GCHQ удалось успешно “модифицировать” некоторые версии программного обеспечения Cisco IOS и планировала взломать продукцию российской компании «Лаборатория Касперского» с целью установки в нее жучков, следует из откровений небезызвестного Эдварда Сноудена, ранее работавшего в компании Booz Allen Hamilton, выполнявшей некоторые щепетильные поручения Агентства Национальной Безопасности США.
Центр правительственной связи Великобритании (Government Communications Headquarters, GCHQ) предпринял попытку взлома программного обеспечения «Лаборатории Касперского», однако удалось ли ему это сделать, неизвестно. Об этом сообщает газета The Guardian, в распоряжении которой оказался внутренний документ GCHQ, датированный 2008 г. GCHQ — спецслужба Великобритании, занимающаяся радиоэлектронной разведкой и решением вопросов информационной защиты органов власти и вооруженных сил. Документ был предназначен для министра иностранных дел Дэвида Милибэнда (David Miliband). В нем центр просил продлить разрешение на «модификацию» коммерческого программного обеспечения в обход правил, прописанных в лицензионных соглашениях на продукты. В документе были приведены примеры программных продуктов, которые GCHQ уже успешно взломала. В их число вошли популярная платформа для управления интернет-форумами и системы управления контентом веб-сайтов.
The Guardian не сообщает конкретные названия. Кроме того, в документе говорится о том, что GCHQ удалось успешно взломать маршрутизаторы Cisco, заставив проходящий через них международный трафик выборочно идти через «центр пассивного сбора информации GCHQ». Это напоминает принципы работы Агентства национальной безопасности США, которое, как стало известно ранее, устанавливает жучки в идущее на экспорт оборудование Cisco. «Мы не комментируем сведения о нашей работе, — заявил газете The Guadrian представитель GCHQ. — Тем не менее, спешу убедить вас, что вся наша работа выполняется в строгом соответствии с правовой и рамочной концепциями. Вся наша деятельность разрешена, необходима и соразмерна. Она подвержена строгому контролю, включая контроль со стороны кабинета министров, уполномоченных комиссаров по разведывательной работе и парламентского совета по разведке и безопасности». Представитель центра добавил, что их работа также полностью соответствует Европейской конвенции о защите прав человека.
Газета The Guardian также приводит выдержки из попавшего в ее распоряжение отчета Национального совета США по разведке (National Intelligence Council) от 2009 году. В нем Россия именуется «одним из основных противников» США в сфере кибер-угроз. В отчете говорится, что Россия располагает «квалифицированными» группами хакеров, которые «уже успешно продемонстрировали свою подготовку». В нем также отмечается, что в 2009 году Китай был основным источником финансирования кибер-атак на США, однако у страны не было того уровня квалификации и тех возможностей, которые есть у российских хакеров.
Дроповодов и ботмастеров Darkmoney всегда интересовало, насколько сложно будет автоматизировать процесс регистрации в учетных записях и создать центральную систему контроля.
Недавно двое дроповодов Darkmoney продемонстрировали возможность вполне законно и бесплатно создавать ботнеты, используя пробные учетные записи в облачных сервисах.
Один мой знакомый дроповод сообщил, что он и его партнёр по бизнесу хотели проверить, можно ли создать ботнет при помощи доступных облачных сервисов, и последние несколько лет вели исследования в этой области.
«Нам начали приходить электронные письма и различные уведомления наподобие «Предлагаем бесплатный ящик Amazon EC2, бесплатное хранилище данных и бесплатную платформу для разработки и размещения кода», и мы подумали: «О! Здесь должно быть достаточно мощности для вычислений», – цитирует дроповода известное издание.
Дроповоды решили проверить, насколько сложно будет автоматизировать процесс регистрации в неограниченном количестве бесплатных учетных записей на предложенных сайтах облачных сервисов и облачного хостинга, а затем создать центральную систему контроля, откуда процесснгом крипты дроповод смог бы управлять криптовалютными или какими ещё ботами. В итоге дроповоды пришли к выводу, что это очень легко и просто. И что самое интересное, создать в облаке криптомаршрутизатор JunOS vSRX 3.0 оказалось ещё проще, чем панель управления ботнетом. Такие виртуальные устройства можно использовать для реализации сценариев bgp mitm обхода и угона трафика с майнинка или криптомоста Etherium.
