15:23
25/11/2013

Renesys, firma zajmująca się analizą ruchu internetowego na świecie, opublikowała interesującą analizę kilku incydentów bezpieczeństwa, które wydarzyły się w tym roku, a które dotyczyły przechwytywania routingu do 1500 adresów poprzez wstrzyknięcia prefiksów BGP. W sumie, przez ponad 60 dni obserwowano “na żywo” atak typu Man in the Middle — z tym, że “człowiekiem” w środku była Białoruś, a potem Islandia…

Przekierowanie ruchu internetowego, o którym jest mowa w artykule nazywane jest jako IP Hijacking i bazuje na wstrzykiwaniu cudzych prefiksów BGP. Więcej o BGP Hijackingu, wspominaliśmy także przy okazji incydentu w Chinach, kiedy o przez kilkanaście minut przez chińskie routery przechodziło kilkanaście procent światowego ruchu internetowego.

Epizod Białoruski

W lutym ruch internetowy kilku firm i instytucji był przekierowywany przez Białoruś — a dokładniej, przez routery tamtejszego dostawcy Internetu “GlobalOneBel”. Ataki trwały czasem po kilka minut, a czasem po kilka godzin. Ofiarami były w większości z instytucje finansowe, rządowe, a także lokalni dostawcy Internetu, z USA, Korei Płd., Niemiec, Czech, orazLitwy, Libii i Iranu.

BGP hijacking

BGP hijacking

Dlaczego możliwe było przejęcie ruchu? Często umożliwia to “zaufanie” jakim obdarzają się partnerskie sieci. Schemat jest następujący: “wrogi” operator rozgłasza swoim partnerom bardziej specyficzną trasę do przejmowanej sieci. Ci mu ufają i rozgłaszają trasę dalej/wyżej, aż wędruje ona do operatora globalnego, np. Level 3.

Jim Cowie, autor wpisu z Renesys przedstawił nawet przykładową trasę pakietów w tamtym okresie. Rozpoczynająca się w Guadalajara w Meksyku, a kończąca w Waszyngtonie po drodze standardowo przechodziła przez Londyn potem Moskwę, a następnie Frankfurt, skąd wracała do Ameryki. Natomiast w trakcie ataku, ktoś tak zmodyfikował roting, że pakiety dodatkowo przechodziły przez Mińsk, na trasie między Moskwą, a Frankfurtem.

Jeśli więc, ktoś wysyłał wiadomość e-mail z Meksyku do USA, nie miał świadomości, że jego wiadomość była czytana na Białorusi. Oczywiście mógł to wykryć przy pomocy połaczenia traceroute — ale metoda ta na nic by się zdała, gdyby modyfikować tylko ruch powrotny pakietów (tzn. od węzła z którym rozmawia ofiara do niej). Należy zwrócić uwagę, że przechwytywać za pomocą BGP można albo sam ruch do, albo ruch od, albo w obu kierunkach.

…i nastał epizod Islandzki

Po tym interesującym zjawisku, nastała znowu cisza ale tylko do 31 lipca… Wtedy to inny lokalny dostawca Internetu w Islandii — “Opin Kerfi” — rozpoczął nagle rozgłaszanie prefiksów do 597 sieci IP, które do niego nie należały. Rozgłaszane sieci, należały do jednego z dużych dostawców VoIP w USA. Islandczycy tłumaczyli się błędem w konfiguracji routera.

Przykładowa trasa pakietów z Denver do Denver, przedstawiona została poniżej. Na poniższej ilustracji “epizod Islandzki” odbywał się między Londynem, a Montrealem.

Ilustracja ataku BGP

Ilustracja ataku BGP

Ogółem, Renesys zaobserwowało 17 podobnych zjawisk, gdzie fałszywe przekierowania z kilku państw na świecie, szły przez dostawców Internetu w Islandii.

Co robić, jak żyć?

