BGP dziurawe jak sitko

BGP to powszechnie wykorzystywany w Internecie protokół routingu. Jest w nim jednak mnóstwo luk, które atakujący chętnie wykorzystują. Niestety, zabezpieczenie tego protokołu jest nie lada wyzwaniem.

Podczas projektowania Border Gateway Protocol (BGP) nie brano sobie do serca aspektów bezpieczeństwa. W efekcie w tym protokole jest wiele podatności wykorzystywanych nie tylko przez cyberprzestępców, ale także agencje rządowe. Skutki ataków bywają różne, czasem zupełnie nie przewidziane.

Problemy z wydajnością BGP, o których można często usłyszeć, to słabość tego protokołu łatwa do wykorzystania. Przykładowo, głośnym echem odbił się w zeszłym roku przypadek przepełnienia tablicy routingu BGP, ponieważ odczuli go użytkownicy takich firm, jak eBay, Facebook czy LinkedIn. Jednakże luki w bezpieczeństwie BGP nie są łatwe do usunięcia, a jednocześnie rośnie liczba ataków, których skutki rozchodzą się po całym świecie. Przyjrzyjmy się więc, jak atakujący wykorzystują podatności BGP oraz jakie wysiłki podejmuje branża, aby załatać luki i dlaczego dotychczas kończyły się one fiaskiem.

Zobacz również:

Ataki

Jednym z typowych ataków jest modyfikowanie wpisów w tablicach routing BGP poprzez rozgłaszanie nieprawidłowych tras. Jest to prosta droga do zakłócenia działania Internetu, czy uniemożliwiania dostępu do usług. Jednym z zastosowań tego ataku jest odcinanie dostępu do serwisów społecznościowych. Na początku 2014 r. turecki operator sieciowy dokonał takiego ataku na serwer DNS Google, aby uniemożliwić obywatelom dostęp do, np. do Facebooka. W innym ataku pakistański ISP, na życzenie rządu, rozgłaszał trasę BGP, która kierowała użytkowników donikąd zamiast do serwisu Youtube. Kiedy ta trasa w niewytłumaczalny sposób wyciekła poza Pakistan, routery wiele usługodawców odcięły dostęp do YouTube internautom na całym świecie.

Ostatnio zaobserwowano nową formę tego typu ataków, wykorzystującą mechanizm pośrednika (man-in-the-middle). W tym przypadku ruch sieciowy jest kierowany inną trasą, dając dostęp do niego atakującym, zanim dotrze do docelowej lokalizacji. W 2015 r. badacze z Dell SecureWorks zarejestrowali szereg ataków man-in-the-middle na BGP, których celem była kradzież bitcoinów. Złodzieje zarobili ok. 83 000 dolarów w ciągu czterech miesięcy, dokonując w tym czasie ataków na 51 sieci zarządzanych przez 19 różnych ISP.

Według monitorującej Internet firmy Renesys ataki man-in-the-middle zaczęły pojawiać się w 2013 r. W lutym tamtego roku ruch sieciowy z głównych amerykańskich instytucji finansowych oraz rządowych, a także operatorów sieciowych był kierowany przez Białoruś, zanim trafiał do właściwej lokalizacji. W innym przypadku cały ruch między Europą a Ameryką Północną był kierowany przez sieć operatora z Islandii. Sprawcy przygotowali atak starannie, żeby dodatkowe opóźnienie nie odbiło się na wydajności. Ofiary tego ataku mogły nigdy nie zarejestrować, że ruch był przesyłany inną trasą.

Jeszcze bardziej niepokojący jest fakt, że ataki stają się coraz częstsze. Wykonane w 2014 r. przez Internet Society badania pokazały, że 10% incydentów związanych z routingiem to realne zagrożenia. Co miesiąc zdarza się kilka niebezpiecznych ataków.


TOP 200