LINUX.ORG.RU

Интернет в опасности - глобальная атака man-in-the-middle

 ,


0

0

Специалисты по безопасности, прибывшие на последнюю конференцию DefCon, рассказывают о способе тихого пассивного прослушивания или даже полного управления трафиком практически любой Интернет сети из-за уязвимости протокола BGP. Решения пока нет.

Тема прямого отношения к Linux не имеет, но, тем не менее, очень актуальна и интересна для обсуждения. Также не стоит забывать, что в сети уже немало основанного на Linux сетевого оборудования магистрального масштаба.

>>> Подробности (PDF)

★★★★★

Проверено: Shaman007 ()
Последнее исправление: Klymedy (всего исправлений: 1)

галактеко снова опасносте? btw, а решения то и не будет, пока все рутеры не научаться подписываться. и не будут отдавать траф неподписанному шлюзу.

isden ★★★★★
()

"Как пишет Wired, ранее перехватывать интернет-трафик, используя уязвимость BGP, были способны только разведывательные агентства. Они знали о недостатках протокола с 1998 года, с тех пор как эксперт по безопасности Пейтер Затко (Peiter Zatko) рассказал о ней Конгрессу и предположил, что может за полчаса нарушить работу всего Интернета, используя обнаруженную уязвимость."

Вот они тайные козыри пендосского правительства, в случае чего у нас даже не будет возможности получать новости из тырнэта не говоря о тайных переписках и.т.д. Так вот борются с "терроризмом"

anonymous
()
Ответ на: комментарий от anonymous

если я правильно помню, то: BGP - Border Gateway Protocol Протокол управления маршрутизацией в интернете

anonymous
()

>из-за уязвимости протокола BGP. Решения пока нет. там используются штатные возможности протокола

anonymous
()
Ответ на: комментарий от anonymous

> Вот они тайные козыри пендосского правительства, в случае чего у нас даже не будет возможности получать новости из тырнэта не говоря о тайных переписках и.т.д.

Фегня. Наши суровые одмины статикой всё настроят ежели чё. :)

atrus ★★★★★
()
Ответ на: комментарий от atrus

Теперь будеи документальное доказательство что под Sun-ch на ЛОРе постит Linus !!!!!!!!

anonymous
()

>Также не стоит забывать, что в сети уже не мало

"немало" здесь слитно должно писаться

//wbr, GrammarNazi

ubuNToo
()

Решение есть и называется оно IPv6 + SCTP (а не tcp).
ИМХО надо быстрее сваливать с технологий разработанных в 80х годах.

stalkerg ★★★★★
()

Любопытно.. Надо бы ознакомиться поближе.

MiracleMan ★★★★★
()

а теперь ПОДУМАЙТЕ - какие из федеральных проектов РФ - построены с применение оборудования CISO ? да практически все. с минимальными модификациями(кои не исключают)IOS-и.

p.s. и привычки ФСБ-стайл, разносить "внутреннюю сеть" и "рабочие места с доступом в Интернет" физически - строители подобных решений, к прискорбию - не имеют. а теперь подумаем - ЧТО могло быть известно американскому CIA и минэнэргии ихнему за 10 лет ? практически ВСЕ !! мы под колпаком *пошел за бутылкой водки и баяном*

p.p.s. "eavesdroppping" - это не "man in the middle" это ПОЛНЫЙ контроль над проходящим траффиком(мониторинг).

anonymous
()

Все, пойду копать землянку в глубоком лесу, а то все страшнее и страшнее жить становится.

gruy ★★★★★
()

Эта...Парни...Я тут подумал...Давайте если кто воспроизведет эту уязвимость, потом после на закупленное для этого оборудование откроем свой интернет провайдер да оператора сотовой связи если что...

anonymous
()
Ответ на: комментарий от stalkerg

> Решение есть и называется оно IPv6 + SCTP (а не tcp). > ИМХО надо быстрее сваливать с технологий разработанных в 80х годах.

Давай давай. Сваливай на урановые рудники лучше. Не порти нам генофонд.

anonymous
()
Ответ на: комментарий от anonymous

Чё-то мне сыкотно стало.