Jak zauważa Cowie — jeśli duże firmy ISP (Internet Service Provider), będą na bieżąco monitorowały swoich klientów (w tym także mniejszych, lokalnych ISP), a jednocześnie filtrowały ich ruch, gdy zauważone zostaną fałszywe przekierowania, to jest szansa, że takie ataki uda się ograniczyć.

Z punktu widzenia zwykłego internauty, warto upewnić się, że ruch wychodzący z naszego komputera — jeśli to tylko możliwe — jest szyfrowany. Wtedy, nawet jeśli ktoś przekieruje nasze pakiety przez swój router, jest szansa, że nie będzie w stanie złamać szyfrowania.

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. czym szyfrowac? ma sens cos takiego jak hot spot shield w wersji pro? albo cyberghost vpn ? ktore z tego bedzie lepsze? wiem ze najlepsze byly by takie vpn ktorych ruch nie przeplywa przez usa no ale w bajki mozna pomarzyc

    • twój nick tak mnie rozbawił, że zdecydowałem się odpisać :D
      Zależy przed kim chcesz się chronić. Jeżeli przez złym hakerem z kapturem na głowie, siedzącym w tunelu to owszem tak. Jednak jeżeli chodzi o policję i inne służby polecam coś innego. AirVPN nie powinnien Cię wydać jednak nic nie da ci takiego bezpieczeństwa jak serwer w kraju kraju bananowym z openvpnem.

      W sumie to nie jestem też jakimś wybitnym znawcą więc nie pogardzę opiniami dot. mojego komentarzu.

  2. pierwszy raz widzę mapy na których niebieskie są lądy .. dziwne wrażenie …

    • Kiedyś na mapach w ogóle nie było lądów – to dopiero musiało być dziwne uczucie

  3. Wszyscy powinniśmy czuć się jak na wspólnym, wielkim hubie w akademiku i odpowiednio postępować ;)
    A z BGP jest niestety tak, że na początku nam wmawiano, iż należy rozgłaszać trasy o jak najszerszej masce, bo biedne routery mają mało pamięci, a tranzytowe ASy tną te z wąską. Potem jak tylko ktoś przez pomyłkę rozgłosił cudzą sieć z węższą maską niż właściciel, wygrywał…

  4. poprawki
    orazLitwy, – oraz Litwy
    zmodyfikował roting – routing

    • Nigdy nie zrozumiem dwoch rzeczy:
      1. Czemu tak wiele wnoszace do dyskusji komentarze jak ten powyzej nie sa wysylane do redakcji na priv?
      2. Czemu sa one przepuszczane przez moderacje i pojawiaja sie w formie komentarzy?

      tyczy sie to zreszta rowniez komentarza pisanego przeze mnie w tej chwili… :P

    • pare razy zglaszalem literowki w komentarzu, moderator po przeczytaniu poprawial tekst. Jak widac dalej sa bledy

  5. F-Secure wypuszcza aplikacje Freedom jest ona w beta testach aktualnie ale mają możliwość stworzenia vpna z serwerami w finlandii(lepsza finlandia niz usa ;)) ale… jest jeden minus aplikacja jest tylko na smartfony ;d

    • No to trzeba sobie puszczac ruch przez smartfona :D

    • OpenSource? Nie? Więc to nie jedyny minus.

  6. No jest jeszcze projekt japoński o nazwie softhether vpn. Jest zupełnie darmowy i jest sporo serwerów na swiecie do wyboru. Najwięcej jest z japonii i korei. I naprawde daja niskie pingi i dobre transfery. Jak ktoś ma inne zdanie to proszę o komentarz.

  7. ping -r redakcja nie zna?

    • Zna. Ale wie też, że rzadko kiedy jest w odległościach mniejszych niż 5 hopów do celu.

