План "Перехват": Весь Интернет можно уничтожить за 30 минут?

Обнародовано вторая за два месяца фундаментальная недоработка Интернета

Интернет-Трафик можно незаметно перехватить, сохранить, изменить и послать после этого адресату таким образом, что он ничего не заметит.

Доклад о дырах в одном из основных протоколов Интернета сделали 10 августа на конференции Defcon двое it-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.

Доклад Антона "Тони" Капеллы из компании 5nines Data и Алекса Пилосова из Pilosoft был сделан всего за месяц после того, как интернетчики узнали о недоработке в протоколе DNS, ответственном за сопоставление Ip-адресов и доменных имён.

В этот раз замысловатые эксперты смогли найти слабое место в BGP (Border Gateway Protocol, протокол предельного шлюза). Именно BGP отвечает за то, чтобы автономные системы могли обмениваться информацией и при этом данные пересылались по оптимальному маршруту.

Когда пользователь вписывает адрес сайта в строку браузера, DNS превращает эту строку в цифровой Ip-адрес. Маршрутизатор спрашивает таблицу BGP, по какому маршруту лучше всего пересылать информацию. Эта таблица - аналог газеты бесплатных объявлений, в которой сеть провайдера и другие сети могут помещать "объявление". В последних написан диапазон адресов, по которым сеть может переслать данные. В случае, если вариантов много, BGP избирает более узкие адресные диапазоны.

Потому, допускают исследователи, для перехвата траффика необходимо вывесить объявление с более узким адресным диапазоном, чем у других сетей. В течение нескольких минут объявление сработает и данные станут прибывать в сеть злоумышленника.

Нужно сказать, что ничего нового в этом нет - соответствующая техника называется IP hijacking и оказывается с помощью неизвестно куда исчезающими пакетами с данными. Например, когда-то пакистанский провайдер, стремясь заблокировать Youtube по приказу власти, неумышленно вирубил популярный видеохостинг во всём мире.

Капелла и Пилосов пошли дальше. Они предложили вернуть перехваченную информацию законному владельцу и не давать понять, что его прослушивают. Для этого находятся несколько автономных систем, которые распознают "фальшивый" маршрут. Пакет перенаправляется на них и он возвращается не в сеть злоумышленника, а в сеть пользователя. Все довольны.

По желанию можно проанализировать таблицы BGP и засечь факт вмешательства, но вероятность этого, по мнению авторов доклада, небольшая. Больше того, они утверждают, что подобные атаки провайдеры могут предотвратить на 100 процентов с помощью фильтрации траффика, однако для этого нужно потратить слишком много сил.

Также предлагается создать систему сертификатов доверия между автономными системами. Такая система помогла бы определить, безопасен ли тот или другой маршрут.

Хорошие ребята предупреждали

Как известно, июльская впечатлительность DNS была обнаружена за несколько месяцев до объявления о ней. Всё это время производители оборудования и программисты готовили патч, который устраняет угрозу.

Факты о том, что BGP при умелом использовании может сыграть на руку злоумышленникам, получены не в 2008 году и вообще не в двадцать первом веке. Ещё в 1989 году, когда об Интернете знали немногие из простых смертных, об этом говорилось в одной из работ Стива Белловина из Колумбийского университета.

Другой эксперт, Пейтер "Mudge" Затко, обнаружил похожую впечатлительность в BGP в конце девяностых. В 1998 году он объяснил Конгрессу США, что может с помощью этой техники "положить" Интернет за тридцать минут. Потом он в частной беседе обстоятельно объяснил сотрудникам спецслужб и членам совета национальной безопасности, где именно зарыта собака.

В 1999 году Стив Белловин и другой Стив, Кент, выпустили документ о "странной" маршрутизации. Там слабые места в протоколах DNS и BGP были названы "наиболее большими угрозами Интернета".

Как отметил Белловин, "хорошие ребята предупреждали об этом 20 лет, но ничего не произошло".