Manipulacje trasami BGP, czyli czemu pakiety idą przez Mińsk
Najciekawsze ataki to takie, o których rzadko w ogóle słychać. Do tej kategorii możemy zaliczyć wstrzykiwanie złośliwych tras BGP. Przykłady ponad setki takich incydentów w ostatnich miesiącach odkryła i opisała firma Renesys.
Zarządzanie ruchem w internecie jest w dużej mierze oparte na zaufaniu. Protokół BGP, decydujący o tym, którędy będą podróżować pakiety, stworzono z założeniem, że wszystkie zgłaszane trasy będą prawidłowe. Nie zawsze tak jednak jest – czasem trasa jest błędna z powodu błędu człowieka, a czasem wygląda to na działanie mające na celu podsłuchanie cudzych pakietów.
Jak działa BGP
Każdy zarządzający systemem autonomicznym (najczęściej jest to operator telekomunikacyjny) ma prawo – i powinien – ogłosić swoim sieciowym sąsiadom, które adresy IP należą do niego. W ten sposób przekazuje światu, że ruch wysyłany do jego adresów IP powinien trafić do jego rutera. To ogłoszenie odbywa się z wykorzystaniem protokołu BGP. Firma wysyła w świat komunikat o treści „Hej, gdyby ktoś szukał adresów IP 12.43.x.x, to wyślijcie go do mnie, bo to moje”. Ten komunikat – czasem po weryfikacji, lecz często bez sprawdzenia – przekazywany jest dalej, aż trafia do wszystkich operatorów. Następnie rutery, szukając odbiorców pakietów swoich klientów, kierują się zestawem takich informacji, by przesłać dane do odpowiednich odbiorców. Dzięki temu możemy szybko i bez większych problemów odwiedzać strony www na drugim końcu świata.
Palec mi się omsknął i wyłączyłem Google
Czasem jednak jakiś operator z jakiegoś powodu ogłasza, że ma do niego zostać skierowany ruch, który nie powinien do niego trafić. W historii nie brakowało takich dość spektakularnych przypadków:
- w Wigilię 2004 turecki operator ogłosił, że jest całym internetem, wyłączając sporą część sieci
- w październiku 2012 indonezyjski operator wyłączył wszystkie usługi Google na pół godziny (prawdopodobnie chciał tylko wyłączyć dostęp do Google w Indonezji)
- w lutym 2008 pakistański operator wyłączył serwis Youtube (Pakistan chciał ocenzurować Youtube)
- w kwietniu 2012 ok. 15% internetowego ruchu przez 18 minut szło przez Chiny
Oficjalnie wszystkie incydenty były pomyłkami – jak łatwo się domyśleć, z powyższej listy co do 3 przypadków raczej nie było wątpliwości. Wygląda na to, że teoretyczne ataki, opisywane kilka lat temu, zostały wdrożone w świecie rzeczywistym.
We wtorek firma Renesys opublikowała raport, opisujący podobne incydenty, które miały miejsce w roku 2013. Renesys, dzięki globalnej sieci monitoringu połączeń operatorskich, jest w stanie na bieżąco obserwować przepływ ruchu w sieci. To dzięki tej firmie dowiadywaliśmy się natychmiast o takich incydentach jak odcięcie od internetu Egiptu czy Syrii. Renesys informuje tym razem, że do tej pory w tym roku zaobserwował ataki typu MiTM, przeprowadzane z użyciem protokołu BGP, skierowane przeciwko ponad 1500 klasom adresowym na całym świecie. Wśród ofiar były zarówno instytucje finansowe, dostawcy usług VoIP jak i sieci rządowe.
