Het is een kwestie van tijd voordat internetcriminelen het routingsysteem van het internet gaan misbruiken. Dat zegt onderzoeker Benno Overeinder van NLnet Labs. Twee grote incidenten maakten de afgelopen jaren duidelijk dat het huidige routingsysteem misbruikt kan worden om internetverkeer om te leiden. Volgens de internetonderzoeker is het basisprobleem van het huidige Border Gateway Protocol (BGP) dat het gebaseerd is op vertrouwen.
BGP bepaalt via welke routes een IP-bericht zijn bestemming bereikt. Dat gebeurt doordat internet service providers aan elkaar vertellen met welke andere netwerken ze allemaal verbonden zijn. Dat delen van informatie gebeurt echter op basis van vertrouwen. Dat vertrouwen is de afgelopen jaren meermaals ongefundeerd gebleken, vertelt de internetonderzoeker.
In twee gevallen haalde een BGP-incident zelfs het wereldnieuws, omdat er sprake was van wereldomspannende internetstoringen. In februari 2008 was YouTube wereldwijd tijdelijk onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. In april 2010 werd een deel van het internationale internetverkeer omgeleid via China (zie het kader BPG-incidenten).
Cybercriminelen
Het is dan ook 'slechts een kwestie van tijd voordat cybercriminelen massaal misbruik gaan maken van BGP', zo denkt internet-routing onderzoeker Overeinder.
Criminelen maken nu nog graag gebruik van botnets – netwerken van geïnfecteerde computers – voor het verspreiden van hun malware. Maar vanaf het moment dat toekomstige besturingssystemen steeds meer gebruik gaan maken van een 'zandbak'-principe, waardoor applicaties binnen beschermde omgevingen draaien, wordt het volgens Overeinder moeilijker om besturingssytemen te misbruiken. 'Het routingsysteem van het internet zal dan hoogstwaarschijnlijk één van de volgende doelwitten van cybercriminelen worden.'
Echtheidscertificaten
Om deze nieuwe golf van cybercriminaliteit voor te zijn, begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders.
Lees verder: RIPE start met secure routing certificaten
Serie: Routingsysteem BGP vormt beveiligingsrisico
Overige delen:
– RIPE start met secure routing certificaten
– Providers aarzelen over secure routing
BPG-incidenten
Op zondag 24 februari was YouTube wereldwijd twee uur onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. Het land routeerde binnenlandse IP-verzoeken om YouTube-filmpjes te bekijken naar een binnenlandse server, waar de verzoeken werden weggegooid. De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid.
In april 2010 werd een deel van het internationale internetverkeer omgeleid via China. 'Tussen de veertig- à vijftigduizend adresblokken van niet Chinese domeinen waren in een routingtabel terecht gekomen van een Chinese provider', vertelt Overeinder. 'De consequentie was dat een deel van het dataverkeer voor deze getroffen netwerken naar China werd gestuurd.'
De onderzoeker gelooft niet dat de fout expres is gemaakt, 'want zoiets valt te veel op.' Op wereldschaal had de fout volgens Overeinder bovendien minder consequenties dan het YouTube-incident. Het is volgens de onderzoeker niet zo dat 15 procent van het wereldwijde internetverkeer, waaronder de Amerikaanse .gov en .mil IP-adressen, naar China is gestuurd, zoals een Amerikaans overheidsrapport onlangs meldde. Overeinder: 'BGP neemt namelijk de meest efficiënte route. Ook al 'adverteert' China eigenaar te zijn van IP-adressen, een route via China is in de regel langer dan een route binnen de Verenigde Staten.'
@David:
Wat er nog meer mis kan gaan dan simpelweg de beschikbaarheid? Nou, volgens het artikel:
“De verantwoordelijke technici maakten echter een technische fout: zij stuurden de ‘route-advertentie’ ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid.”
Nu even dezelfde tekst, maar dan met een ander bedrijf, een ander land en een andere actie op het ‘eindstation’:
“De verantwoordelijke technici maakten echter een technische fout: zij stuurden de ‘route-advertentie’ ook naar buiten de US. Bovendien was het onjuiste US-adres specifieker dan het echte ING-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse ING-verzoeken naar de US werden doorgestuurd, en vervolgens werden afgehandeld door een rogue server.”
Ik zie niet in waarom er i.p.v. het weggooien niet iets willekeurig anders kan gebeuren, zoals een phishing-site weergeven.
Misschien lukt dit niet met een bank als de ING vanwege TAN-codes, maar er zullen legio websites zijn met minder beveiligingen. Als ik bijv. aan ’t Paypallen ben, is er geen sprake van een TAN-code of random-reader: alleen een mailadres en wachtwoord (perfect in te lezen door een malafide phishing site of keylogger) is dan voldoende.
@mm
Goed voorbeeld! Wat het echter laat zien is dat de beveiliging van een site als Paypall te wensen over laat. Het is als anbellen bij een willekeurig huis waar ING op staat en op vertoon van jouw eigen paspoort een smak geld over kunnen maken. Als een site er dus voor zogt dat (op informatieniveau) middels ee n2-weg handshake middels PKI een veilige verbinding wordt opgezet is er niets aan de hand. Mocht tussentijds de routing van het berichtenverkeer worden gekaapt, dan is de informatiestroom voor de kaper onbruikbaar.
