Rosyjski operator na kilka minut przejął ruch sieciowy wielu firm – w tym polskiego banku

dodał 28 kwietnia 2017 o 21:55 w kategorii Wpadki  z tagami:
Rosyjski operator na kilka minut przejął ruch sieciowy wielu firm – w tym polskiego banku

Najciekawsze ataki to takie, o których rzadko w ogóle słychać. Do tej kategorii możemy zaliczyć wstrzykiwanie złośliwych tras BGP. Najnowszy przykład takiego ataku pochodzi sprzed 48 godzin i dotknął między innymi banku BZ WBK.

Zarządzanie ruchem w internecie jest w dużej mierze oparte na zaufaniu. Protokół BGP, decydujący o tym, którędy będą podróżować pakiety, stworzono z założeniem, że wszystkie zgłaszane trasy będą prawidłowe. Nie zawsze tak jednak jest – czasem trasa jest błędna z powodu błędu człowieka, a czasem wygląda to na działanie mające na celu podsłuchanie cudzych pakietów.

Jak działa BGP

Każdy zarządzający systemem autonomicznym (najczęściej jest to operator telekomunikacyjny) ma prawo – i powinien – ogłosić swoim sieciowym sąsiadom, które adresy IP należą do niego. W ten sposób przekazuje światu, że ruch wysyłany do jego adresów IP powinien trafić do jego rutera. To ogłoszenie odbywa się z wykorzystaniem protokołu BGP. Firma wysyła w świat komunikat o treści „Hej, gdyby ktoś szukał adresów IP 12.43.x.x, to wyślijcie go do mnie, bo to moje”. Ten komunikat – czasem po weryfikacji, lecz często bez sprawdzenia – przekazywany jest dalej, aż trafia do wszystkich operatorów. Następnie rutery, szukając odbiorców pakietów swoich klientów, kierują się zestawem takich informacji, by przesłać dane do odpowiednich odbiorców. Dzięki temu możemy szybko i bez większych problemów odwiedzać strony www na drugim końcu świata.

Palec mi się omsknął i wyłączyłem Google

Czasem jednak jakiś operator z jakiegoś powodu ogłasza, że ma do niego zostać skierowany ruch, który nie powinien do niego trafić. W historii nie brakowało takich dość spektakularnych przypadków:

Tym razem sprawcą zamieszania okazał się rosyjski dostawca usług telekomunikacyjnych Rostelecom, który wieczorem 26go kwietnia na 7 minut ogłosił się właściwym miejscem do spraw obsługi ruchu internetowego 37 firm i organizacji z całego świata.  Analogiczne incydenty czasem wyglądały na naprawdę przypadkowe – tutaj trudno mówić o przypadku. Po pierwsze użyte prefiksy sieci były czasem bardziej specyficzne od oryginalnych – zatem trudno mówić o przypadkowym wycieku prefiksu. Po drugie dobór ofiar i różnorodność ich prefiksów wskazuje, że listę raczej ktoś ułożył odręcznie i z premedytacją. Nie przychodzi nam do głowy żaden wiarygodny scenariusz uzasadniający teorię, że wydarzenie było przypadkowym zbiegiem okoliczności.

Na liście ofiar znalazły się między innymi firmy takie jak VISA, Mastercard, HSBC, Fortis Bank, centrum kartowe UBS, Verisign, DnB Nord oraz Symantec. W tym zaszczytnym gronie znalazł się także polski bank BZ WBK z prefiksem 195.20.110.0/24. Choć atak trwał zaledwie 7 minut, to w tym czasie rosyjski operator mógł przechwytywać ruch kierowany z sieci do wyżej wymienionych firm. Co prawda większość ruchu powinna być zaszyfrowana, lecz nie można wykluczyć, że w przesyłanych danych mogły znajdować się cenne dla atakujących informacje. Warto także wspomnieć, że głównym udziałowcem posiadającym prawie 49% akcji Rostelecomu jest rosyjski skarb państwa. Na stronie BGPMON znajdziecie szczegółowy opis techniczny oraz wizualizację incydentu.