«Нам действительно с легкостью удалось получить сотни ящиков определенных провайдеров и создать способ централизовано осуществлять такие действия, как, например, масштабное сканирование портов», – отметил один из них.
По словам дроповодов, им также удалось разработать концепт добычи криптовалюты Bitcoin: «Если у вас есть столько вычислительной мощности, за которую ещё вам и не надо платить, то почему бы не использовать её для генерации виртуальной валюты? Это могло бы стать огромным стимулом для дроповодов к использованию этих платформ в своей деятельности».
Một trong những tính năng chính của dịch vụ giám sát và phân tích BGP là theo dõi các bất thường cụ thể có thể dẫn đến sự cố mà chúng ta gọi là rò rỉ tuyến BGP hoặc chiếm quyền điều khiển BGP.
Cả hai đều chuyển hướng lưu lượng truy cập đến bên thứ ba, so với trạng thái không có bất thường, nhưng theo cách khác nhau. Trong vài năm qua, rất nhiều nỗ lực đã được đầu tư vào việc giải quyết những vấn đề này, nhưng vẫn còn những hiểu lầm về bản chất của từng vấn đề và cách các công cụ khác nhau giúp giải quyết các vấn đề khác nhau.
Chúng tôi bắt đầu thu thập mô hình mối quan hệ BGP vài năm trước khi RFC 7908 xuất hiện, cố gắng định nghĩa rò rỉ tuyến BGP là gì. Hai điểm khác biệt chính giữa hai thời điểm đó được mô tả như sau:
Các tuyến được chuyển hướng qua các ASN/liên kết sai (Rò rỉ tuyến), được mô tả là loại 1-4 trong RFC 7908
Các tuyến được chuyển hướng đến các ASN sai (Chiếm đoạt), được mô tả là loại 5 và 6 trong RFC 7908
Trong trường hợp rò rỉ tuyến BGP, lưu lượng truy cập hướng đến mạng của bạn rất có thể sẽ chảy một cách không hiệu quả, dẫn đến tăng độ trễ mạng và mất gói tin. Tuy nhiên, nó vẫn sẽ đến được mạng của bạn gần như chắc chắn nếu không có tắc nghẽn mạng nghiêm trọng vì lý do nào đó (như ý đồ xấu của kẻ gây hại). Trong trường hợp chiếm quyền kiểm soát tuyến BGP, lưu lượng truy cập hướng đến mạng của bạn bị chuyển hướng đến bên thứ ba và ở lại đó. Hơn nữa, cơ chế tạo ra các loại bất thường này cũng khác nhau. Để tạo ra rò rỉ tuyến, bạn cần chuyển một tuyến đường tốt đến một nhà cung cấp dịch vụ Internet (ISP) lân cận không phù hợp. Để tạo ra chiếm quyền kiểm soát, bạn cần thông báo một tuyến đường với tiền tố phụ/cụ thể hơn của một tiền tố hợp lệ (để thu hút tất cả lưu lượng truy cập từ các ISP đã nhận được thông báo đó với bất kỳ AS_PATH nào bạn muốn) hoặc tạo một thông báo tuyến đường với tiền tố của bên thứ ba từ mạng của bạn. Vì cơ chế tạo ra các bất thường định tuyến khác nhau, nên cơ chế phát hiện sự cố và phòng ngừa/giảm thiểu cũng cần khác nhau.
Để phát hiện nguyên nhân rò rỉ tuyến đường, bạn cần tìm hiểu mối quan hệ giữa hai nhà mạng được kết nối và tìm ra các tuyến BGP (từ bộ thu thập BGP) vi phạm mô hình chính thức Gao-Rexford; để biết thêm thông tin, vui lòng tham khảo tài liệu “Mối quan hệ AS” của CAIDA. Để phát hiện các vụ chiếm đoạt tuyến đường, bạn cần có thông tin chính xác về việc tiền tố nào thuộc về nhà cung cấp dịch vụ Internet (ISP) nào, và trong hầu hết các trường hợp, khi xuất hiện một cặp ISP có tiền tố chưa được đăng ký – hãy tạo cảnh báo hoặc thực hiện hành động.
