  |
Za poslednú hodinu: 14 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Piatok, 1. mája 2026, dnes je Sviatok práce |
|
Základná infraštruktúra Internetu trpí vážnou bezpečnostnou zraniteľnosťou
Zraniteľnosť sa nachádza v spôsobe fungovania protokolu Border Gateway Protocol, BGP, ktorým si routre poskytovateľov pripojenia, tranzitných operátorov a ďalšie routre na chrbticovej sieti Internetu dynamicky vymieňajú informácie o smerovaní paketov zasielaných na jednotlivé rozsahy IP adries. Možnosť využitia BGP na neoprávnené presmerovania dátovej prevádzky je verejne známa, dvojica prezentovala ale techniku, ktorá umožňuje presmerovanie uskutočniť prakticky nepozorovane. Protokol BGP je založený na dôvere, keď v súčasnom stave sa nastavované pravidlá pre smerovanie často neoverujú alebo dokonca nemajú na základe čoho overiť. Pomocou oznamovania neoprávneného routovania do vlastnej siete si je tak možné väčšinou presmerovať k sebe traffic smerujúci na ľubovoľné IP aj v prípade, že IP adresy oznamovateľovi daného presmerovania nepatria. Najväčším incidentom z poslednej doby, kedy prišlo k takémuto neoprávnenému presmerovaniu trafficu pomocou BGP, bolo presmerovanie IP adries patriacich YouTube spoločnosťou Pakistan Telecom. Detailne sme o tomto prípade informovali v tomto článku. Presmerovanie bolo v tomto prípade náhodným incidentom, keď Pakistan Telecom omylom začal cez BGP šíriť do chrbticovej siete pravidlá, pomocou ktorých blokoval IP adresy YouTube vo vlastnej sieti. Náhodné alebo úmyselné neoprávnené presmerovanie konkrétneho rozsahu IP adries pomocou BGP sa ale ľahko identifikuje, keďže dáta smerujúce na dané IP adresy nie sú doručované do správneho cieľa. V prípade úmyselného presmerovania následne môžu jednotliví vlastníci infraštruktúry nastaviť pravidlá a vyvodiť dôsledky zabraňujúce opakovanému úmyselnému neoprávnenému presmerovaniu. Kapela a Pilosov ale predstavili jednoduchú techniku, ktorá umožňuje presmerovať si vybrané IP rozsahy do vlastnej siete a následne ich preposlať do správneho cieľa. To by štandardne vzhľadom na spôsob fungovania BGP vďaka spôsobu voľby najkratšej cesty nemalo byť možné, keď by sa pakety vždy vrátili do siete útočníka. Technika popísaná dvojicou v prezentácii (PDF) pridáva pre neoprávnene presmerovávaný IP rozsah do oznamovanej cesty cestu zloženú z routerov, ktorými sa na základe platného smerovania dostávajú pakety zo siete útočníka do originálneho cieľa pre dané IP adresy. Tieto pridané routery ale podľa naznačených informácií útočníkom podvrhnuté smerovanie zrejme pre svoj výskyt v ceste nepovažujú za platné a naďalej používajú originálne platné smerovanie. Všetky ostatné routery používajú útočníkom podvrhnuté smerovanie a pakety smerujúce na daný IP rozsah zašlú do siete útočníka. Tento ich môže monitorovať alebo meniť a následne zaslať na prvý router z reťaze pridaných routerov, ktorý ich dopraví do originálneho cieľa. Vzhľadom na dynamickú povahu BGP by v súčasnosti podobný útok zostal nepovšimnutý a bolo by ho možné uskutočniť spolu s potrebnými modifikáciami prenášaných paketov prakticky nepozorovane. Podľa vyjadrení niekoľkých expertov tento druh útoku nie je úplne nový, keď podobné techniky v minulosti odhalili bezpečnostný expert Peiter Zatko a spoločnosť BBN Technologies a o riziku informovali americkú vládu. Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
