mboost-dp1

Facebook

Store dele af internettet har været omdirigeret af ukendte bagmænd

- Via Ars Technica -

På netværk som internettet er det muligt at lave Man in the Middle-angreb (MitM), hvor angribere snyder sig adgang til datakommunikation. Sådanne angreb er ikke ukendte, men sikkerhedsfirmaet Renesys har siden februar opdaget en række angreb i et omfang, der ikke er set før.

Angrebene er sket ved at snyde med Border Gateway Protocol (BGP), der anvendes til at route trafik mellem store internetudbydere. Protokollen er tidligere blevet beskyldt for at være usikker, og en demonstration af de angreb Renesys nu har set realiseret, blev fremvist allerede ved Defcon-konferencen i 2008.

I alt har Renesys registreret 38 tilfælde, hvor store dele af trafik på internettet er blevet omdirigeret. Data er typisk blevet sendt til netværk i Hviderusland eller Island.

I et eksempel er data, som skulle sendes fra Mexico til New York, blevet ledt via London til Hviderusland og tilbage til den egentlige modtager. Hvad der er sket med disse data i Hviderusland er uvist, ligesom det er uvist hvem så står bag angrebene.

Ved at snyde med BGP vil det ikke umiddelbart være muligt for afsender eller modtager at opdage, at der er noget galt. Skulle vedkommende foretage en traceroute, vil de ekstra hop undervejs ikke blive afsløret.

I et andet tilfælde hvor data blev ledt til en af flere islandske internetudbydere, der alle ejes af firmaet Siminn, har en talsmand fra firmaet udtalt, at de mener der er tale om en softwarefejl i deres router, som har forårsaget problemet. Dette mener forskerne fra Renesys lyder usandsynligt og selv hvis det var tilfældet, så afslører det hvor sårbar BGP er.





Gå til bund
Gravatar #1 - atrox
21. nov. 2013 07:12
Skræmmende at der er så meget fokus på hvad den enkelte person på internettet foretager, men at der ikke er 100% styr på den overordnede håndtering af trafikken rundt omkring på kloden.
Gravatar #2 - lindysign
21. nov. 2013 07:43
@1 - er det ikke som det plejer? Der er større fokus på, om kontanthjælpsmodtagere får 100 kroner for meget om måneden, end at firmaer og rige mennesker snyder for millioner og milliarder...

Gravatar #3 - RpR
21. nov. 2013 08:04
Ikke noget nyt. Jeg kan huske et eksempel hvor trafikken til og fra Facebook blev dirigeret forbi en række servere i Kina i over 24 timer før Facebook fandt ud af hvorfor deres site var langsomt at tilgå :-P
Det er ALT for nemt at hijacke BGP.
Gravatar #4 - El_Coyote
21. nov. 2013 08:07
Det lyder som om der er nogen der kunne bruge et kursus i hvordan du konfigurerer BGP sikkert og isolerer det for opdateringer fra omkringliggende net..
Gravatar #5 - Zombie Steve Jobs
21. nov. 2013 08:23
Atså, det er fordi I ikke har været forbi Pol.dk og læst deres guide til hvordan man undgår det her!
Gravatar #6 - Unimox
21. nov. 2013 08:49
men at der ikke er 100% styr på den overordnede håndtering af trafikken rundt omkring på kloden. skrev:


Ja der gik du lige fuld retard gjorde du ikke?
Det er ikke fordi det er lige som at kløe sig i nakken at flytte data fra et sted til et andet på denne størrelse. Og selvfølgelig kan det misbruges hvis firmaer ønsker det. Det er en motorvej for data som >>konstant<< ændre sig, så hvordan ville du holde styr på 100% hvilken vej data tager? Da de samme data (et youtube klip) fra A-B kan tage adskillige veje i sig selv.

Det lyder som om der er nogen der kunne bruge et kursus i hvordan du konfigurerer BGP sikkert og isolerer det for opdateringer fra omkringliggende net.. skrev:

Det er blandt andet det der er meningen med BGP. At en router med BGP kan have indflydelse på en anden router med BGP. Og hvor meget indflydelse disse så har på hinanden konfigurer man. Hvad med at du starter med et kursus i netværk? ,)
Gravatar #7 - El_Coyote
21. nov. 2013 10:19
#6
Du starter jo forhåbenligt med at din BGP konfiguration IKKE stoler på nogen ekstern information og så derefter lukker op for det du vil have ind.
Du lader jo ikke bare alle routere med BGP skyde routing info ind i dit netværk, som det jo lader til du foreslår.

http://www.cisco.com/web/about/security/intelligen...
Gravatar #8 - Unimox
21. nov. 2013 12:33
El_Coyote (7) skrev:
#6
Du starter jo forhåbenligt med at din BGP konfiguration IKKE stoler på nogen ekstern information og så derefter lukker op for det du vil have ind.


