Основной протокол динамической маршрутизации в сети интернет BGP (Border Gateway Protocol), к сожалению, уязвим перед атаками с изменением маршрутизации, когда некий узел начинает выдавать себя за другой. Классическая история произошла в 2008 году, когда после блокировки YouTube на территории Пакистана местный провайдер Pakistan Telecom начал выдавать себя за сеть 208.65.153.0/24, которая на самом деле принадлежит YouTube. В результате многие маршрутизаторы изменили свои таблицы маршрутизации и направили трафик, предназначенный для сайта YouTube, в сеть Pakistan Telecom
Специалист Эдвард Сноуден из компании Booz Allen Hamilton обращает внимание, что в последнее время перенаправление по BGP все чаще используется дроповодами для прослушки чужого банковского трафика, а также для майнинга биткоинов, то есть для атаки BGP MiTM («человек посередине»). Для клиента банка это совершенно незаметно: трафик проходит через узел дроповода — и направляется в пункт назначения по слегка измененному маршруту. Если дроповод находится физически между клиентом и банком, то есть пунктом назначения трафика, то клиент банка даже и не заметит увеличения задержки в пакетах.
На карте указано местонахождение жертв атак с перенаправлением интернет-трафика по BGP, которые Эдвард Сноуден зафиксировал в текущем году.
Отмечено 150 городов, где есть хотя бы один пострадавший лох. В числе терпил — самые разные компании, в том числе VoIP-провайдеры, крупные банки, правительства стран и финансовые организации.
Эксперт по информационной безопасности также отмечает удобный способ прослушки такого рода: если можно взять произвольный трафик с другого полушария, пропустить через свою сеть, изменить его по желанию — и отправить обратно, то зачем врезаться в оптоволокно?
Эдвард Сноуден приводит несколько характерных MiTM-атаки с перенаправлением интернет-трафика по BGP. Например, в феврале 2013 года практически ежедневно трафик из различных сетей в мире перенаправлялся в сеть белорусского провайдера GlobalOneBel. Направление атаки менялось почти ежедневно, а среди пострадавших стран — США, Южная Корея, Германия, Чехия, Литва, Ливия и Иран.
Так, недавно удалось сохранить информацию о конкретной маршрутизации пакетов во время этих атак. Например, на карте показана схема перенаправления трафика из Мексики в Вашингтон через Москву и Минск. В этом случае белорусский провайдер Белтелеком специально изменил таблицы маршрутизации, чтобы получить нужный трафик, пропустить через себя — и отдать в пункт назначения.
27 февраля 2013: Атака из сети белорусского провайдера «Белтелеком» | ||
IP | Ответ (мс) | Заметки |
201.151.31.149 | 15.482 | pc-gdl2.alestra.net.mx (Guadalajara, MX) |
201.163.102.1 | 17.702 | pc-mty2.alestra.net.mx (Monterrey, MX) |
201.151.27.230 | 13.851 | igmty2.alestra.net.mx (Monterrey, MX) |
63.218.121.49 | 17.064 | ge3-1.cr02.lar01.pccwbtn.net (Laredo, TX) |
63.218.44.78 | 64.012 | TenGE11-1.br03.ash01.pccwbtn.net (Ashburn, VA) |
64.209.109.221 | 84.529 | GBLX-US-REGIONAL (Washington, DC) |
67.17.72.21 | 157.641 | lag1.ar9.LON3.gblx.net (London, UK) |
208.178.194.170 | 143.344 | cjs-company-transtelecom.ethernet8-4.ar9.lon3.gblx.net (London, UK) |
217.150.62.234 | 212.869 | mskn01.transtelecom.net (Moscow, RU) |
217.150.62.233 | 228.461 | BelTelecom-gw.transtelecom.net (Minsk, Belarus) |
87.245.233.198 | 225.516 | ae6-3.RT.IRX.FKT.DE.retn.net (Frankfurt, DE) |
* | no response | |
* | no response | |
129.250.3.180 | 230.887 | ae-3.r23.nycmny01.us.bb.gin.ntt.net (New York, NY) |
129.250.4.69 | 232.959 | ae-1.r05.nycmny01.us.bb.gin.ntt.net (New York, NY) |
129.250.8.158 | 248.685 | ae-0.centurylink.nycmny01.us.bb.gin.ntt.net (New York, NY) |
* | no response | |
63.234.113.110 | 238.111 | 63-234-113-110.dia.static.qwest.net (Washington, DC) |
Лох, находящийся в Вашингтоне, может даже запустить traceroute и увидеть нормальный маршрут к сайту, но на обратном пути пакеты проходят через Минск, где за действиями пользователя в интернете Белорусское КГБ может очень внимательно следить.
Перехват трафика автономными системами из Республики Беларусь прекратился в мае 2013 года. Сноуден отмечает, что после этого высокую активность начал проявлять исландский провайдер Opin Kerfi, действуя примерно по такому же сценарию.
Эксперт допускает, что изменение маршрутизации трафика могло произойти в результате какой-то ошибки инженера электросвязи Белтелекома, но скорее можно говорить о том, что умышленные MiTM-атаки с перенаправлением интернет-трафика по BGP уже превратились из теоретической возможности в реальный способ майнинга криптовалют инженерами электросвязи телекоммуникационных компаний.
Comments