Abonneer je gratis op Techzine!

Twee beveiligingsonderzoekers hebben een nieuwe techniek gedemonstreerd om onopgemerkt internetverkeer te onderscheppen in dezelfde orde van grootte waarin bijvoorbeeld de National Security Agency gegevens onderschept.

De tactiek buit het internet routing protocol BGP (Border Gateway Protocol) uit waarmee een aanvaller heimelijk wereldwijd onbeveiligde data kan monitoren. Het kan zelfs gemodificeerd worden voordat het op de eindbestemming aankomt.

De demonstratie heeft als doel bewust te maken van de onveiligheid van de kernprotocollen van het wereldwijde web. Deze werden in de jaren ’70 in grote mate ontwikkeld dat elke node in het grote netwerk betrouwbaar zou zijn. Inmiddels is wel gebleken dat dat absoluut niet het geval is. In juli werd de wereld nog herinnerd aan deze ouderwetse herinnering toen onderzoeker Dan Kaminksky een serieuze kwetsbaarheid in het DNS-systeem openbaar maakte.

"Het is een groot probleem. Het is minstens zo groot als het DNS-probleem zo niet groter", stelt Peiter "Mudge" Zatko, beveiligingsexpert en voormalig lid van de L0pht hacking groep. In 1988 getuigde hij tegenover het Amerikaanse Congres dat hij in dertig minuten tijd met een soortgelijke BGP-aanval het volledige internetverkeer lam kon leggen. "Ik heb zo’n tien à twaalf jaar geleden aan iedereen die het wou horen rondgeschreeuwd dat dit een groot probleem zou zijn. We hebben in detail deze zaken aan onder andere het NSA voorgelegd", aldus Zatko.

De zogenaamde ‘man-in-the-middle’-aanval buit BGP-routers uit door dataverkeer te verwijzen naar het netwerk van een afluisteraar. Eenieder met een BGP-router (ISP’s, grote bedrijven) kunnen data bestemd voor een IP-adres of groep IP-adressen onderscheppen. De aanval onderschept echter alleen dataverkeer naar een IP-adres en niet vanaf een IP-adres en kan niet altijd het netwerkverkeer opslurpen.

De methode kan denkbaar gebruikt worden voor bedrijfsspionage, regionale spionage of zelfs spionage door overheidsinstellingen als het NSA, CIA, Interpol etc. Zij kunnen namelijk zonder tussenkomst van een provider de door hun gewenste data verkrijgen.

Afluisteren middels BGP is lange tijd een theoretische zwakte geweest, omdat er niemand was die het publiekelijk gedemonstreerd had, totdat Anton "Tony" Kapela, datacenter en netwerkdirecteur van 5Nines Data en zijn partner Alex Pilosov, CEO van Pilosoft, hun techniek op de recent gehouden DefCon hackerconventie lieten zien. De twee slaagden er in om data naar het DefCon-netwerk te onderscheppen en deze te laten verwijzen naar een systeem in New York voor het terug te routen naar DefCon in Las Vegas.

Aparte is echter dat de techniek die Kapela en Pilosov gebruikten op zichzelf helemaal geen exploit is. Het buit simpelweg de normale manier waarop BGP werkt uit. "We doen niets wat niet normaal is", vertelde Kapela Wired.com. "Er zijn geen kwetsbaarheden, geen protocol-fouten en eveneens geen softwareproblemen. Het probleem ontstaat door het niveau van connectiviteit om deze hele zooi operationeel te houden."

Het probleem bestaat omdat de gehele architectuur van BGP gebaseerd is op vertrouwen. Om bijvoorbeeld een e-mail van hier via KPN naar Australië te versturen gaat het e-mailtje langs een bepaalde route. De BGP-routers krijgen informatie welke route het snelste is en ‘vertrouwen’ daar zogezegd op. Iemand die kwaad in zin heeft hoeft dus slechts de BGP-routers om de tuin te leiden door te zeggen dat zijn route het snelste is.

Het werkt als volgt: Als een gebruiker een internetadres (URL) in zijn browser intypt of op verzenden drukt na een e-mail getypt te hebben een zogenaamde Domain Name System (DNS)-server voorziet in een IP-adres waar het mailtje of de browser naar toe moet gaan. Een router van de Internet Service Provider (ISP) van de gebruiker vraagt dan om een BGP-tabel voor de beste route. Die tabel wordt opgebouwd uit aankondigingen of ‘advertenties’ van ISP’s en andere netwerken – deze worden Autonomous Systems (ASes) genoemd. Ze verklaren de range van de IP-adressen, of IP-prefixes, waarnaar de data verzonden moet worden.

De routing-tabel zoekt onder deze prefixes naar het IP van de eindbestemming. Als twee ASes data aan dit adres leveren, ‘wint’ diegene met het specifiekere prefix. Als bijvoorbeeld een AS ‘adverteert’ dat het levert aan een groep van 90 duizend IP-adressen en een andere AS aan een subgroep van 24 duizend van die 90 duizend en ze bevatten beide het IP van de eindbestemming dan kiest de BGP voor de engere specifiekere groep van 24 duizend.

