http://dobreprogramy.pl/index.php?dz=15&n=9691&Powaz
ne+zagrozenie+dla+komunikacji+w+Internecie


Moze sie wypowiedziec ktos biegly w branzy zabezpieczen, czy ponizsze
nie umozliwia w niewykrywalny sposob odfiltrowywania loginow i hasel
do wybranych systemow bankowych?

"Podczas swojego wystąpienia na DefCon w Las vegas dwaj badacze
pokazali jednak jak teoria staje się praktyką. Przekierowali ruch z
sieci konferencyjnej do swojego systemu znajdującego się w Nowym
Jorku. Co ciekawe Kapela i Pilosov nie wykorzystali żadnej dziury w
protokole BGP, po prostu skorzystali ze sposobu w jaki on działa.
Wiele protokołów sieciowych, których dziś używamy, powstało w latach
70-tych. Wtedy jeszcze ogólnoświatowe sieci z milionami użytkowników
oraz różnymi rodzajami ataków były czystą fantastyką. Dlatego też BGP
zakłada, że otrzymywane informacje o optymalnej trasie routingu są
poprawne i pochodzą z zaufanego źródła. Informacje te mają postać
rozgłoszeń wysyłanych przez tzw. ASy (Autonomous System). Jeśli adres
znajdzie się w zakresie rozgłoszeń dwóch ASów, wtedy "wygra" ten,
który rozgłasza węższy zakres i to on zostanie użyty do routingu
pakietów do tego adresu. Fakt ten może spróbować wykorzystać atakujący
do przekierowania ruchu do siebie. Nie daje to jednak jeszcze
możliwości podsłuchiwania. Nasi Czytelnicy zapewne pamiętają jak
Pakistan próbując zablokować YouTube u siebie sprawił, że było ono
niedostępne na całym świecie. Blokada ta była właśnie wykonana przez
rozgłoszenia BGP, które w kilka minut zakłóciły routing pakietów do
serwerów YouTube także poza sieciami pakistańskimi.

Aby nie blokować ruchu a podsłuchiwać, atakujący musiałby przesyłać
przechwycone pakiety do właściwego docelowego adresu. Ponieważ jednak
przekierował ruch na siebie to te pakiety i tak by do niego wróciły.
Pilosov i Kapela opracowali więc metodę AS path prepending, która
powoduje, że niektóre ASy odrzucą rozgłoszenia atakującego i
doprowadzą pakiety do adresu docelowego. W ten sposób atakujący może
przechwytywać ruch a nawet go modyfikować będąc praktycznie
niezauważonym. Dzięki modyfikacjom pola TTL można sprawić, że adres IP
komputera przechwytującego ruch zostanie ukryty. Należy tu jednak
zauważyć, że przechwytywany jest ruch płynący do ofiary, nie od niej.
Poza tym nie zawsze możliwe jest "wyssanie" danych z każdej sieci.
Nadal także wyzwaniem pozostają połączenia zaszyfrowane.

Zabezpieczenie się przed opisywanym atakiem nie jest łatwe. Należałoby
bowiem zmienić zasady, które obowiązują od dziesięcioleci. Konieczne
byłoby wprowadzenie protokołu SBGP oferującego cyfrowe podpisywanie
rozgłoszeń, lub też weryfikowanie, także oparte na certyfikatach,
jakie ASy mogą rozgłaszać informacje o routingu do jakich zakresów
adresów. Rozwiązania te są jednak kosztowne i wymagają zmian na dużą
skalę. Ponadto ze względu na propagację rozgłoszeń zabezpieczenia
musiałyby stosować wszystkie ASy. Obserwując oszałamiające tempo
wprowadzania IPv6 (całe 0,0026% ruchu w Internecie) nie należy liczyć
na szybkie wprowadzenie zmian do sposobów wyznaczania tras routingu
przez dostawców Internetu. Być może jednak kolejne ewentualne blokady
popularnych serwisów przyspieszyłyby ten proces."