А вообще сомневаюсь я в том, что всё так просто можно взять и сломать. Не считая физического воздействия. Так что пусть не жужжат!

Irben ★★★
()

интернеты не нужны

anonymous
()
Ответ на: комментарий от anonymous

если Вы обмениваетесь внутренним конфиденциальным трафиком через чужие сети (которые его _всегда_ могли зароутить куда не надо) и не озаботились его шифрованием - кто ж Вам доктор ?

А если через свои - то Вы уж как нибудь настроите чтоб трафик шёл куда надо, а не через забугор за деньги. независимо от того что там анонсируется с наружи про Ваши сети :) имхо.

имхо максимум что плохого может быть - это DoS типа "может за полчаса нарушить работу всего Интернета, используя обнаруженную уязвимость", но это же решается легко - через те же пол часа его отрубит аплинк и связность восстановится...

Eshkin_kot ★★
()

Я чего-то не понимаю похоже? если идет речь о перехвате где злоумышленник всплывает и присылает куда-нибудь пакет вида "к google.com теперь через меня можно все роутить" так это полный баян. Не могу вспомнить где именно, но про такую уявзвимость я где-то читал лет 5 назад.

Но разве на практике так можно перенаправить роутинг? Мне казалось что роутеры провайдеров будут просто игнорировать bgp пакеты, если они не приходят 1) от тех кто с ними peer-ится 2) через соответствующие интерфейсы.

То есть описываемый взлом доступен только при участии в нем магистрального провайдера? Если рулить правилами раутинга на провайдерских роутерах так просто, почему тогда народ с двумя интернет соединениями ноет на админских форумах что никак им не настроить полноценный failover между ними? Открытый BGP бы решил проблему?

gods-little-toy ★★★
()
Ответ на: комментарий от gods-little-toy

да, решил бы. если бы CISCO позволил бы ему существовать(под давлением CIA, американский МАП - "забил болт" на ситуацию).

p.s. или его free-аналог(среди прочего, backward-compatible с обоими BGP.

p.p.s. вспомните историю с встроенной фичей eavesdroppping-а в оборудовнии Греческого оператора сотовой связи. более 8 лет неустановленные лица(активировав фичу) - мониторили телефонный траффик первых лиц - от премьер-министра до глав спецслужб.

anonymous
()
Ответ на: комментарий от anonymous

Поэтому никто не отменял шифрование в публичных сетях. А кто доверяет и сторит бизнес на открытой информации через открытый транспорт сам виноват...

anonymous
()
Ответ на: комментарий от anonymous

> вспомните историю с встроенной фичей eavesdroppping-а в оборудовнии Греческого оператора сотовой связи. более 8 лет неустановленные лица(активировав фичу) - мониторили телефонный траффик первых лиц - от премьер-министра до глав спецслужб.

так там оператор то в курсе этого был насколько я помню.

а здесь совсем другая ситуация, админы рулящие цисками имхо заметят непонятный внешний трафик. это может сработать только если трафик большой идёт, то есть у магистрала, но тогда опять вопрос - что там слушать ? всё важное через магистралов всё равно в шифрованном тунеле гоняют.

Eshkin_kot ★★
()
Ответ на: комментарий от Eshkin_kot

1. и снова неправда без ведома и бесследно(хотя фича встроенна была по закону, но выключена была). про Греческий эпизод-прецендент(еще с ТВ-сетью - ииииинтересная история была ;-P)

2. не заметят. ибо off-IOS - мониторить траффик - пользующие CISCO - не приучены. "все равно" - миф. 98% критичной информации передается в plaintext.

да и не поможет особо. даже VPN "слоистый"(over VPN and over VPN, рекомендованный).

anonymous
()

По ссылке Error 404 Not Found

Главная страница Error 404 Not Found

4.2 или лор-эффект?

anonymous
()
Ответ на: комментарий от anonymous

> да, решил бы. если бы CISCO позволил бы ему существовать(под давлением CIA, американский МАП - "забил болт" на ситуацию).

этих открытых имплементаций bgp... ровно один дохуй а закрытых еще больше (juniper, huawei, redback, alcatel, можно пролдолать долго) и чего с того?

