További Biztonság cikkek
Két biztonságtechnikai szakértő, Alex Pilosov és Tony Kapela olyan trükköt mutatott be a Las Vegas-i DefCon hackerkonferencián, amivel az interneten bármilyen adatfolyam eltéríthető, így gyakorlatilag bármilyen online kommunikáció lehallgatható. A biztonsági rést szakértők súlyosabbnak tartják, mint a hírhedt Dan Kaminsky-féle DNS-hibát.
A legkínosabb az egészben az, hogy nem egy egyszerű szoftverhibáról van szó, amit egy javítópatch telepítése megold, hanem a Border Gateway Protocol nevű alapvető internetes protokoll működésének egy jellegzetességét használja ki a támadó. Az elhárításhoz így a rendszer alapjaihoz kell nyúlni.
Eljátszott bizalom
A BGP protokoll akkor lép működésbe, amikor egy adatcsomag már ismeri a célpontjának az ip-címét, és el kell döntenie, hogy milyen útvonalon, milyen szervereken keresztül jut el odáig. A rendszer ilyenkor a BGP táblázathoz nyúl, ahol a világ routerei (útvonalválasztó szerverek, amin átáramlik a netes forgalom) közlik, hogy milyen ip-címtartományokat látnak el ők adattal.
A támadónak nincs más dolga, mint egy hamis routert beállítani a rendszerbe, ami közli a világgal, hogy a lehallgatni kívánt ip-címet ő szolgálja ki. Mivel a protokoll a bizalomra épül, és több találat esetén azt az útvonalat választja, ahol a router kevesebb címet szolgál ki (feltételezve, hogy errefelé kisebb a forgalom), egy kellően szűk ip-tartománnyal bejelentkezve a BGP-táblázatokba, garantált, hogy a támadó hamis routere felé küldi a feladótól az adatokat a rendszer.
Ebből két dolog adódik: egyrészt csak egy célpont felé érkező adatokat lehet így lehallgatni, kimenő adatokat nem; másrészt nem tudja bárki otthon alkalmazni a trükköt, kell hozzá egy router, tehát legalább internetszolgáltatónak kell lenni hozzá.
Elmélet
A BGP manipulálásán alapuló támadás és lehallgatás elvi lehetőségként már régóta ismert a szakértők számára, Peiter Zatko ex-hacker már 1998-ban nagy feltűnést keltett azzal a kijelentésével, hogy a BGP támadásával fél óra alatt képes lenne az egész internetet megbénítani. Hackerkörökben régóta keringő pletyka, hogy ezt a technikát használják a nagy kémszervezetek is az online kommunikáció lehallgatására.
A gyakorlatban is tapasztaltak már a BGP-t manipuláló támadásokat, ami a szlengben az ip-hijack, vagyis az ip-eltérítés nevet kapta. Ez általában úgy működött, hogy egy adott ip-tartomány felé irányuló forgalmat egy "fekete lyukba" irányítottak, ezzel tulajdonképpen megszüntetve az internetet a célpontnál. BGP-trükk volt például, amikor egy pakisztáni internetszolgáltató a YouTube forgalmát térítette el, fél Ázsiában elérhetetlenné téve az oldalt.
Az ip-eltérítések közös jellemzője volt eddig, hogy nagyon látványosak, így hamar kilőhető a rendszerből a csaló router. Pilosov és Kapela módszere azonban szinte észrevehetetlen, mert miután eltéríti az adatfolyamot, a saját szerver után azt továbbküldi az eredeti célpontja felé. A forgalom a saját szerveren rögzíthető, sőt - ha nem titkosítottak az adatcsomagok - akár valós időben bele is lehet nyúlni, és meghamisítani.
És gyakorlat
A két szakértő a konferencián bemutatta a módszert élőben is: a DefCon szerverére küldött adatokat a saját cégük New York-i szerverén futtatták át, mielőtt azok elérték volna az eredeti céljukat. Mindössze 80 másodpercre volt szükségük ahhoz, hogy a routerük a hamis ip-tartományok világgá kürtölése után saját maga felé irányítsa az adatforgalmat.
Pilosovék szerint létezik száz százalékos védekezés a BGP-eltérítés ellen, de nagyon sok munkával jár a megvalósítása: listákat kell készíteni a megbízható routerekről, és kiszűrni az adatforgalomból minden olyan szervert, ami nem szerepel ezen.
Kövesse az Indexet Facebookon is!
Követem!
