Довірлива Мережа для недовірливих користувачів

Зовсім недавно відповідальність за небезпечний Інтернет перекладали на ледачих, і безсовісних виробників ПЗ. Особливо діставалося, зрозуміло, Microsoft, чиї дірки, проломи та вразливості справно годували вірусописьменників. У серпні все більш наполегливо зазвучала нова думка. Інтернет небезпечний за своєю природою, оскільки основоположні протоколи побудовані на ненадійних принципах кшталт довіри.

Публікація в Wired докотилася і до Рунета. На хакерської конференції DefConf присутніх був продемонстрований абсолютно легітимний спосіб прослуховування і перенаправлення інтернет-трафіку. Цей трюк експлуатує фундаментальну "вразливість" протоколу BGP, вірніше, паразитує на самій ідеї "довірчій" маршрутизації. Чудовою особливістю цього прийому є відсутність будь-яких слідів "злому", адже зловмисники просто акуратно вводять протокол в оману.

BGP: роздолля для Сусаніних

Теоретична ймовірність BGP-ін'єкцій існувала завжди. Заслуга Антона крапель і Алекса Пілосова полягає в тому, що вони реалізували маніпуляцію на практиці і привернули увагу ЗМІ. Атака дійсно зазіхає на "святе": експлуатує такі фундаментальні для Інтернету речі, як децентралізація і довіра.

Протокол BGP, розроблений ще в сімдесятих роках минулого століття, вирішує проблему зменшення транзитного трафіку. В архітектурі Мережі відсутня глобальний довідник, якась таблиця адрес, за допомогою якої можна було б вирахувати найкоротші маршрути. Тому провайдери змушені обмінюватися інформацією про транспортні шляхи, а також довіряти інформації, яку надають інші учасники обміну. У реаліях нинішньої Мережі це вже непростиме легковажність. Розшукуючи IP-адреса серед "чесних заяв" колег, провайдер робить вибір на користь більш вузького діапазону, маючи намір піти найефективнішим шляхом. Ось тут-то зловмисники і наносять удар нижче пояса, перехоплюючи трафік.

"Ми не зробили нічого екстраординарного, – заявив Капела в інтерв'ю Wired. – Ні уразливості, немає помилки протоколу, ніяких проблем у самому софт". До речі, аналогічні спроби "вирубати Інтернет за 30 хвилин" робилися ще 10 років тому. Проте до останнього часу вважалося, що настільки "чисті" способи моніторингу і перехоплення трафіку доступні лише розвідувальним агентствам.

"Ситуація посилюється тим, що зараз багато операторів не обтяжують себе фільтрацією анонсів своїх же мереж, в результаті чого будь-який оператор автономної системи може зареєструвати будь-який маршрут. Дане стан справ може бути на руку кіберзлочинності ", – впевнений Євген Кузін, керівник відділу мережевих проектів компанії" Доктор Веб ".

Протоколів рано на звалище

У цьому контексті багатьом пригадується ще одна "протокольна" вразливість, про яку стало відомо в липні. Тоді загальне занепокоєння викликала система DNS, а "виявлена" діра дозволяла підміняти IP-адреси і перенаправляти користувачів на фальшиві сайти. Наскільки небезпечною є така тенденція, коли тріщини виявляються в самому фундаменті Інтернету? Може бути, вся справа в моральному старіння протоколів, створених у рамках "романтичної" концепції Мережі?

У ESET поостереглись давати довгострокові прогнози щодо того, чи зможуть недоліки інтернет-протоколів негативно вплинути на криміногенну обстановку в Мережі. "У будь-якому випадку в IT будь-який продукт періодично оновлюється, виходять нові версії та заплатки. Строго кажучи, навіть відомий всім мова гіпертекстової розмітки (HTML) постійно розвивається. Тобто помітного технологічного розриву між версіями протоколів, програм просто немає ", – висловив свою точку зору Григорій Васильєв, технічний директор компанії.

У компанії "Доктор Веб" правильну лінію бачать у виправленні поточних вразливостей, яка буде супроводжуватися розробкою нових протоколів, позбавлених архітектурних недоліків колишніх реалізацій.

До речі, проблема BGP вже має кілька рішень. Гарантовано запобігти маніпуляції з трафіком зміг би грамотний механізм фільтрації, проте він, як передбачається, буде дуже витратним для провайдерів. Альтернативою є сертифікація автономних систем, щоб довіра з безмежного стало розумним.

Себе показати, народ налякати

Примітно, що лише демонстрація в бойових умовах змусила весь світ говорить про BGP-ін'єкціях як про серйозну проблему. З іншого боку, правильно робити настільки серйозні "дірки" надбанням громадськості? Може бути, краще не привертати зайвої уваги.

"BGP-ін'єкції є відомою проблемою, вирішення якої якщо і є, то не в технічній галузі, – вважає Михайло Кондрашин, голова Центру компетенції Trend Micro в Росії. – Тут потрібно міняти парадигму Інтернету (наприклад, відмовитися від повної децентралізації), а значить залучати до вирішення проблеми людей, далеких від технологій. Для того, щоб цей процес, принаймні, почався, певна галас необхідна ".

Демонстрація проблем у BGP цілком допустима з юридичної точки зору. Представнику ESET вона здається проблематичною з позиції професійної етики. "Наша мета – ускладнювати життя вірусопісателямі, а не спрощувати її. З цієї ж причини ми негативно ставимося до спеціалізованих заходів, де хакери змагаються в тому, хто швидше, краще і чистіше обійде ту чи іншу захист ", – пояснив Григорій Васильєв.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*