Białoruski łącznik
W lutym 2013 Renesys zaobserwował serię ataków MiTM, prowadzonych za pomocą białoruskiego operatora GlobalOneBel. Incydenty o długości trwania między kilka minut a kilka godzin dotykały firm i instytucji w USA, Południowej Korei, Niemczech, Libii, Iranie, Czechach oraz na Litwie. Przykładowy opisany atak dotyczy sieci w Waszyngtonie, którą w nieautoryzowany sposób rozgłasza białoruski operator. Wystarczy, by operator „atakujący” rozgłosił sieć bardziej specyficzną (o mniejszym zakresie adresów niż komunikat od jej rzeczywistego posiadacza), by rutery na całym świecie skorzystały z jego ścieżki. Komunikatowi operatora białoruskiego ufa operator rosyjski, któremu z kolei ufa globalny operator Level3, dzięki czemu ruch skierowany do Waszyngtonu podróżuje najpierw na trasie Meksyk – Londyn – Moskwa – Mińsk, by stamtąd zostać wysłany do rzeczywistego odbiorcy.
Podejrzany ruting (źródło: Renesys)
Czy odbiorca ruchu może zauważyć, że dzieje się coś złego? Teoretycznie tak, lecz w praktyce prawdopodobnie nie zwróci nawet uwagi. Po pierwsze, ruch z jego komputera do Meksyku odbywa się tradycyjną drogą – tylko droga odwrotna została zmodyfikowana. Po drugie, asymetryczny ruting (gdy wychodzący ruch sieciowy odbywa się łączami jednego z dostawców, a ruch powrotny przechodzi przez łącza innego dostawcy bądź dostawców) może mieć znaczący wpływ na opóźnienie czy też straty pakietów. Wykryć atak można tylko prowadząc pomiary po obu stronach połączenia.
Ataki z Białorusi – doliczono się ich w sumie 21 – trwały do marca, kiedy to ucichły do maja. W maju, po krótkim epizodzie, zniknęły na dobre, by po kilku godzinach od ostatniego białoruskiego incydentu pojawić się u operatora na Islandii.
Islandzki korytarz
Po pierwszym, małym incydencie w maju 2013, kolejny przypadek ataku miał miejsce dopiero 31 lipca 2013. Tego dnia mały islandzki dostawca, zazwyczaj rozgłaszający 3 sieci, oznajmił światu, ze teraz należy do niego kierować ruch 600 sieci, z których 597 należało do dużego amerykańskiego operatora usługi VoIP. Na skutek tego ataku ruch przesyłany z Denver do Denver podróżował najpierw przez Nowy Jork do Londynu, by trafić do Reykjaviku, skąd był przesyłany – już prawidłową drogą – przez Montreal, Chicago, Nowy Jork, Dallas, Kansas City do Denver.
Kolejny podejrzany przypadek
Firma Renesys skontaktowała się z islandzkim operatorem, by uzyskać wyjaśnienie incydentu, lecz usłyszała, że był to wynik błędu oprogramowania rutera. Bardzo ciekawego błędu, skoro tak precyzyjnie wybrał on konkretne sieci jednej firmy.
Gdzie są sprawcy?
Sposób przeprowadzenia tych ataków pozwala ich sprawcom pozostawać w ukryciu. Jeśli celem ataku było podsłuchanie ruchu, to mogło do tego dojść na dowolnym etapie transferu – i wcale nie musiał to być operator docelowy. Komentatorzy na blogu Rensys zauważyli, że w obu przypadkach ruch przechodził przez Wielką Brytanię – a z rewelacji Snowdena wiemy, jak Brytyjczycy lubią podsłuchiwać światłowody. Jest to jednak tylko i wyłącznie spekulacja, ponieważ brak jakichkolwiek dowodów wskazujących sprawców.
Czy przed tego typu atakami można się bronić? Trwają prace nad wdrożeniem systemu, umożliwiającego podpisywanie tras wstrzykiwanych do protokołu BGP, jednak nie zanosi się na jego szybkie wdrożenie. Niektórzy operatorzy nie ufają automatycznie wszystkim trasom, przekazywanym przez sąsiadów i weryfikują je mniej lub bardziej automatycznie, jednak nie jest to ciągle powszechna praktyka. Oczywiście usługę monitoringu naszych tras BGP oferuje firma Renesys.
