Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Az Internet eltérítése

2008.08.27. 12:06 | buherator | 22 komment

Anton "Tony" Kapela és Alex Pilosov az idei DefConon először demonstrált a nagy nyilvánosság számára egy eddig csak elméletben létező támadási formát, melynek segítségével elvileg az internet (pontosabban egy-egy internetszolgáltató) bármely felhasználójának forgalmazása lehallgatható. A módszer nem használ ki semmilyen szoftver vagy protokollhibát, egyszerűen a Border Gateway Protocol, az internet alapvető útválaztó protokolljának jóhiszeműségére épít.

A BGP segítségével határozható meg, hogy két autonóm rendszer (AS - tipikusan egy internetszolgáltató által kezelt címtartomány) között melyik a leghatékonyabb útvonal. Az AS-ek meghírdethetnek bizonyos címtartományokat, amelyekre képesek továbbítani a kéréseket. Egy kérés afelé az AS felé fog továbbítódni, amelyik a legszűkebb, a cél címét tartalmazó tartományt hírdette meg. Logikusan, egy kellően szűk tartomány meghírdetése esetén a választott címek felé irányuló kérések mind a mi hálózatunkon fognak keresztülmenni, ahol könnyedén bele tudunk avatkozni a forgalomba.

Ez a módszer már hosszú ideje ismert volt, Mudge, az egykori L0pht hackercsapat jeles képviselője már '98-ban egy hasonló elméleti támadásra alapozva kijelentette, hogy 30 perc alatt működésképtelenné tudná tenni az Internetet. Az ilyen jellegű támadási kísérletekre azonban eddig mindig hamar fény derült, mivel a módosult útvonalon közlekedő kérések egyszerűen elvesztek (legutóbb Pakisztán véletlenül maga felé irányította az összes YouTube-ra irányuló forgalmat, aminek persze nem lett jó vége).

Az újdonság most abban rejlik, hogy a kutatók módszerével az egész támadás észrevétlenül kivitelezető: a páros sikeresen eltérítette a las vegasi DefCon hálózatában közlekedő információkat saját, New York-ban található hálózatukba, majd vissza vegasba anélkül, hogy ezt bárki is észrevette volna. Az újítás lényege, hogy néhány BGP routert ráveszünk, hogy utasítsa el az eltérülést okozó címtartomány-bejelentéseket, majd az ezen routerek által képviselt AS-eken keresztül továbbítjuk a lehallgatott adatokat mintha mi sem történt volna.

A támadás kivitelezéséhez szükség van egy megfelelő hálózati központban elhelyezett BGP routerre, így a potenciális támadók köréből kiszorulnak az egyszeri hackerek, és inkább az ISP-k, kormányügynökségek és nagyobb vállalatok maradnak a palettán, az egyszerű felhasználók forgalmának lehallgatása helyett ipedig nkább az (ipari)kémkedés illetve szabotázs kerül előtérbe.

A védekezéshez az internetszolgáltatóknak egymással szorosan együttműködve szigorú szűrőfeltételeket kellene életbe léptetniük, hogy ne tudjon akárki tetszőleges BGP üzeneteket küldeni, vagy át kellene térni a nyilványos kulcsú tanúsításon alapuló SBGP protokollra, ami viszont a BGP routerek gyártóitól kívánna meg további fejlesztéseket.

A Wired cikke alapján.

Címkék: internet defcon bgp

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://google.com 2008.08.27. 12:15:17

Na igen, de hat ez ismert volt eddig is. Ez nem bug, hanem feature. Iszonyat sok eroforrast felemesztene az alairasosdi. Mellesleg meg nem tul valoszinu hogy mezei haxorok BGP-routerrel rendelkeznek, ehhez tenyleg ISP-nek kell lenni es az rohadt sokba kerul. Ebbol a szempontbol a dns hiba sokkal kritikusabb volt mert azt barhonnan meg tudod csinalni, nem kell hozza semmi...

synapse

Juzo 2008.08.27. 12:30:08

SSL és onnan már nem hallgatnak le semmit, tehát bizalmasságot nem rontja.
A rendelkezésre állás meg eddig is támadható volt, egy sima ddossal is.

