Największa dziura w Internecie

Specjaliści od dawna teoretyzowali o możliwości przeprowadzenia ataku na protokół BGP (Border Gateway Protocol) tak, by ofiary tego nie zauważyły. Podczas ostatniej konferencji DefCon Anton Kapela i Alex Pilosov pokazali, w jaki sposób można tego dokonać. Eksperci mówią o "największej dziurze w Internecie".

Atak Kapeli i Pilosova pozwala na przechwycenie ruchu skierowanego do routera BGP. Możliwe jest więc podsłuchanie komunikacji kierowanej do danego adresu IP lub grupy adresów. Możliwe jest przekierowanie tego ruchu na własne serwery. A wszystko w taki sposób, że ofiara nie zorientuje się, iż doszło do ataku.

"Nie robimy nic niezwykłego. Nie wykorzystujemy dziur, błędów w protokole czy w oprogramowaniu" - mówi Kapela.

Obaj specjaliści wykorzystali zwykły sposób pracy routerów BGP.

Urządzenia te uważane są za zaufane. Gdy chcemy połączyć się z jakąś witryną WWW czy wysłać maila, router naszego dostawcy internetu sprawdza tabelę BGP, by wybrać jak najlepszą drogę dla naszego sygnału. Tabela ta tworzona jest na podstawie informacji wysyłanych przez routery BGP. Każdy z nich ogłasza się i informuje do jakich adresów IP dostarcza dane. Jeśli w tabeli BGP router naszego dostawcy znajdzie dwa routery dostarczające informacje pod interesujący go adres, ale jeden z nich ma połączenie z 50000 IP, a drugi z 30000, to nasze żądanie zostanie wysłane przez ten drugi router.

Tak więc atakujący powinien podłączyć swój własny router BGP i skonfigurować go tak, by ogłaszał, że łączy się z tymi adresami, których dane cyberprzestępca chce ukraść (np. z IP należącymi do jakiegoś koncernu). Wystarczy teraz, by zakres adresów był węższy niż ma to miejsce w innych routerach BGP, a w ciągu kilku minut na router atakującego zacznie napływać ruch kierowany do interesujących do IP.

Taki sposób ataku znany jest od dawna. Jednak powodował on na tyle duże zakłócenia w pracy sieci, że był szybko wykrywany.

Pomysł Pilosova i Kapeli polega na tym, żeby ruch ten, po przechwyceniu, natychmiast kierować do jego prawdziwego odbiorcy. Zwykle nie powinno to działać, bowiem przesłanie ruchu z routera przestępców do innych routerów powinno skutkować ponownym odesłaniem go do routera przestępców (pamiętajmy, że ogłasza się on jako najlepszy pośrednik dla tych danych). Jednak Pilosov i Kapela wykorzystali technikę zwaną AS path prepending, która powoduje, że niektóre routery BGP odrzucają ogłoszenia naszego routera, a więc możliwe jest wysłanie danych inną drogą.

"Dotychczas każdy myślał, że do przechwycenia ruchu konieczne jest złamanie jakichś zabezpieczeń. My pokazaliśmy, że niczego nie trzeba łamać. A skoro niczego się nie łamie, to kto zwróci na atak uwagę?" - mówi Kapela.

Istnieją sposoby na zabezpieczenie Sieci przed tego typu atakiem, są one jednak bardzo skomplikowane, pracochłonne i wymagają dużo dobrej woli od dostawców Internetu. Na razie nie są wdrażane.