План "Перехоплення": Весь Інтернет можна знищити за 30 хвилин?

Оприлюднене друге за два місяці фундаментальне недопрацювання Інтернету

Інтернет-Трафик можна непомітно перехопити, зберегти, змінити і надіслати після цьогоадресату таким чином, що він нічого не помітить.

Доповідь про дірки в одному з основних протоколів Інтернету зробили 10 серпня на конференції DefCon двоє IT-експертів, а 26 серпня завдяки виданню Wired зміст доповіді став відомий усім.

Доповідь Антона "Тоні" Капели з компанії 5Nines Data і Алекса Пілосова з Pilosoft була зроблена усього за місяць після того, як інтернетники дізналися про недопрацювання в протоколі DNS, відповідальному за зіставлення IP-Адрес і доменних імен.

Цього разу хитромудрі експерти змогли знайти слабке місце в BGP (Border Gateway Protocol, протокол граничного шлюзу). Саме BGP відповідає за те, щоб автономні системи могли обмінюватися інформацією і при цьому дані пересилалися за оптимальним маршрутом.

Коли користувач вписує адресу сайту в рядок браузера, DNS перетворює цей рядок у цифрову IP-Адресу. Маршрутизатор запитує таблицю BGP, за яким маршрутом найкраще пересилати інформацію. Ця таблиця - аналог газети безкоштовних оголошень, у якій мережа провайдера і інші мережі можуть поміщати "оголошення". В останніх написаний діапазон адрес, по яких мережа може переслати дані. У випадку, якщо варіантів багато, BGP обирає більш вузькі адресні діапазони.

Тому, припускають дослідники, для перехоплення трафіку необхідно вивісити оголошення з більш вузьким адресним діапазоном, ніж у інших мереж. Протягом кількох хвилин оголошення спрацює і дані почнуть прибувати в мережу зловмисника.

Треба сказати, що нічого нового в цьому немає - відповідна техніка називається IP hijacking і виявляється за допомогою невідомо куди зникаючими пакетами з даними. Наприклад, колись пакистанський провайдер, прагнучи заблокувати YouTube за наказом влади, ненавмисно вирубив популярний відеохостинг в усьому світі.

Капела і Пілосов пішли далі. Вони запропонували повернути перехоплену інформацію законному власнику і не давати зрозуміти, що його прослуховують. Для цього знаходяться кілька автономних систем, які розпізнають "фальшивий" маршрут. Пакет перенаправляється на них і він вертається не в мережу зловмисника, а в мережу користувача. Усі задоволені.

За бажанням можна проаналізувати таблиці BGP і засікти факт втручання, але ймовірність цього, на думку авторів доповіді, невелика. Більше тог, вони стверджують, що подібним атакам провайдери можуть запобігти на 100 відсотків за допомогою фільтрації трафіку, однак для цього потрібно витратити занадто багато сил.

Також пропонується створити систему сертифікатів довіри між автономними системами. Така система допомогла б визначити, чи безпечний той чи інший маршрут.

Гарні хлопці попереджали

Як відомо, липнева вразливість DNS була виявлена за кілька місяців до оголошення про неї. Весь цей час виробники обладнання і програмісти готували патч, який усуває загрозу.

Факти про те, що BGP при вмілому використанні може зіграти на руку зловмисникам, отримані не в 2008 році і взагалі не у двадцять першому столітті. Ще в 1989 році, коли про Інтернет знав мало хто з простих смертних, про це говорилося в одній з робіт Стіва Белловіна з Колумбійського університету.

Інший експерт, Пейтер "Mudge" Затко, виявив схожу вразливість в BGP наприкінці дев'яностих. У 1998 році він пояснив Конгресу США, що може за допомогою цієї техніки "покласти" Інтернет за тридцять хвилин. Потім він у приватній бесіді докладно пояснив співробітникам спецслужб і членам ради з національної безпеки, де саме зарито собаку.

В 1999 році Стів Белловін і інший Стів, Кент, випустили документ про "дивну" маршрутизацію. Там слабкі місця в протоколах DNS і BGP були названі "найбільш великими загрозами Інтернету".

Як зазначив Белловін, "гарні хлопці попереджали про це 20 років, але нічого не відбулося".