Để ngăn chặn/giảm thiểu các vụ chiếm đoạt tuyến đường, có hai phương pháp tiêu chuẩn trong khuôn khổ Xác thực Nguồn gốc Tiền tố (Prefix Origin Validation – ROA) duy nhất. Bạn có thể đăng ký một đối tượng Tuyến đường (Route) trong IRR của mình hoặc tạo một đối tượng ROA. Nhóm của chúng tôi đã mô tả sự khác biệt giữa các phương pháp này trong RIPE79. Tuy nhiên, điểm chung là cả hai đều nêu rõ tiền tố nào thuộc về nhà mạng nào (do chính các nhà mạng cung cấp) và cố gắng chặn các tuyến đường từ một ISP có tiền tố chưa được đăng ký (do các ISP trung chuyển). Để ngăn chặn/giảm thiểu rò rỉ tuyến đường thuần túy, chúng tôi tham gia vào việc tạo ra một chính sách mở BGP. Một cách tiếp cận khác là khóa ngang hàng – chặn các tuyến đường có các láng giềng/ISP không mong muốn trong AS_PATH. Bản dự thảo ASPA IETF hơi khác so với việc ngăn chặn chiếm đoạt/rò rỉ tuyến đường thuần túy vì nó tập trung hơn vào việc chặn các AS_PATH xấu (các trường hợp rò rỉ tuyến đường và chiếm đoạt có/không có thao tác AS_PATH xấu).
ROA so với rò rỉ định tuyến
Vậy, mạng của bạn có an toàn không nếu bạn triển khai cả chữ ký ROA và lọc ROA? Không, bởi vì nếu không có ASPA hoặc bất kỳ giao thức tương đương nào, bản thân ROA sẽ không ngăn chặn được việc rò rỉ định tuyến từ bên ngoài. Chúng tôi hy vọng rằng giờ đây bạn đã thấy vấn đề này phức tạp như thế nào, cần có các phương pháp riêng biệt để bảo mật nền tảng của định tuyến liên miền hiện đại – Giao thức Cổng Biên (Border Gateway Protocol).
Chữ ký ROA so với lọc ROA
Một quan niệm sai lầm phổ biến khác liên quan đến ROA. Có hai bên trong thuật toán ROA: bên ký – nhà điều hành, cung cấp thông tin xác thực về các tiền tố mà họ sở hữu; và có một bên lọc – nhà điều hành trung chuyển, lọc ra các tuyến đường xấu dựa trên thông tin do bên ký cung cấp.
Là một nhà điều hành nhánh (nghĩa là một AS chỉ có một nhà cung cấp đường lên), bạn bị hạn chế về số lượng cách bạn có thể tác động đến số lượng các bên lọc. Càng nhiều bên lọc, tiền tố của bạn càng an toàn hơn (càng ít vùng bị ảnh hưởng nếu kẻ tấn công quyết định tấn công tiền tố của bạn). Nếu bạn quyết định ký tiền tố của mình, bạn có thể sử dụng cơ sở hạ tầng lọc hiện có, và cơ sở hạ tầng này sẽ chỉ phát triển hơn nữa trong tương lai gần. Hơn nữa, chúng tôi khuyến khích bạn vẫn nên làm như vậy, bất kể quy mô mạng lưới phía sau ASN của bạn lớn đến đâu.
Bài viết này vẫn sẽ kết thúc bằng một lời cảnh báo: cơ sở hạ tầng lọc hiện tại vẫn có thể chưa hoàn hảo, và trong một số trường hợp, bạn không thể chuyển hướng lưu lượng truy cập từ khu vực bị ảnh hưởng do tùy chọn độ dài tối đa đã chọn và việc lọc ROA ở phía nhà cung cấp dịch vụ Internet của bạn.