  8. Warto zauważyć, że nie wiadomo zbyt wiele na temat cyber-szpiegowania przeprowadzanego przez Białoruś czy Islandię. Wiadomo natomiast wiele na temat szpiegowania/włamywania się przez USA/UK (dzięki Ci Snowden) i w obu przypadkach ruch idzie przez Londyn.

  9. A dlaczego NSA ma mieć monopol na podsłuch ;-)

  10. hmm, w sumie dla mnie to jest ciekawe dlaczego operatorzy nie filtrują w jakiś sposób adresów/masek przekazywanych w BGP. Struktura sieci jest przecież mniej czy bardziej hierarchiczna i wystarczyło by określać jakie AS mają prawo do rozgłaszania jakich zakresów albo chociaż jakie priorytety dajemy poszczególnemu ASowi. Może bzdury gadam bo od kiedy pracowałem w telekomie minęło już z 7 lat ale jak konfigurowałem BGP dla GRX to ztego co pamętem wprost podowałem jaki zakres sieci mają prawo rozgłaszać. Wiadomo, że być może nie jest to sprawa banalna ale nie rozumiem, dlaczego kolejny taki atak jest traktowany bardziej (jak sie wydaje) jako ciekawostka niż na poziomie np. zmasowanego DDoSa na ważne elementy cieciowe.

    • oczywiście chodziło o “elementy sieciowe” ;)

    • Też pracowałem w telecomie. Jak sobie przypomnę niektórych ludzi i sposób w jaki zarządzali routerami BGP to nie dziwią mnie takie “kwiatki”.

    • no właśnie zastanawia mnie tylko czy te hijacki sieci wynikają z niefrasobliwości czy raczej z braku polityki bezpieczeństwa. Kurcze ale aż nie chce mi się uwierzyć, ze core-owi operatorzy (telia sonera, DT itp) pozwalają hulać u siebie na brzegu dowolnym routingom, szególnie na z tyku z Chinami czy innymi państwami, nawijmy to podwyższonego ryzyka.

  11. A mnie zaciekawił ten fragment: ” Rozpoczynająca się w Guadalajara w Meksyku, a kończąca w Waszyngtonie po drodze standardowo przechodziła przez Londyn potem Moskwę, a następnie Frankfurt, skąd wracała do Ameryki”.
    Dlaczego normalne (nie zafałszowane) routowanie leciało przez Londyn i Moskwę?

    • Bo UK i ruskie też chcą wiedzieć co się w USofA dzieje :).

    • Dalej jeszcze lepiej. Z Denver do Denver przez Londyn. Czy redakcja mogłaby wyjaśnić mniej uberprosecurity userom dlaczego tak się dzieje? Po polsku w miarę możliwości.

    • @tomek
      Bo tak działa Internet. W dużym skrócie – siedzisz obok kogoś w kawiarni w Wawie i gadasz z nim przez Skype – ty masz Orange, on T-mobile. Ruch leci przez Łódź. A przecież mógłby iść bezpośrednio między wami.

    • @nick meat
      To nie jest odpowiedź na moje pytanie. Wiadomo, że w przypadku połączeń komórkowych trzeba najpierw połączyć z operatorem, to jednak nie wyjaśnia faktu dlaczego połączenie z Denver do Denver (przypuszczam, że obaj operatorzy to firmy amerykańskie lub mają tam centrale) odbywa się przez Europę.

    • @Tomek
      Amerykanie nie mogą ( legalnie ) podsłuchiwać transmisji na terenie Stanów bez nakazów sądowych. Mogą natomiast robić wszystko z danymi przechodzącymi przez granicę państwa. Wystarczy przekierować ruch Denver – Denver przez Londyn i wszystko legalnie nagrywać. ;)

  12. podpisuję się pod pytaniem

  13. […] łączach (i usługach) innych dostawców, których konfiguracjom trzeba ufać, a którzy — jak często pokazują problemy z BGP — mogą czasem na skutek błędu po swojej stronie “położyć” sieci firm […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.