вы презентацию вообще читали? Оба метода изложеные в презе известны давно. Этого и сами авторы не скрывают. Феерический эффект возникает при их совместном использовании, это, да. Но это всё проблема _НЕ_ПРОТОКОЛА. И _НЕ_ПРОБЛЕМА_РЕАЛИЗАЦИЙ_ЕГО. Это проблема административных процедур и энфорсмента полиси (операторы не фильтруют анонсы друг друга, а должен КАЖДЫЙ фильтровать анонсы КАЖДОГО своего клиента и пира). Проблема арбитража маршрутной информации (актуальной на 100% базы данных арбитража маршрутной информации и органа единолично отвечающего за арбитраж, увы, нет и сейчас. Нам с RIPE относительно повезло, американцам с ARIN относительно не повезло). В этом беда. А не в том, что такая гадкая циска с попустительства CIA что-то там заложила.

Все что вы выше написали, это, простите, бред.

anonymous
()
Ответ на: комментарий от anonymous

В догонку к пред. посту.

Ну то есть, что бы избавиться от этой проблемы, следует немедленно родить некий Единственный Авторитетный Источник однозначно указывающий на ориджин ВСЕХ задействванных сейчас ipv4 префиксов, и каким-то образом заставить ВСЕХ, совсем ВСЕХ (если не всех, то это бесполезно, некоторые фильтруют и сейчас, толку то) операторов анально огородиться^W^W начать фильтровать анонсы своих клиентовпиров основываясь на данных этого Единственно Верного Источника.

Как понятно, проблему представляет как первое, так и второе. Хотя и первое уже не в такой мере, как раньше.

И опять таки, CIA тут если и причастна, то это какая-то невероятная, просто невозможно сложная многоходовка. Я не верю, что человеческий разум способен на такое :)

anonymous
()
Ответ на: комментарий от anonymous

УМВР, всё есть. ДефКон на ЛОР-эффект, надеюсь, рассчитан.

drs
()
Ответ на: комментарий от Eshkin_kot

> а здесь совсем другая ситуация, админы рулящие цисками имхо заметят непонятный внешний трафик. это может сработать только если трафик большой идёт, то есть у магистрала, но тогда опять вопрос - что там слушать ? всё важное через магистралов всё равно в шифрованном тунеле гоняют.

Какой-то стремительный поток бреда

mutronix ★★★★
()

Что то слишком зачастили сообщения о уязвимостях протоколов интернета в "глобальных" масштабах, то DNS ломают, то теперь этот BGP. Вам не кажется это весьма странным? что следующее? делаем ставки. :D

anonymous
()
Ответ на: комментарий от anonymous

>p.s. и привычки ФСБ-стайл, разносить "внутреннюю сеть" и "рабочие места с доступом в Интернет" физически - строители подобных решений, к прискорбию - не имеют. а теперь подумаем - ЧТО могло быть известно американскому CIA и минэнэргии ихнему за 10 лет ? практически ВСЕ !! мы под колпаком *пошел за бутылкой водки и баяном

Секреты по Интернету ФСБ не передает.
Cпи спокойно.

srgaz
()
Ответ на: комментарий от anonymous

>вы презентацию вообще читали? Оба метода изложеные в презе известны давно. Этого и сами авторы не скрывают. Феерический эффект возникает при их совместном использовании, это, да. Но это всё проблема _НЕ_ПРОТОКОЛА. И _НЕ_ПРОБЛЕМА_РЕАЛИЗАЦИЙ_ЕГО. Это проблема административных процедур и энфорсмента полиси

С подозрением отнёсся к новости, поэтому даже читать не стал. Ваш коментарий только подтвердил мои догадки.

>операторы не фильтруют анонсы друг друга, а должен КАЖДЫЙ фильтровать анонсы КАЖДОГО своего клиента и пира


Вообще-то фильтруют, Российские магистральные провайдеры - точно. Когда делают точки обмена трафиком, тоже фильтруют анонсы друг друга. Просто обязаны фильтровать. Иначе это не интернет будет а бардак. Если не будут фильтровать, кто угодно сможет анонсировать чужие сети как свои.

morbo
()

Ой, какая новость. А мужики-то не знали...