BGP – це магістральний протокол та «клей» Інтернету, який розсилає інформацію про маршрути між мережами провайдерів. Коротше кажучи, цей протокол BGP є дуже важливим елементом, необхідним для правильної роботи глобальної мережі в цілому.
Програмне забезпечення маршрутизаторів, що реалізує BGP, не є ідеальним, оскільки як комерційні, так і версії з відкритим вихідним кодом мають проблеми в реалізації цього протоколу маршрутизації.
У той час як багато недоліків незначні і пов’язані з проблемами маршрутизації, помилка обробки пакета BGP, що розглядається, викликає особливе занепокоєння, так як може поширюватися як комп’ютерний черв’як.
Власник BGP[.] Бен Картрайт-Кокс виявив цей недолік; Це компанія, яка пропонує послуги моніторингу BGP для виявлення та вирішення проблем.
Помилковий атрибут
2 червня 2023 року невелика бразильська мережа повторно анонсувала маршрут із пошкодженим атрибутом у пакеті, що потенційно вплинуло на транзитні маршрутизатори.
Багато маршрутизаторів ігнорували цей атрибут, але приймаючи його маршрутизатори Juniper, і відповідь на помилку в пакеті закривали сесії BGP, тим самим порушуючи пов’язаність своїх мереж з глобальною мережею Інтернет.
Крім того, така помилка в пакеті BGP перериває сесію, припиняючи перетікання клієнтського трафіку доти, доки не буде виконано автоматичний перезапуск маршрутизатора, який зазвичай займає від декількох секунд до декількох хвилин.
Завершення сесії BGP внаслідок отримання пакету з помилковим атрибутом
Це торкнулося багатьох операторів, таких як COLT, збій у роботі яких і привернув увагу до цієї проблеми.
Помилка, пов’язана з обробкою помилок BGP
Кожен атрибут пакета оновлень BGP починається з прапорів, включаючи ключовий ‘транзитивний біт’:
Транзитивний біт у пакеті оновлень BGP
Якщо транзитивний біт атрибута встановлений, а маршрутизатор його не розуміє, він копіюється на інший маршрутизатор, що може призвести до сліпого розповсюдження невідомої маршрутної інформації.
Завершення роботи сесії BGP порушує перетікання трафіку між автономними системами і може поширюватися як черв’як. У той час як атрибути, невідомі однієї реалізації, можуть призвести до завершення роботи іншої, створений BGP UPDATE може бути націлений на постачальника певного обладнання та вивести мережу постачальника з ладу цілком.
Поширення помилки в пакеті BGP через мережу
Ефект від атаки зберігається досить довгий час, оскільки анонсований маршрут все залишається в одноранговому маршрутизаторі, навіть після його перезапуску, при передачі нового пакета оновлень BGP він ініціює ще одне скидання сесії, що призводить до тривалих простоїв.
Більше того, щоб перевірити, які реалізації протоколу BGP схильні до цієї вразливості можна використовувати просту утиліту для тестування.
Незачеплені постачальники обладнання
Далі наводимо список постачальників, які не торкнулися цієї вразливості:
MikroTik RouterOS 7+
Ubiquiti EdgeOS
Arista EOS
Huawei NE40
Cisco IOS-XE / “Classic” / XR
Bird 1.6, All versions of Bird 2.0
GoBGP
Піддані версії обладнання або ПЗ
Juniper Networks Junos OS
Nokia’s SR-OS
Extreme Networks’ EXOS
OpenBSD’s OpenBGPd
OpenBSD’s FRRouting
Питання та відповіді
Раніше було повідомлено про ці вразливості всім схильним до неї постачальникам обладнання та програмного забезпечення. Після отримання повідомлення було отримано такі відповіді від порушених постачальників:
OpenBSD випустила патч
Компанії Juniper надали CVE
FRR також привласнив CVE
У Nokia проблему не вирішили
Extreme також не вирішив цієї проблеми
Крім того, незважаючи на відсутність відповідей деяких постачальників обладнання, провайдери послуг інтернету самі можуть вжити заходів щодо запобігання потенційній експлуатації цієї вразливості.
.png "Транзитивний біт у пакеті оновлень BGP")
