Sep 9, 2024

ABD yetkilileri internetin güvensiz yapıştırıcısını düzeltmenin zamanının geldiğini düşünüyor: Evet, BGP

Beyaz Saray Salı günü, özellikle Sınır Geçidi Protokolü (BGP) olmak üzere internet yönlendirmesinin zayıf güvenliğini güçlendirmeyi umduğunu belirtti. BGP, bildiğimiz haliyle interneti bir arada tutar. İnternet trafiğinizin, birlikte interneti oluşturan otonom sistemler veya AS'ler olarak bilinen ağlar arasında izlediği rotaları yönetmek için kullanılır. Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD) tarafından bugün yayınlanan İnternet Yönlendirme Güvenliğini Geliştirme Yol Haritası'nda belirtildiği gibi, BGP güvenlik düşünülerek tasarlanmamıştır.

BGP yakında daha güvenli hale gelecek

"Başlangıçta tasarlandığı ve bugün yaygın olarak kullanıldığı haliyle, BGP şu anda karşı karşıya olduğumuz riskler için yeterli güvenlik ve dayanıklılık özellikleri sunmuyor," diyor rapor [PDF]. "Temel güvenlik açıkları hakkındaki endişeler 25 yıldan uzun süredir dile getiriliyor."

BGP, trafik yolu değişikliğini duyuran uzak bir ağın bunu yapma yetkisine sahip olup olmadığını kontrol etmez. Ayrıca ağlar arasında değiştirilen mesajların gerçek olup olmadığını doğrulamaz veya yönlendirme duyurularının komşu ağlar arasındaki iş politikalarını ihlal edip etmediğini kontrol etmez. Sonuç, Pakistan'ın 2008'de YouTube trafiğine müdahale ettiği veya Rusya'nın 2022'de Ukrayna'yı işgal ederken Twitter trafiğini sınırlamak için BGP kusurlarından yararlandığı gibi uzun bir BGP rotası kaçırma geçmişi oldu.

"Rota kaçırmalar kişisel bilgileri ifşa edebilir; hırsızlığa, gaspa ve devlet düzeyinde casusluğa olanak sağlayabilir; güvenlik açısından kritik işlemleri bozabilir; ve kritik altyapı operasyonlarını aksatabilir" diyor rapor. "Çoğu BGP olayı kazara gerçekleşse de kötü niyetli aktörler konusundaki endişe bu sorunu ulusal güvenlik önceliği haline getirdi."

Haziran ayında, ABD Adalet Bakanlığı ve Savunma Bakanlığı, iletişim kurumunun güvenli internet yönlendirmesini inceleme kararıyla ilgili olarak FCC'ye [PDF] yazdı. BGP risklerini ele alma ihtiyacını onaylayan DoJ ve DoD, China Telecom Americas'ın (CTA) 2010, 2015, 2016, 2017, 2018 ve 2019'da Amerikan ağ trafiğini Çin'e göndermek için hatalı trafik yönlendirmesi reklamı yapma biçimine işaret etti. CTA'nın FCC lisansı 2021'de iptal edildi. Bu riskleri azaltmak için kullanılabilen bir kriptografik kimlik doğrulama şeması var: Rota Kaynağı Doğrulaması (ROV) ve Rota Kaynağı Yetkilendirmesi (ROA) içeren Kaynak Genel Anahtar Altyapısı (RPKI). Ancak bu güvenlik mekanizması kusursuz değil ve evrensel olarak da uygulanmıyor.

Beyaz Saray'ın yol haritasına göre Avrupa'da BGP rotalarının yaklaşık %70'i ROA'lar yayınladı ve ROV geçerli. Başka yerlerde ise benimseme daha düşük. ABD'de bu oran yalnızca %39'dur çünkü Amerikan İnternet Numaraları Kaydı (ARIN) tarafından denetlenen IP alanı Avrupa veya Asya'dan daha büyük ve eskidir ve ABD hükümeti RPKI benimsemesinde özel sektörün gerisinde kalmaktadır. ONCD yol haritası, ABD kamu ve özel sektörlerinde RPKI'nin benimsenmesini hızlandırmayı amaçlamaktadır.

Beyaz Saray Ulusal Siber Direktörü Harry Coker, Jr. yaptığı açıklamada, "İnternet güvenliği göz ardı edilemeyecek kadar önemlidir, bu nedenle Federal hükümet, kurumlarımız tarafından BGP güvenlik önlemlerinin benimsenmesinde hızlı bir artış için baskı yaparak örnek teşkil etmektedir" dedi. FCC patronu Jessica Rosenworcel, yol haritasının, telekom kurumunun internet servis sağlayıcılarının BGP güvenliğini ele alan bir risk yönetim planı hazırlamasını ve büyük telekom firmaları için üç aylık kamu raporları yayınlamasını gerektiren önceki kural koymasını tamamladığını söyledi.

No comments:

Post a Comment

Процессинг с майнинга или работаем с криптой без вложений

     За последние пару лет развелось много всяких биткоин-проектов, обещающих просто космические проценты по вкладам, которые ничем и ни кем...

Search This Blog