Довірлива Мережа для недовірливих юзерів, Криптографія, Security & Hack, статті

Зовсім недавно відповідальність за небезпечний Інтернет перекладали на ледачих і безсовісних виробників ПЗ. Особливо діставалося, зрозуміло, Microsoft, Чиї дірки, проломи і уразливості справно годували вірусописьменників. В серпні все більш наполегливо зазвучала нова думка. Інтернет небезпечний за своєю природою, оскільки основоположні протоколи побудовані на ненадійних принципах кшталт довіри.

Публікація в Wired докотилася і до Рунета. На хакерській конференції DefConf присутніх був продемонстрований абсолютно легітимний спосіб прослуховування і перенаправлення інтернет-трафіку. Цей трюк експлуатує фундаментальну “вразливість” протоколу BGP, вірніше, паразитує на самій ідеї “довірчої” маршрутизації. Чудовою особливістю цього прийому є відсутність будь-яких слідів “злому”, адже зловмисники просто акуратно вводять протокол в оману.

BGP: роздолля для Сусаніних

Теоретична ймовірність BGP-ін’єкцій існувала завжди. Заслуга Антона Капели і Алекса Пілосова полягає в тому, що вони реалізували маніпуляцію на практиці і привернули увагу ЗМІ. Атака дійсно зазіхає на “святе”: експлуатує такі фундаментальні для Інтернету речі, як децентралізація і довіра.

Протокол BGP, розроблений ще в сімдесятих роках минулого століття, вирішує проблему зменшення транзитного трафіку. В архітектурі Мережі відсутня глобальний довідник, якась таблиця адрес, за допомогою якої можна було б вирахувати найкоротші маршрути. Тому провайдери змушені обмінюватися інформацією про транспортні шляхи, а також довіряти інформації, яку надають інші учасники обміну. В реаліях нинішньої Мережі це вже непростиме легковажність. Розшукуючи IP-адреса серед “чесних заяв” колег, провайдер робить вибір на користь більш вузького діапазону, маючи намір піти найефективнішим шляхом. Ось тут-то зловмисники і наносять удар нижче пояса, перехоплюючи трафік.

“Ми не зробили нічого екстраординарного, – заявив Капела в інтерв’ю Wired. – Ні уразливості, немає помилки протоколу, ніяких проблем в самому софт”. До речі, аналогічні спроби “вирубати Інтернет за 30 хвилин” робилися ще 10 років тому. Проте до останнього часу вважалося, що настільки “чисті” способи моніторингу і перехоплення трафіку доступні лише розвідувальним агентствам.

“Ситуація посилюється тим, що зараз багато операторів не обтяжують себе фільтрацією анонсів своїх же мереж, в результаті чого будь-який оператор автономної системи може зареєструвати будь-який маршрут. Дане положення справ може бути на руку кіберзлочинність “, – впевнений Євген Кузін, керівник відділу мережевих проектів компанії” Доктор Веб “.

Протоколів рано на смітник

У цьому контексті багатьом пригадується ще одна “протокольна” уразливість, про яку стало відомо в липні. Тоді загальне занепокоєння викликала система DNS, а “виявлена” діра дозволяла підміняти IP-адреси і перенаправляти користувачів на фальшиві сайти. Наскільки небезпечною є така тенденція, коли тріщини виявляються в самому фундаменті Інтернету? Може бути, вся справа в моральному старіння протоколів, створених в рамках “романтичної” концепції Мережі?

В ESET поостереглись давати довгострокові прогнози щодо того, чи зможуть недоліки інтернет-протоколів негативно вплинути на криміногенну обстановку в Мережі. “У будь-якому випадку в IT будь-який продукт періодично оновлюється, виходять нові версії і заплатки. Строго кажучи, навіть відомий всім мову гіпертекстової розмітки (HTML) постійно розвивається. Тобто помітного технологічного розриву між версіями протоколів, програм просто немає “, – висловив свою точку зору Григорій Васильєв, технічний директор компанії.

У компанії “Доктор Веб” правильну лінію бачать у виправленні поточних вразливостей, яка буде супроводжуватися розробкою нових протоколів, позбавлених архітектурних недоліків колишніх реалізацій.

До речі, проблема BGP вже має кілька рішень. Гарантовано запобігти маніпуляції з трафіком зміг би грамотний механізм фільтрації, проте він, як передбачається, буде занадто витратним для провайдерів. Альтернативою є сертифікація автономних систем, щоб довіра з безмежного стало розумним.

Себе показати, народ налякати

Примітно, що лише демонстрація в бойових умовах змусила весь світ говорить про BGP-ін’єкціях як про серйозну проблему. З іншого боку, правильно робити настільки серйозні “дірки” надбанням громадськості? Можливо, краще не привертати зайвої уваги.

“BGP-ін’єкції є відомою проблемою, вирішення якої якщо і є, то не в технічній галузі, – вважає Михайло Кондрашин, глава Центру компетенції Trend Micro в Росії. – Тут потрібно міняти парадигму Інтернету (наприклад, відмовитися від повної децентралізації), а значить залучати до вирішення проблеми людей, далеких від технологій. Для того, щоб цей процес, по крайней мере, розпочався, певна галас необхідна “.

Демонстрація проблем в BGP цілком допустима з юридичної точки зору. Представнику ESET вона здається проблематичною з позиції професійної етики. “Наша мета – ускладнювати життя вірусописьменниками, а не спрощувати її. З цієї ж причини ми негативно ставимося до спеціалізованих заходів, де хакери змагаються в тому, хто швидше, краще і чистіше обійде ту чи іншу захист “, – пояснив Григорій Васильєв.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*