Вообще-то, насколько я понимаю, каждый кто имеет дело с BGP в достаточной мере представляет, чем и насколько это опасно. Следовательно, новость из разряда "кто слушает интернет для чайников".

А те, кто спорит тут и доказывают, что это нереально - идут дальше админить свои локалхосты. На ЛОРе такие аналитики нужны не больше, чем те, которые меряют производительность процессоров мегагерцами.

name_no ★★
()

РЕШЕТО!!!!111одинодин

dm1024 ★★★
()
Ответ на: комментарий от gods-little-toy

>Если рулить правилами раутинга на провайдерских роутерах так просто, почему тогда народ с двумя интернет соединениями ноет на админских форумах что никак им не настроить полноценный failover между ними?

1. Народ пытается настроить это без поддержки BGP. Полноценный failover тут недостижим.
2. Народ настраивает это на BGP, но имеет дохлое железо, которое принимает только пару маршрутов по умолчанию от обоих peer'ов.

morbo
()

Уязвимость - бред. Насколько мне известно РАЙП яитса откручивает за оригинацию чужих маршрутов, что там с АФРАйпом и айрином я хз. Кроме того маршруты всегда фильтруются, и на вход и на исход. Опять же хз что там у афроидов и буржуинов :)

Новость из раздела "Интернет взломал хакер-сантехник Петрович"

Jetty ★★★★★
()
Ответ на: комментарий от anonymous

Третья мировая и конец интернета - как следствие.

Barlog_M
()
Ответ на: комментарий от anonymous

> Что то слишком зачастили сообщения о уязвимостях протоколов интернета в "глобальных" масштабах

Да нету тут никакой уязвимости. Просто пишут про кривые руки некоторых провайдеров.

init ★★★★★
()
Ответ на: комментарий от anonymous

> p.s. и привычки ФСБ-стайл, разносить "внутреннюю сеть" и "рабочие места с доступом в Интернет" физически - строители подобных решений, к прискорбию - не имеют. а теперь подумаем - ЧТО могло быть известно американскому CIA и минэнэргии ихнему за 10 лет ? практически ВСЕ !! мы под колпаком *пошел за бутылкой водки и баяном*

Откуда такая информация? Я, как лично принимавший участие в строительстве крупной сете в одном из министерств, могу сказать, что внутренние сети, и сети с доступом в Интернет физически разделены, и не имеют никаких шлюзов

anonymous
()

Боян известный. С пролетарским приветом сотрудник ВЧК 8-)

anonymous
()
Ответ на: комментарий от anonymous

> "Как пишет Wired

Wired - это что-то вроде российского ][akep'a.

mutronix ★★★★
()
Ответ на: комментарий от anonymous

>Будущее за Гипертекстовым Векторным Фидонетом.

Мицгол, залогинься! =))

anonymous
()
Ответ на: комментарий от morbo

> Вообще-то фильтруют, Российские магистральные провайдеры - точно. Когда делают точки обмена трафиком, тоже фильтруют анонсы друг друга. Просто обязаны фильтровать. Иначе это не интернет будет а бардак. Если не будут фильтровать, кто угодно сможет анонсировать чужие сети как свои.

Вы проверяли? И многие ли? Под точками обмена трафика вы что понимаете? Если msk-ix, например, то примеров, когда даже через рефлекторы msk-ix (фильтры на которых поддерживаются собственно сотрудниками msk-ix'а) кто-то выливал всем пирам какой-нибудь левоты (пример -- в начале этого года некая intelia вылила 9000 префиксов пришедших к ней с retn'а, все кто это принял, а приняли это все, кто пирился с раут рефлекторами IX'а, потому что фильтры кривы, и все кто пирится напрямую и не энфорсит фильтры (а таких там большинство, большинство фильтры для пиров не строит вообще, либо ограничивается глупыми as-path regexp), отсосали), достаточное количество.

И вы забываете, что для того, чтобы избежать описанного в тугаменте фильтровать должны все и всех. То есть вообще, все. Без исключений.

anonymous
()

Лурк на профилактике, все переместились на ЛОР?

ebonent ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.