Manipulacje trasami BGP, czyli czemu pakiety idą przez Mińsk

dodał 20 listopada 2013 o 22:54 w kategorii Info  z tagami:
Manipulacje trasami BGP, czyli czemu pakiety idą przez Mińsk

Najciekawsze ataki to takie, o których rzadko w ogóle słychać. Do tej kategorii możemy zaliczyć wstrzykiwanie złośliwych tras BGP. Przykłady ponad setki takich incydentów w ostatnich miesiącach odkryła i opisała firma Renesys.

Zarządzanie ruchem w internecie jest w dużej mierze oparte na zaufaniu. Protokół BGP, decydujący o tym, którędy będą podróżować pakiety, stworzono z założeniem, że wszystkie zgłaszane trasy będą prawidłowe. Nie zawsze tak jednak jest – czasem trasa jest błędna z powodu błędu człowieka, a czasem wygląda to na działanie mające na celu podsłuchanie cudzych pakietów.

Jak działa BGP

Każdy zarządzający systemem autonomicznym (najczęściej jest to operator telekomunikacyjny) ma prawo – i powinien – ogłosić swoim sieciowym sąsiadom, które adresy IP należą do niego. W ten sposób przekazuje światu, że ruch wysyłany do jego adresów IP powinien trafić do jego rutera. To ogłoszenie odbywa się z wykorzystaniem protokołu BGP. Firma wysyła w świat komunikat o treści „Hej, gdyby ktoś szukał adresów IP 12.43.x.x, to wyślijcie go do mnie, bo to moje”. Ten komunikat – czasem po weryfikacji, lecz często bez sprawdzenia – przekazywany jest dalej, aż trafia do wszystkich operatorów. Następnie rutery, szukając odbiorców pakietów swoich klientów, kierują się zestawem takich informacji, by przesłać dane do odpowiednich odbiorców. Dzięki temu możemy szybko i bez większych problemów odwiedzać strony www na drugim końcu świata.

Palec mi się omsknął i wyłączyłem Google

Czasem jednak jakiś operator z jakiegoś powodu ogłasza, że ma do niego zostać skierowany ruch, który nie powinien do niego trafić. W historii nie brakowało takich dość spektakularnych przypadków:

Oficjalnie wszystkie incydenty były pomyłkami – jak łatwo się domyśleć, z powyższej listy co do 3 przypadków raczej nie było wątpliwości. Wygląda na to, że teoretyczne ataki, opisywane kilka lat temu, zostały wdrożone w świecie rzeczywistym.

We wtorek firma Renesys opublikowała raport, opisujący podobne incydenty, które miały miejsce w roku 2013. Renesys, dzięki globalnej sieci monitoringu połączeń operatorskich, jest w stanie na bieżąco obserwować przepływ ruchu w sieci. To dzięki tej firmie dowiadywaliśmy się natychmiast o takich incydentach jak odcięcie od internetu Egiptu czy Syrii. Renesys informuje tym razem, że do tej pory w tym roku zaobserwował ataki typu MiTM, przeprowadzane z użyciem protokołu BGP, skierowane przeciwko ponad 1500 klasom adresowym na całym świecie. Wśród ofiar były zarówno instytucje finansowe, dostawcy usług VoIP jak i sieci rządowe.

Białoruski łącznik

W lutym 2013 Renesys zaobserwował serię ataków MiTM, prowadzonych za pomocą białoruskiego operatora GlobalOneBel. Incydenty o długości trwania między kilka minut a kilka godzin dotykały firm i instytucji w USA, Południowej Korei, Niemczech, Libii, Iranie, Czechach oraz na Litwie. Przykładowy opisany atak dotyczy sieci w Waszyngtonie, którą w nieautoryzowany sposób rozgłasza białoruski operator. Wystarczy, by operator „atakujący” rozgłosił sieć bardziej specyficzną (o mniejszym zakresie adresów niż komunikat od jej rzeczywistego posiadacza), by rutery na całym świecie skorzystały z jego ścieżki. Komunikatowi operatora białoruskiego ufa operator rosyjski, któremu z kolei ufa globalny operator Level3, dzięki czemu ruch skierowany do Waszyngtonu podróżuje najpierw na trasie Meksyk – Londyn – Moskwa – Mińsk, by stamtąd zostać wysłany do rzeczywistego odbiorcy.

Podejrzany ruting (źródło: Renesys)

Podejrzany ruting (źródło: Renesys)

Czy odbiorca ruchu może zauważyć, że dzieje się coś złego? Teoretycznie tak, lecz w praktyce prawdopodobnie nie zwróci nawet uwagi. Po pierwsze, ruch z jego komputera do Meksyku odbywa się tradycyjną drogą – tylko droga odwrotna została zmodyfikowana. Po drugie, asymetryczny ruting (gdy wychodzący ruch sieciowy odbywa się łączami jednego z dostawców, a ruch powrotny przechodzi przez łącza innego dostawcy bądź dostawców) może mieć znaczący wpływ na opóźnienie czy też straty pakietów. Wykryć atak można tylko prowadząc pomiary po obu stronach połączenia.

Ataki z Białorusi – doliczono się ich w sumie 21 – trwały do marca, kiedy to ucichły do maja. W maju, po krótkim epizodzie, zniknęły na dobre, by po kilku godzinach od ostatniego białoruskiego incydentu pojawić się u operatora na Islandii.

Islandzki korytarz

Po pierwszym, małym incydencie w maju 2013, kolejny przypadek ataku miał miejsce dopiero 31 lipca 2013. Tego dnia mały islandzki dostawca, zazwyczaj rozgłaszający 3 sieci, oznajmił światu, ze teraz należy do niego kierować ruch 600 sieci, z których 597 należało do dużego amerykańskiego operatora usługi VoIP. Na skutek tego ataku ruch przesyłany z Denver do Denver podróżował najpierw przez Nowy Jork do Londynu, by trafić do Reykjaviku, skąd był przesyłany – już prawidłową drogą – przez Montreal, Chicago, Nowy Jork, Dallas, Kansas City do Denver.

Kolejny podejrzany przypadek

Kolejny podejrzany przypadek

Firma Renesys skontaktowała się z islandzkim operatorem, by uzyskać wyjaśnienie incydentu, lecz usłyszała, że był to wynik błędu oprogramowania rutera. Bardzo ciekawego błędu, skoro tak precyzyjnie wybrał on konkretne sieci jednej firmy.

Gdzie są sprawcy?

Sposób przeprowadzenia tych ataków pozwala ich sprawcom pozostawać w ukryciu. Jeśli celem ataku było podsłuchanie ruchu, to mogło do tego dojść na dowolnym etapie transferu – i wcale nie musiał to być operator docelowy. Komentatorzy na blogu Rensys zauważyli, że w obu przypadkach ruch przechodził przez Wielką Brytanię – a z rewelacji Snowdena wiemy, jak Brytyjczycy lubią podsłuchiwać światłowody. Jest to jednak tylko i wyłącznie spekulacja, ponieważ brak jakichkolwiek dowodów wskazujących sprawców.

Czy przed tego typu atakami można się bronić? Trwają prace nad wdrożeniem systemu, umożliwiającego podpisywanie tras wstrzykiwanych do protokołu BGP, jednak nie zanosi się na jego szybkie wdrożenie. Niektórzy operatorzy nie ufają automatycznie wszystkim trasom, przekazywanym przez sąsiadów i weryfikują je mniej lub bardziej automatycznie, jednak nie jest to ciągle powszechna praktyka. Oczywiście usługę monitoringu naszych tras BGP oferuje firma Renesys.