План "Перехват"

Обнародована вторая за два месяца фундаментальная недоработка Интернета

Интернет-трафик можно незаметно перехватить, сохранить, изменить и послать после этого адресату таким образом, что он ничего не заметит. Доклад об дыре в одном из основных протоколов Интернета сделали 10 августа на конференции DefCon двое IT-экспертов, а 26 августа благодаря изданию Wired содержание доклада стало известно всем.

Доклад Антона "Тони" Капелы из компании 5Nines Data и Алекса Пилосова из Pilosoft был сделан всего через месяц после того, как интернетчики узнали о недоработке в протоколе DNS, отвечающем за сопоставление IP-адресов и доменных имен.

В этот раз хитроумные эксперты смогли найти слабое место в BGP (Border Gateway Protocol, протокол граничного шлюза). Именно BGP отвечает за то, чтобы автономные системы могли обмениваться информацией и при этом данные пересылались по оптимальному маршруту.

Когда пользователь вписывает адрес сайта в строку браузера, DNS преобразует эту строку в цифровой IP-адрес. Маршрутизатор запрашивает таблицу BGP, по какому маршруту лучше всего пересылать информацию. Эта таблица - аналог газеты бесплатных объявлений, в которой сеть провайдера и другие сети могут помещать "объявления". В последних написан диапазон адресов, по которым сеть может переслать данные. В случае, если вариантов много, BGP выбирает более узкие адресные диапазоны.

Поэтому, предполагают исследователи, для перехвата трафика необходимо вывесить объявление с более узким адресным диапазоном, чем у других сетей. В течение нескольких минут объявление сработает и данные начнут прибывать в сеть злоумышленника.

Надо сказать, что ничего нового в этом нет - соответствующая техника называется IP hijacking и выявляется по неизвестно куда исчезающим пакетам с данными. Например, некоторое время назад пакистанский провайдер, стремясь заблокировать YouTube по приказу властей, нечаянно вырубил популярный видеохостинг во всем мире.

Капела и Пилосов пошли дальше. Они предложили возвращать перехваченную информацию законному владельцу и не давать понять, что его прослушивают. Для этого находятся несколько автономных систем, распознающих "фальшивый" маршрут. Пакет перенаправляется на них и он возвращается не в сеть злоумышленника, а в сеть пользователя. Все довольны.

При желании можно проанализировать таблицы BGP и засечь факт вмешательства, но вероятность этого, по мнению авторов доклада, невелика. Более того, они утверждают, что подобные атаки провайдеры могут предотвратить на 100 процентов при помощи фильтрации трафика, однако для этого нужно затратить слишком много труда.

Также предлагается создать систему сертификатов доверия между автономными системами. Такая система помогла бы определить, безопасен ли тот или другой маршрут.

Хорошие парни предупреждали

Как известно, июльская уязвимость DNS была обнаружена за несколько месяцев до объявления о ней. Все это время производители оборудования и программисты готовили патч, устраняющий угрозу.

Знание того факта, что BGP при умелом использовании может сыграть на руку злоумышленникам, получено не в 2008 году и вообще не в двадцать первом веке. Еще в 1989 году, когда про Интернет знал мало кто из простых смертных, об этом говорилось в одной из работ Стива Белловина из Колумбийского университета.

Другой эксперт, Пейтер "Mudge" Затко, обнаружил схожую уязвимость в BGP в конце девяностых. В 1998 году он объяснил Конгрессу США, что может при помощи этой техники "положить" Интернет за тридцать минут. Затем он в частной беседе подробно объяснил сотрудникам спецслужб и членам совета по национальной безопасности, где именно зарыта собака.

В 1999 году Стив Белловин и другой Стив, Кент, выпустили документ о "странной" маршрутизации. Там слабые места в протоколах DNS и BGP были названы "самыми крупными угрозами Интернету".

Как емко сформулировал Белловин, "хорошие парни предупреждали об этом 20 лет, и ничего не произошло".