Maar als ’t een aanvaller lukt om een andere site te laten zien, maakt ’t niet uit of de oorspronkelijke site (paypal in dit geval) PKI gebruikt of niet. Toch? Want die nep-site kan natuurlijk van alles nabootsen. Wat ik me dus afvraag is of het werkelijk mogelijk is om op deze manier te phishen. Of een honey-pot plaatsen. Etc.
Dan ga je ervan uit dat de dader het lukt om een aan bijvoorbeeld ING gecertificeerde public key te publiceren op zijn fishing site.
Of het mogelijk is om hier misbruik van te maken, natuurlijk, juist omdat veel sites niet veilig zijn. Zodra alle commun icatie via 1 kanaal verloopt is nimmer een veilige verbinding op te zetten. Precies de reden om niet van pay pall gebruik te maken en bij voorkeur ook niet met een credid card te betalen. De enige manier om relatief veilig te communiceren is om informatie te versleutelen middels een meganisme dat via een ander kanaal middels onafhankelijke certificering tot stand wordt gebracht. Dergelijke meganismen zijn volop aanwezig op informatieniveau. Op lagere niveaus is dit naar mijn mening dus niet nodig. Het legt echter wel wat verantwoordelijkheid bij een websiteexploitant en de gebruiker.
Misschien kan BGP ook worden gebruikt om slechts één persoon (bijv. Assange) (of een klein groepje personen) te misleiden / in de val te laten lopen?
De US willen van Twitter de IP-adressen van Assange: als ze die allemaal hebben (even ervan uitgaande dat ie niet ELKE keer een ander adres gebruikt / kan gebruiken), zou dat dan wellicht een ‘mooie combo’ zijn met BGP.
Zo van: if IP-adres = in_range_of(Assange) then show wikileaks honey-pot and steal password.
@Wouter & Erik:
Nieuws is altijd oud, nadat je ’t (toevallig al eerder) gelezen hebt. En dat is zeker niet voor iedere ICT’er het geval.
@Wouter:
Een stukje met spelfouten is nog altijd nuttiger dan uw bericht… 😛
@Erik:
Gebruiken ze daarbij ook BGP? Botnets zijn toch iets anders? Dan denk ik aan besmette Windows-bakken. Dat zit dus aan de client-kant, terwijl BGP meer aan de ‘server’-kant zit.
Ik denk dat je hier een eerste (welliswaar erg vereenvoudigde) toepassing te pakken hebt. Middels uitgebreide voorbereiding en grote investering lijkt een dergelijke opzet mogelijk. Dat is echter weggelegd voor professionele spionage of sabbotage doeleinden en dan is het een mogelijke aanpak in een veel grotere toolbox die organisaties als de CIA, NSA en HLS tot hun beschikking hebben.
Ik denk echter dat we de relevantie van dit artikel inmiddels danig ontkracht hebben.
Wat dacht men ervan wat er zou gebeuren als men bijv. het update verkeer voor software die je juist beschermt (bijv. McAfee/Norton Internet Security, GFI Webmonitor), zou weten om te leiden en dat zouden combineren met valse update-servers waarop een gemanipuleerde update zou staan? Toegegeven, dit vereist een grote criminele organisatie en dit werkt alleen als die servers op ongeveer dezelfde geografische locatie zitten als degene die ze willen aanvallen. Maar de ramificaties zouden enorm zijn. Binnen een paar uur is het BGP-probleem wel opgelost, maar het onheil is dan geschied..
Beveiliging? Welk bedrijf geeft voldoende geld uit aan het beveiligen van zijn computersysteem. Voor zover ik weet geen enkel bedrijf. Skimmen van bankpasjes gebeurt al jaren. In het begin riepen de banken dat het onmogelijk was om dit te doen. De reden dat er geld van rekeningen verdwijnt ligt volgens banken nog steeds aan de klant die zijn/haar pincode aan anderen “geeft”. De regel dat er eerst door techneuten aangetoond moet worden dat een IT-systeem zo lek als een mandje is blijft bij bedrijven de belangrijkste regel om klanten geen geld terug te hoeven betalen. Bedrijven beveiligen hun systemen nog steeds onvoldoende en laten vervolgens niet IT-ers (communicatiedeskundigen) ontkennen dat er iets mis is met de beveiliging van de systemen. Zolang bedrijven ontkennen dat er iets mis is met de beveiliging worden systemen niet beter beveiligd en zullen dit soort artikelen volop geschreven worden. In plaats van hackers aan te pakken zouden we eens af moeten vragen of we niet de bedrijven aan moeten pakken die door hun slechte beveiliging het hacken mogelijk maken.
@Anoniem: Inderdaad moet er door de gebruiker nog een TAN-Code worden ingevoerd voor er een betaling plaats vindt. Nogmaals: ik ben geen expert op dit gebied en ik vraag me dan ook af wat voor profijt die criminelen dan denken te hebben al die phishing-mails dan hebben waar je gevraagd wordt naam en wachtwoord op te geven om je account te ‘verifiëren’…