27 augustus 2008
Twee beveiligingsonderzoekers hebben een nieuwe techniek gedemonstreerd om heimelijk internetverkeer te onderscheppen en dat op een schaal waarvan aangenomen werd dat die niet beschikbaar was voor iemand buiten de geheime diensten, zoals de National Security Agency. 'The tactic exploits the internet routing protocol BGP (Border Gateway Protocol) to let an attacker surreptitiously monitor unencrypted internet traffic anywhere in the world, and even modify it before it reaches its destination', zo zegt onderzoeker Anton Kapela. De demonstratie toont een mogelijke aanval op een fundamenteel beveiligingsknelpunt in een van de kernprotocollen van het Internet. De protocollen zijn grotendeels allemaal ontwikkeld in de jaren '70 met de veronderstelling dat iedere node in dat netwerk betrouwbaar zou zijn. Dat die veronderstelling onjuist was werd in juli al aangetoond door Dan Kaminsky die een zeer grote kwetsbaarheid ontdekte in het DNS-systeem. Deskundigen zeggen dat de nu getoonde demonstratie wijst op een potentieel nog groter probleem. 'It's a huge issue. It's at least as big an issue as the DNS issue, if not bigger', zegt Peter Zatko, in 1998 de getuige die voor het Congres verklaarde het internet binnen 30 minuten 'plat' te kunnen leggen door een soortgelijke BGP-aanval en die de geheime diensten leerde hoe ze BGP konden gebruiken om het verkeer af te luistreren. 'I went around screaming my head about this about ten or twelve years ago…. We described this to intelligence agencies and to the National Security Council, in detail'. De aanval gebruikt BGP om routers te brengen tot het versturen van de gegevens naar een afluister-netwerk.
'Anyone with a BGP router (ISPs, large corporations or anyonewith space at a carrier hotel) could intercept data headed to a target IP address or group of addresses. The attack intercepts only traffic headed to target addresses, not from them, and it can't always vacuum in traffic within a network — say, from one AT&T customer to another. The method conceivably could be used for corporate espionage, nation-state spying or even by intelligence agencies looking to mine internet data without needing the cooperation of ISPs', zo gaat Zatko verder. Afluisteren via BGP is altijd als een theoretische zwakte beschouwd, want niemand heeft het publiekelijk gedemonstreerd behalve Anton Kapela, directeur 'data center and network' bij 5Nines Data, en Alex Pilosov, Chief Executive Officer van Pilosoft, op de recente DefCon hacker-conferentie. De onderschepten verkeer dat bestemd was voor het conferentienetwerk en lieten het naar een systeem versturen dat ze controleerden in New York, van waaruit ze het weer naar het goede netwerk toe dirigeerden. De techniek, die ontwikkeld is door Pilosov, exploiteert geen bug of probleem in BGP, maar exploiteert de manier waarop het protocol werkt. 'We're not doing anything out of the ordinary', zegt Kapela. 'There's no vulnerabilities, no protocol errors, there are no software problems. The problem arises (from) the level of interconnectivity that's needed to maintain this mess, to keep it all working. … The issue exists because BGP's architecture is based on trust. To make it easy, say, for e-mail from Sprint customers in California to reach Telefonica customers in Spain, networks for these companies and others communicate through BGP routers to indicate when they're the quickest, most efficient route for the data to reach its destination. But BGP assumes that when a router says it's the best path, it's telling the truth. That gullibility makes it easy for eavesdroppers to fool routers into sending them traffic'. De aanval wordt een IP hijack genoemd en lijkt op het eerste gezicht niet nieuw. Wat echter wel nieuw is, is dat er geen onderbekingen ontstaan die opvallen. De onderschepte data worden verder naar de bedoelde bestemming gestuurd, zodat er geen enkele onderbreking ind e werking van het domein optreedt. Normaal gesproken zou dat niet werken: de data zouden naar de onderschepper moeten worden teruggestuurd. Maar Pilosov en Kapela laten hun server als een 'vertrouwde' server zien, waardoor er geen terugzending plaatsvindt. 'Everyone … has assumed until now that you have to break something for a hijack to be useful', zo zegt Kapela. 'But what we showed here is that you don't have to break anything. And if nothing breaks, who notices ?' Er zijn oplossingen denkbaar, maar die zijn allemaal redelijk kostbaar. Zo wordt er bijvoorbeeld gewerkt aan Secure BGP, 'which would require BGP routers to digitally sign with a private key any prefix advertisement they propagated. An ISP would give peer routers certificates authorizing them to route its traffic; each peer on a route would sign a route advertisement and forward it to the next authorized hop. The drawback is that current routers lack the memory and processing power to generate and validate signatures. And router vendors have resisted upgrading them because their clients, ISPs, haven't demanded it, due to the cost and man hours involved in swapping out routers. … That means that nobody could put themselves into the chain, into the path, unless they had been authorized to do so by the preceding AS router in the path', zegt Zatko.