Det var så heller ikke det vi diskuterede, om hvorvidt det skulle konfigureres. Vi snakkede om dets formål.

Og dets formål er at man blandt andet kan have indflydelse på en BGP router. Enten som ISP eller større virksomhed med egen BGP router.

Så læs lige indlæggene igen inden du linker Cisco.
Gravatar #9 - gramps
21. nov. 2013 13:17
Unimox (6) skrev:
Det er en motorvej for data som >>konstant<< ændre sig, så hvordan ville du holde styr på 100% hvilken vej data tager? Da de samme data (et youtube klip) fra A-B kan tage adskillige veje i sig selv.


Man kunne jo starte med at aktivere og bruge Strict Source route - apropos at tage et netværkskursus.
Gravatar #10 - Unimox
21. nov. 2013 13:40
gramps (9) skrev:
Man kunne jo starte med at aktivere og bruge Strict Source route - apropos at tage et netværkskursus.


http://goo.gl/VN7C1X
Gravatar #11 - gramps
21. nov. 2013 13:53
#10
På hvilken måde er det en facepalm? SSR-pakker droppes ganske vist af nogle routere, og SSR forudsætter at alle routere understøtter protokollen, men det gør hele IPv4 vel - til gengæld er hele konceptet i SSR at en pakke kun må besøge routere på turen mellem afsender og modtager.

Kombineret med en meget stram TTL (som altså skal passe med antallet af routere i SSR) kan pakker kun komme "på afveje" hvis der er tale om speciel hardware.
Gravatar #12 - tentakkelmonster
21. nov. 2013 18:43
De her udbydere må da undre sig over den pludselige stigning i trafik? Jeg mener, en normal udbyder checker vel sine grafer en gang imellem?
Gravatar #13 - HerrMansen
21. nov. 2013 20:56
tentakkelmonster (12) skrev:
De her udbydere må da undre sig over den pludselige stigning i trafik? Jeg mener, en normal udbyder checker vel sine grafer en gang imellem?


Stigning i trafik? Trafikken omdirrigeres - den duplikeres ikke?
Gravatar #14 - erialor
21. nov. 2013 21:39
HerrMansen (13) skrev:
Stigning i trafik? Trafikken omdirrigeres - den duplikeres ikke?


Trafikken blev i begge eksempler i kilden routet gennem London - der kunne de måske have undret sig over en stigning i trafikken?
Gravatar #15 - offerlam
24. nov. 2013 09:24
Nu læste jeg og så defcon i 2008 hvor de fremlagde det her problem...

og så vidt jeg husker er det ikke så meget BGP protokollen men det Autonomous system aka AS som er det man manipulere med...

sådan som jeg husker det fungere det lidt ligesom IP og subnetting...

Problemet er at de fleste ISP hvis ikke alle ikke sætter spørgsmåltegn når en router udgiver sig for at være ansvarlig for et særligt AS nummer..

altså lidt som at spoofe kan man fortælle diverse ISPer at man nu er ansvarlig for det her AS nummer og trafik skal routes dertil.. enten det eller at man påtager sig et AS nummer længere op i kæden.

Deres løsning, som jeg husker det på defcon, var at ISP er nød til at have en fælles organ hvor de her AS numre bliver registret og hvor de høre til.. men det er jo ikke noget man sådan liiige sætter i værk...

Jeg understreger at det her er baseret fra min hukommelse for 5 år siden og der kan være huller.. så lad nu vær med at flueknep det jeg skriver.. men jeg ret sikker på at i de grove træk er det rigtigt...

Så jeg tror faktisk at artiklen tager fejlen når de nævner BGP som den skyldige.. men det er der nok andre herinde der gider finde ud af... jeg har tømmermænd :)

Gravatar #16 - RpR
25. nov. 2013 09:12
#15 har helt ret, hele systemet er baseret på en gensidig tillid, noget der er nok så skrøbeligt i 2013. Der er absolut intet der forhindrer nogen i at injecte oplysninger der sender trafikken kloden rundt. Det er fra en tid hvor aflytning af IP trafik bare ikke rigtigt var aktuelt.
Gravatar #18 - RpR
29. nov. 2013 10:14
#17
Ja, jeg undrer mig tit over der ikke sker værre ting :P
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login