Szóval ez is csak egy támadás a sok közül, nem sokkal jobb az eddigieknél...

Beeela 2008.08.27. 12:30:24

Mert a BGP routerek mind sebezhetetlenek, es nem lehet rajuk bemenni holmi szoftverhibaval, elcseszett acl-ek reven stb..
Nyilvan szukebb reteg aki erre kepes, de sajnos nem mondanam lehetetlennek..

vicsigabi · http://vicsigabi.blog.hu 2008.08.27. 12:42:56

kérlek szépen, hír, hosszú í, de meghirdet már rövid!

Mellékesen semmit nem ér az egész, ha titkosított adatokat küldözgetünk. Elkapni most is el lehet mindent, ami átmegy a hálón, megfejteni, megérteni viszont már nehezebb dió!

RogerMap 2008.08.27. 12:59:35

Juzo: akkor még nem hallottál a MITM-ről
itt (is) utána olvashatsz en.wikipedia.org/wiki/Man-in-the-middle_attack
És az SSL sem ér semmit....

wagabound 2008.08.27. 13:20:49

Nem nehezebb dió, hanem keményebb. Ha már az i és az í... :-))

Möhhhh 2008.08.27. 13:30:34

Az SSL példa a wiki-cikkben hogy mi védi ki, mi tartalmaz cél-ellenőrzést. Így már csak az hallgatható le hogy h kivel kommunnikálsz, de persze arra is a proxyk megoldást kínálnak.

heliox 2008.08.27. 13:47:58

RogerMap: olvass tovább! Tanulj még egy kicsit, és ne beszélj butaságokat. Konkrétabban:

>Alice, believing this public key to be Bob's

na ez nem megy SSL-lel. Alice észre fogja venni, hogy a cert nem Bob nevére szól, és nem épül fel a megszakított SSL kapcsolat.

Juzo 2008.08.27. 14:12:47

RogerMap:
Az SSL végponttól végpontig véd. Tehát nem nagyon tudsz közbeékelődni.

És amúgy de, hallottam a MIM-ről, sőt a diplomamunkámban is szerepel:)

viktor134 2008.08.27. 14:21:07

juzo:
az SSL csak annyira véd amennyire erős vmelyiky végpont, ha debianos ssl van a szerveren, semmit, ha self signed ssl van a szerveren, közel semmit, és még mindig ott a keylogger a user gépén, mert kmk.blog.hu -zik. :)

lbalazs 2008.08.27. 14:57:05

Hogy is van ez?
Ha igy elteritem egy AS-be iranyulo forgalmat, akkor a befele iranyt teritem el. A vissza iranyt nem. Tehat ha mondjuk kemkedni akarok az IBM utan, akkor az IBM AS-et megprobalom az en Routeremre iranyitani. Ha ez sikerul, akkor mindenki rajtam keresztul kuldi majd a csomagjait az IBM-nek. De az IBM kifele nem rajtam keresztul kuld, mert az meg a masik AS-hez vezeto utvonalom kuldi majd a csomagot. Az AS sajat routeret nem lehet felrevezetni. Igy tehat a bemeno forgalmat tudom lehalgatni. Abban nem vagyok biztos, hogy mi tortenik a befele nyitott kapcsolatokban a visszafele kuldott csomagokkal.
Viszont az biztos, hogy a BGP updateket logoljak. A sajat AS-ed updatjet is lathatod ha vigyelsz. Persze figyelni kell. De kesobb is visszakeresheto, hogy ki volt, az elterito. Milyen kormanyugynoksegekre gondolhatunk itt? Az USA ugynoksegei bent vannak az intrenet gerincen az USAban, es az NIIF Core-ban is. Ha itt bent vannak mashol is bent vannak. Nekik nem kell trukkozniuk. Tehat valamilyen masik orszagrol lehet szo, de egy ilyen elterites hamar kiderul, es konnyu levagni az egesz orszagot a netrol.
Rosszul latok valami?