Om data te onderscheppen hoeft de afluisteraar simpelweg een range van IP-adressen te adverteren welke hij als doel wil stellen. Daarbij kiest hij specifiek voor een groep die enger is dan die geadverteerd door andere netwerken. Het duurt slechts enkele minuten voor deze advertentie de hele wereld over gereisd heeft en alle BGP’s is doorgegeven.

Deze aanval wordt een IP hijack genoemd en is in principe niet nieuw, maar in het verleden hebben dergelijke IP hijacks tot uitval van delen van het netwerk geleidt waardoor deze dan ook onmiddellijk opgemerkt en opgelost werden. Dit gebeurde eerder dit jaar toen de Pakistaanse telco Pakistan Telecom per ongeluk YouTube-verkeer van over de gehele wereld kaapte. Het verkeer kwam op een doodlopende weg in Pakistan en zo concludeerde men als snel dat er iets mis was.

De innovatie van Pilosov echter heeft als doel de data naar het IP-adres van de bestemming door te sturen zodat uitvallen voorkomen worden. Normaal gesproken werkt dit ook – de data kaatst terug naar de afluisteraar. Pilosov en Kapela gebruiken echter een methode die ‘AS patch prepending’ genoemd wordt. Dit zorgt ervoor dat een aantal BGP-routers de misleidende advertenties afwijzen. Daarna worden de ASes gebruikt om de gestolen data alsnog naar de rechtmatige eigenaar te versturen.

"Eenieder nam tot nu toe aan dat je iets zou moeten breken zodat een hijack succesvol kan zijn", zei Kapela. "Echter hebben wij laten zien dat je helemaal niets hoeft te breken. Als er niets breekt, wie merkt het dan?" Volgens Kapela kunnen netwerktechnici wel een onderschepping opmerken als ze weten hoe ze BGP-tabellen kunnen lezen, maar het vereist volgens hem expertise om ze ook daadwerkelijk te kunnen begrijpen.

"Providers kunnen onze aanval 100 procent voorkomen," stelt Kapela. "Ze doen het simpelweg niet omdat het extra werk vereist en een toereikende filtering toepassen om dergelijke aanvallen op een globale schaal te voorkomen is eveneens zeer kostenintensief."

Hoe dan ook is filteren niet de enige oplossing. Stephen Kent, hoofdwetenschapper informatiebeveiliging bij BBN Technologies, werkt al enige tijd aan oplossingen voor het probleem. Kent en anderen bedenken methodes om de eigenaars van verschillende IP-blocks te authenticeren en alsmede ook het valideren van aankondigingen die ASes naar routers verzenden zodat deze niet willekeurig data zenden aan diegene die daarvoor een verzoek indient.

Dit betekent dat de vijf regionale IP-adres registers ondertekende certificaten aan ISP’s geven overeenkomend met hun IP-adresruimte en AS-nummers. De ASes tekenen vervolgens een vergunning om de routers voor hun adresruimte te initiëren. Deze worden vervolgens samen met certificaten opgeslagen in een repository die voor elke ISP toegankelijk is. Als een AS een nieuwe route publiceert, kan daarmee gecontroleerd worden of deze toestemming had om dat te mogen doen.

Deze oplossing authenticeert echter alleen de eerste ‘hop’ in een route om onbedoelde hijacks te voorkomen. De tweede of derde hop kan dan alsnog door een afluisteraar onderschept worden. Hiervoor hebben Kent en zijn BBN collega’s een beveiligde variant van het BGP-protocol bedacht, die Secure BGP (SBGP) heet. Deze vereist dat BGP-routers met een digitale privé sleutel elke advertentie die verstuurd wordt ondertekenen. De ISP geeft peer-routers certificaten die het routen van het verkeer toestaat; elke peer op de route ondertekent een route-advertentie en verwijst deze door naar de volgende geautoriseerde hop.

Nadeel aan deze oplossing is echter dat de huidige routers onvoldoende geheugen- en processingkracht hebben om certificaten te genereren en te valideren. Fabrikanten van routers hebben daarnaast weerstand geboden om deze te upgraden omdat hun klanten, de ISP’s, hier niet om gevraagd hebben. Dit vanwege de kosten en manuren om routers te vervangen.

Douglas Maughan, cybersecurity research program manager voor het Science & Technology-directoraat van het Department of Homeland Security, heeft het onderzoek van BBN en Kent helpen financieren. Hij heeft echter minder geluk met het overtuigen van ISP’s en router-fabrikanten om over te stappen op SBGP.

"We hebben de aanvallen niet gezien, en daarom gaat men hier meestal niet eerder mee aan de slag dan dat er een aanval heeft plaatsgevonden", aldus Maughan. Volgens Maughan laten de ISP’s ’t zo als ’t is in de hoop dat niemand het ontdekt, of erger, misbruik van de situatie gaat maken. "Het enige dat ze kan dwingen zich aan te passen is als klanten om beveiligingsoplossingen gaan vragen."