16 april 2009
Twee beveiligingsonderzoekers hebben tijdens de Black Hat-conferentie in Amsterdam kwetsbaarheden in een tweetal routingprotocollen beschreven. Hackers kunnen misbruik maken van het gehanteerde vertrouwensmodel. Daniel Mende en Enno Rey, beide werkzaam voor de firma ERNW, behandelden in hun 'all your packets are belong to us'-lezing als eerste het border gateway protocol. Het BGP-protocol wordt gebruikt voor de uitwisseling van routingtabellen tussen internetswitches en kan worden gezien als de lijm die het internet bij elkaar houdt. BGP is gebaseerd op een vertrouwensmodel, waarbij eenmaal toegelaten routers elkaar vertrouwen op basis van een MD5-handtekening. In het gebruik van MD5 zit ook direct de kwetsbaarheid; indien een hacker het lukt om een router op de backbone direct te benaderen, dan kan hij een verbinding opzetten die door de router wordt geaccepteerd. Mende en Rey toonden twee proof-of-concept-tools die dit mogelijk maken. Met de kwetsbaarheid in het BGP-protocol kan een kwaadaardige hacker naar hartelust routingtabellen aanpassen en nieuwe entry's toevoegen. Dat het BGP-protocol niet alleen kwetsbaar is voor hackers, bleek vorig jaar: een medewerker van de Pakistaanse telecommunicatieautoriteit PTA maakte toen een fout bij het instellen van een IP-blokkade via het BGP-protocol. Als gevolg daarvan was Youtube wereldwijd urenlang onbereikbaar.
Mende en Rey namen ook het MPLS-protocol onder vuur. 'MPLS VPNs originally were proprietary networks when they first hit the network scene. But the evolution of service provider networks to Internet-based services has put MPLS, as well as Ethernet, in the hot seat as possible hacking targets', zo zegt Rey. 'MPLS networks used to have their own set of switches and management infrastructures, and their own set of surrounding technologies and the average attacker could not get his hands on that equipment. To execute an MPLS or Ethernet carrier network hack, an attacker first must get into the network, either by hacking a router or a management tool. Then our MPLS hacking tool could be used: it modifies the labels that are added to packets in an MPLS network and determines how those packets are forwarded. This lets an attacker silently redirect traffic to other sites, such as a malicious DNS server or a phony authentication server', zo vervolgt Rey. 'The victim doesn't notice anything…and the attacker has both directions of traffic [in his control]. The whole VPN model of trust is violated'. De beveiligingsonderzoekers demonstreerden op de Black Hat-conferentie een tool waarmee zulke labels kunnen worden gewijzigd of zelfs aangemaakt. Deze laatste mogelijkheid geeft hackers de kans om eigen vpn's op te zetten. Volgens de twee beveiligingsonderzoekers zijn dergelijke virtuele netwerken niet of nauwelijks door carriers te detecteren. Aan het einde van de presentatie werd ook nog kort ingegaan op de mogelijke gevaren van nieuwe carrier ethernet-protocollen. Volgens de onderzoekers zijn deze protocollen veelal ontwikkeld voor lokale netwerken, en levert het routeren van dergelijk verkeer via de backbone de nodige hoofdpijn bij beveiligingsexperts op. Mende en Rey concluderen dat de BGP- en MPLS-routingprotocollen toe zijn aan nieuwe versies waarbij het vertrouwensmodel wordt losgelaten. Bedrijven zouden waar mogelijk meer veiligheidsmaatregelen van hun providers moeten eisen. Wel benadrukten de twee dat hun inmiddels vrijgegeven proof-of-concepts-tools waardeloos zijn zonder directe toegang tot de netwerkapparatuur van een carrier, maar het wachtwoord 'cisco' blijkt volgens hen nog angstig vaak te worden gebruikt.