Adabsurdum 2008.08.27. 15:19:55

Egyre több program érhető el online változatban is, ám a webes operációs rendszer még várat magára

zona.hu/article/1251/nagy-kockazat-az-eletunket-tesszuk-fel-a-netre.html

movhu 2008.08.27. 15:43:03

Nem államtitok, hogy az összes magyar internetszolgáltatónak együttműködési kötelezettsége van a NBH-val. Ebbe bele tartozik az is, hogy a szolgáltatónak olyan eszközöket kell elhelyezni a rendszerébe, amivel az ő közreműködése nélkül "lehallgatható" egy előfizető forgalma. Ez mai napi valóság Magyarországon is, tehát itt nincs jelenrősége.
A felvetés meg amúgy elméleti, mert a fent említett logokon kívül most a legtöbb szolgáltató amúgy is észreveheti, ha figyle, hogy plusz AS-ek kerültek a BGP útvonalba.

kiskukac 2008.08.27. 16:47:12

...hát igen. Nem kellett a bunkó amiknak az ISO/OSI based network... mert a TCP/IP az ó'csóbb vót'. Nesztek vazze... most cumizzatok.

Csakhogy mindenki cumiz.

Ohh nagy-nagy guruk... UNIX (=Wartburg) és Windows (=Trabant) szakértők... ki hallott már olyan operációs rendszerről, ahol a systems-administrator sem tehet meg mindent ? (Megtehet. De mielőtt felemel egy védelmet, annak ténye elsuhan egy gépre, amit nem ő adminisztrál :)

Íme, az gányolás "diadala". Mi a legolcsóbb ? AMi a legdrágább. Hosszú távon...

Békés boldog délutánt mindenkinek :)

Jonas-R 2008.08.27. 17:15:00

Muhaha.. ez se mai, 3 éve kis dobozkákat szerelgettek fel mindenféle NBH-s arcok az ISPkhez, vajh mi lehett.....

untergehen 2008.08.27. 17:25:18

Amiota olvasom a buherablogot egyre inkabb kezdek meggyozodni arrol, hogy valoban minden feltorheto. Amit pedig a nyilvanossag ele tarnak, azt mar reg hasznaljak a titkosg*cik.

Ha pedig nem ugy lenne, ahogy emlitettem, ez a modszer csak megkonnyiti a hivatali farkasok munkajat, mert nem kell "leszolni telefonon", hogy "figyi, dumpoljatok mar ennek az untergehen nevu ipsenek az adatforgalmat, mert szerintunk terrorista".

Welcome to Police State!

Emiceha 2008.08.27. 17:52:48

oké, elolvastam, már a cikket se nagyon tudom felfogni, de a kommenteket végképp nem. Figyuzzatok, szerintem egy ABS megfogná a problémát, nem? :)

immortalis · http://immortalis.blog.hu/ 2008.08.27. 18:00:36

Basszus...véletlen keveredtem ide...de olyan mintha kinaiul beszélnétek :) A mezei user-t ez mennyire érinti? :)
Béke

synapse · http://google.com 2008.08.28. 11:54:13

lbalazs:

Jol latod, ez igy van. De sokszor ez mar eleg (pl.: nem kell latni a http-post-ra erkezo responset, abban nem lesz semmi erdekes), plusz nem nagy erofeszites mindket iranyba vegrehajtani.


kiskukac:

"Nem kellett a bunkó amiknak az ISO/OSI based network... mert a TCP/IP az ó'csóbb vót'."

Uristen. Tudod te hogy mi hol van benne egyaltalan?

"ki hallott már olyan operációs rendszerről, ahol a systems-administrator sem tehet meg mindent ?"

Peldaul en. RSBAC-nak hivjak.

Majd ha lejottel a cuccrol akkor elbeszelgethetunk ;)

synapse

Gyuri 2008.08.29. 16:23:16

Takoca:
igen, csak itt értelmesen van megírva a post.

ellátogattam a kockára is, hogy hátha mosolygok megint egy jót, ha átveszi ő is, de még nem találtam meg ott. pedig olyan jól ír a srác :)