Het is een kwestie van tijd voordat internetcriminelen het routingsysteem van het internet gaan misbruiken. Dat zegt onderzoeker Benno Overeinder van NLnet Labs. Twee grote incidenten maakten de afgelopen jaren duidelijk dat het huidige routingsysteem misbruikt kan worden om internetverkeer om te leiden. Volgens de internetonderzoeker is het basisprobleem van het huidige Border Gateway Protocol (BGP) dat het gebaseerd is op vertrouwen.
BGP bepaalt via welke routes een IP-bericht zijn bestemming bereikt. Dat gebeurt doordat internet service providers aan elkaar vertellen met welke andere netwerken ze allemaal verbonden zijn. Dat delen van informatie gebeurt echter op basis van vertrouwen. Dat vertrouwen is de afgelopen jaren meermaals ongefundeerd gebleken, vertelt de internetonderzoeker.
In twee gevallen haalde een BGP-incident zelfs het wereldnieuws, omdat er sprake was van wereldomspannende internetstoringen. In februari 2008 was YouTube wereldwijd tijdelijk onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. In april 2010 werd een deel van het internationale internetverkeer omgeleid via China (zie het kader BPG-incidenten).
Cybercriminelen
Het is dan ook 'slechts een kwestie van tijd voordat cybercriminelen massaal misbruik gaan maken van BGP', zo denkt internet-routing onderzoeker Overeinder.
Criminelen maken nu nog graag gebruik van botnets – netwerken van geïnfecteerde computers – voor het verspreiden van hun malware. Maar vanaf het moment dat toekomstige besturingssystemen steeds meer gebruik gaan maken van een 'zandbak'-principe, waardoor applicaties binnen beschermde omgevingen draaien, wordt het volgens Overeinder moeilijker om besturingssytemen te misbruiken. 'Het routingsysteem van het internet zal dan hoogstwaarschijnlijk één van de volgende doelwitten van cybercriminelen worden.'
Echtheidscertificaten
Om deze nieuwe golf van cybercriminaliteit voor te zijn, begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders.
Lees verder: RIPE start met secure routing certificaten
Serie: Routingsysteem BGP vormt beveiligingsrisico
Overige delen:
– RIPE start met secure routing certificaten
– Providers aarzelen over secure routing
BPG-incidenten
Op zondag 24 februari was YouTube wereldwijd twee uur onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. Het land routeerde binnenlandse IP-verzoeken om YouTube-filmpjes te bekijken naar een binnenlandse server, waar de verzoeken werden weggegooid. De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid.
In april 2010 werd een deel van het internationale internetverkeer omgeleid via China. 'Tussen de veertig- à vijftigduizend adresblokken van niet Chinese domeinen waren in een routingtabel terecht gekomen van een Chinese provider', vertelt Overeinder. 'De consequentie was dat een deel van het dataverkeer voor deze getroffen netwerken naar China werd gestuurd.'
De onderzoeker gelooft niet dat de fout expres is gemaakt, 'want zoiets valt te veel op.' Op wereldschaal had de fout volgens Overeinder bovendien minder consequenties dan het YouTube-incident. Het is volgens de onderzoeker niet zo dat 15 procent van het wereldwijde internetverkeer, waaronder de Amerikaanse .gov en .mil IP-adressen, naar China is gestuurd, zoals een Amerikaans overheidsrapport onlangs meldde. Overeinder: 'BGP neemt namelijk de meest efficiënte route. Ook al 'adverteert' China eigenaar te zijn van IP-adressen, een route via China is in de regel langer dan een route binnen de Verenigde Staten.'
Sorry: ’n calamiteitje riep me weg terwijl ik het voorgaande bericht zat te tikken. In begrijpelijk Nederlands: Wat voor voordeel denken die Phishers dan te verkrijgen met al die phishing-mails waar in je om wachtwoord en inlognaam wordt gevraagd om je account te ‘verifiëren’…
@R.J. Tuinman: Binnenkomen is stap 1, b.v. op een ING/Postbank account, vervolgens wordt social engineering toegepast (“Hallo, U spreekt met de postbank…”) om het mobiele nummer te veranderen in een nieuw nummer (van de hacker), waarop vervolgens de TAN codes binnenkomen bij de hacker –> kassa!
Waargebeurd verhaal, gezien bij Tros Radar (of was het nou Tros Opgelicht?)
Inderdaad – elk extra stukje informatie over jezelf die een ander in handen krijgt, is weer een extra optie in handen van een crimineel om aan identiteitsdiefstal te kunnen doen.
Als geinterviewde voor dit artikel (even duidelijk maken welke pet ik op heb), wil ik graag wat aanvullende informatie geven op enkele reacties.
Inderdaad is het oud nieuws dat de routing infrastructuur (BGP protocol) niet beveiligd is. Pas in 2003 werd de overheid (in iedergeval US Gov., National Strategy to Security Cyberspace rapport). Maar het is tot dit jaar dat de eerste stappen worden gezet door de Regional Internet Registries (RIPE, ARIN, …) om de routing infrastructuur beter te beveiligen tegen deze zogenaamde IP hijacks.
De certificering door de RIRs is een eerste stap om een echtheidsbewijs te kunnen voorleggen dat de IP range die ik voor mijn netwerk aankondig, ook daadwerkelijk van mij is. Mijn aankondiging kan ik met een private key ondertekenen, en een derde partij kan vervolgens aan de hand van de certificaten (met mijn public key) het bericht valideren of mijn bewering van eigendom waar is.
Grootste gevaren zijn beschikbaarheid, dus blackholing van netwerken. Maar dat is ook zichtbaar en traceerbaar naar de initiator. Maar man-in-the-middle attacks, meer chirurgische ingrepen, zijn misschien nog wel zorgwekkender. Deze zijn moeilijk te detecteren en dataverkeer kan geanalyseerd en aangepast worden (modulo SSL/TLS encryptie, maar ook social engineering kan de kwaadwillende partij hier een uitkomst bieden).
Met botnets heeft dit niet veel te doen. Verkeer van botnet worden net als andere Internet applicaties over de netwerken naar de eindbestemming gestuurd. Ze beinvloeden niet de routing infrastructuur.
Deze reactie is verwijderd omdat het geen inhoudelijke reactie op het artikel betreft.
Het is niet de bedoeling om middels reacties reclame voor het eigen bedrijf te maken, danwel vacatures te melden.
Redactie Computable