Podobne wpisy
- Poważny incydent bezpieczeństwa na uczelniach Collegium Da Vinci i SWPS
- Uwaga na kradzież z rachunku „na koronawirusa”
- Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych
- Analiza próby ataku na polski kanał Youtube „Poszukiwacze Okazji”
- TAMA – operatorski system ochrony przed atakami DDoS
mapy trochę mylące powinny oceany być niebieskie a lądy białe bo sie człowiek lekko gubi
Też miałem ten problem.
Brytyjczycy lubią podsłuchiwać kable już od dawna, co najmniej od 1 wojny światowej. Zniszczyli niemieckie kable transoceaniczne i podsłuchiwali niemieckie połączenia realizowane przez Szwajcarię. Dzięki temu wciągnęli USA do wojny:)
Czy za pomocą traceroute można to wykryć tak na szybko? Wydaje mi się że tak…
raczej nie, traceroute pokaże Ci skąd pakiet wrócił, a jak widać z artykułu pakiety powrotne idą „normalnie”
Nie wrócił tylko odwrotnie którędy poszedł, do powrotu masz LG operatorów i tam możesz to sprawdzić
Nie, traceroute zawsze pokazuję drogę 'do’ – wynika to z zasady działania – puszczania pakietów z coraz większym TTL poczynając od 1
A dlaczego nie? Traceroute powinien powiedzieć, że pakiet wraca z Mińska.
Zmieniona trasa, pierwszy pakiet z TTL na 1 – idzie do Mińska (czy gdzieś) ale w drodze do celu zatrzymuje się na pierwszym routerze i zmusza go do odpowiedzi ICMP o wyzerowaniu TTL – odpowiada router który był po drodze do celu nie odwrotnie ustawiając w polu source IP swój adres – nie ważne czy ten pakiet (z odpowiedzią wysyłany w odwrotną stronę) będzie routowany przez Czelabińsk czy przez Helsinki, adres source IP się nie zmienia. tak samo z kolejnymi, w ten sposób możemy traceroutem poznać drogę w tamtą stronę a nie odwrotnie. Odwrotnie może to zrobić druga strona z którą się komunikujemy.
Na naszym lokalnym podwórku też mamy tego typu incydenty.
http://lipowski.org/isp/tepsa-odcieta-tepsa-przez-ac-x-i-plix/
Dlatego też najlepiej zlecić wdrożenie BGP osobie, która ma już na tym polu doświadczenie. Można zaoszczędzić sobie niepotrzebnych nerwów, komplikacji a i czasami wstydu.
Warto też zapłacić komuś obeznanemu w temacie za obsługę BGP i wsparcie w tym temacie. Monitorowanie, czy wszystko jest ok jest wskazane. Również z ustaleniem co jest nie tak, w przypadku jakiegoś incydentu, też wtedy nie ma problemu.
To nie jest przypadek BGP MITM. Okręgowa Spółdzielnia Telefoniczna w Tyczynie (AS38987) stała się tylko tranzytem do zasobów TP przez ACX i PLIX.
po to ludzkość wynalazła filtry, żeby je stosować.
Oczywiście, to jest przykład incydentu związanego z BGP, a nie ataku MITM z wykorzystaniem BGP.
A mój komentarz dotyczył tranzytu, a nie mitm :)
Spokojnie. Sami wdrazajac BGP nie zepsujecie calego internetu. Sieci operatorow sa idiotoodporne i nie pozwola wam na wstrzykniecie default route do waszej sieci, bo odnosze wrazenie ze niektorzy maja takie wyobrazenie. Kazdy operator pozwoli wam rozglosic tylko te klasy, ktore do was naleza.
W podanym wyżej w komentarzu przypadku masz opis incydentu rozgłoszenia adresacji TP do PLIXa przez jednego z uczestników. Jak widać nie wszystkie sieci są idiotoodporne. :) Jasne, w PLIXie już pewnie taka sytuacja się nie zdarzy. Bywało jednak tak, że ktoś np. rozgłaszał za duży prepend i na całym świecie kładły się konkretne implementacje BGP…