men der har ikke været gjort nogle forsøg på at udvikle og forbedre Border Gate Protokollen, skriver Wired.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thomas Ammitzbøll-Bach

1) BGP4, der er den udgave, der anvendes i dag, har både mulighed for at anvende MD5-signering og IPSEC. I hvilket omfang dette udnyttes, kan jeg ikke svare på.

2) Routing med BGP4 er meget styret. Faktisk er hovedårsagen til at BGP4 bruges på Internettet, er at man kan definere, hvilke peers man overhovedet vil route igennem. Det handler nemlig om penge, når man leder trafik ud i andres kabler.

3) Det er ikke særlig let at lave en BGP-injection, fordi kommunikationen mellem to BGP routere, der tilhører hvert sit system, skal ske uden mellemliggende hops.

4) Det er nok i praksis lettere at finde en platformssårbarhed i en BGP-router, få "enable" adgang og så forurene nabo-systemerne med falske routes.

Thomas

  • 0
  • 0
#2 Martin Kiefer

"3) Det er ikke særlig let at lave en BGP-injection, fordi kommunikationen mellem to BGP routere, der tilhører hvert sit system, skal ske uden mellemliggende hops."

Ovenstående er ikke helt korrekt, du kan godt lave en peer som er mere end et hop væk. På cisco routere er det med ebgp-multihop kommandoen dette gøres.

Men bortset fra det er jeg enig i dit indlæg!

Mvh Martin

  • 0
  • 0
#3 Niels Dybdahl

Det er jo netop fordi ukrypteret data principielt kan aflures og ændres undervejs at man bruger SSL og HTTPS til følsomme oplysninger (f.eks netbank).

Så at tale om dommedagsklokker er nok noget overdrevet, når det er en potentiel fare man har kendt til i mange år og har en beskyttelse mod.

  • 0
  • 0
#4 Lars Lystrup Christensen

Det er til dels korrekt, at BGP anses for at være usikker, men de usikkerhedselementer, der er i protokollen, skyldes primært konfigurationen af BGP og ikke protokollen i sig selv.

  1. BGP kan som nævnt beskyttes af MD5-hash passwords mellem de enkelte peers. Dette giver endvidere en større sikkerhed for, at ens peer reelt er den, man ønsker at kommunikere med (set fra et peering synspunkt). IPSec er dog ikke SÅ udbredt igen. F.eks. er jeg ikke bekendt med at Ciscos IOS understøtter IPSec til BGP direkte, men kun indirekte via underliggende krypterede forbindelser.

  2. Injection af BGP-pakker mellem 2 BGP peers kan relativt nemt håndteres med f.eks. MD5-hash (se nr. 1) samt med ttl-security, altså hvor der kigges på IP-pakkens TTL-felt i headeren. TTL-feltet ændres for hvert hop (router) på IP-pakkens vej igennem et netværk. Dette gør at kun en direkte tilsluttet nabo router kan sende en BGP-pakke, som du accepterer. Såfremt TTL-feltet ikke har den korrekte værdi, ses der bort fra pakken. Kombineres der med filtrering af MAC-adresse (selvom den også kan ændres), er vi ved at være i forholdsvis sikkerhed.

  3. Når ovennævnte er taget i betragtning, er det som sådan ikke selve BGP protokollen, der er et usikkerhedsmoment, men derimod de data, der udveksles mellem de enkelte BGP routere på internettet. Når jeg som "lovlydig AS (Autonomt System)" annoncerer mine IP prefixes ud til mine naboer og dermed omverdenen, så forventes jeg selvfølgelig kun at annoncere de IP prefixes, som jeg har fået tildelt af den lokale RIR (Reginal Internet Registry [RIPE i Europa http://www.ripe.net]). Hvis jeg har onde intentioner om at hijacke f.eks. youtube.com, er der som sådan intet der forhindrer mig i at annoncerer youtube.coms IP prefixes. Dermed vil dele af internettet pludselig tro, at jeg er youtube.com. Dette så vi et glimrende eksempel på i foråret 2008, hvor Pakistan Telecom ved en fejl annoncerede youtube.coms IP prefixes og i løbet af meget kort tid lagde store dele af adgangen til youtube.com fra Mellemøsten og Asien totalt ned. RIPE lavede en analyse af hele episoden, som kan ses her: http://www.ripe.net/news/study-youtube-hijacking.html. En måde at imødegå dette er ved kun at acceptere IP prefixes fra sine BGP peers, som man ved at de reelt har i deres netværk. Dette er bare ikke nogen skalérbar løsning og dermed er vi tilbage ved udgangspunktet. Der er på nuværende tidspunkt snak i industrien om, hvorledes man kan imødegå problemet på en sikker og skalérbar måde.

Mvh Lars Christensen

  • 0
  • 0
Log ind eller Opret konto for at kommentere