Wijdverbreide internet uitval in de schoenen van Verizon
Een Verizon fout resulteerde in een “trapsgewijze katastrofisch mislukking.”
Het Border Gateway Protocol (BGP), een kern van het internet protocol, is wijd open voor misbruik. Aanvallers kunnen effectief dwaas andere netwerken tot misleiden van internet verkeer voor de aanvallers’ krijgen, worden het snooping, phishing, of een ander doel.
Terwijl vele kapen gebeurtenissen zijn goedaardige en als gevolg van onjuiste, er zijn tal van gevallen in de afgelopen paar jaar zien aanvallers misbruik maken van BGP op een grote schaal.
Een BGP route kapen gebeurt er wanneer een internet-operator ten onrechte kondigt een ander netwerk het IP-adres blokkeert. In BGP route tabellen, Isp ‘ s worden geïdentificeerd door een (Autonoom Systeem) nummer.
ZIE ook: 10 tips voor nieuwe cybersecurity voors (gratis PDF)
Een probleem met het systeem is dat het is moeilijk om zeker te weten of een BGP kaping evenement is eigenlijk kwaadaardige of gewoon een ongeluk. Onderzoekers hebben in het verleden geïdentificeerd zeer verdachte gebeurtenissen, omdat het verkeer van de grote bedrijven als Apple, Amazon, Microsoft en Google was ten onrechte wordt omgeleid. De ander teken is de locatie en de reputatie van de ISP die wordt veroorzaakt.
Andere tijden, het is meer duidelijk dat er een evenement is kwaadaardig, maar de internet-infrastructuur providers kunnen nog steeds ten onrechte het routeren van het verkeer volgens de aanvaller plan voor een uur voordat ze het kunnen oplossen van het probleem.
Het AMERIKAANSE National Institute for Standards and Technology (NIST) werkt aan een voorstel dat strijdig zou kunnen zijn met veel BGP kaping evenementen.
Het gaat Resource ‘Public Key Infrastructure (RPKI) om cloud providers en Isp’ s dat houd blokken van internet adressen om te bepalen welke netwerken kunnen kondigen een directe verbinding naar hun adres te blokkeren.
Het is ook het werken aan het BGP Validatie zodat routers kunt gebruiken RPKI informatie te filteren uit onbevoegde BGP route aankondigingen.
Onderzoekers aan het MIT werken aan het opsporen kant van het probleem met behulp van een machine-leren-model “automatisch identificeren van Autonome Systemen (ASes) vertonen kenmerken vergelijkbaar met seriële kapers.”
De kern van de inspanning is om te helpen netwerkoperators proactief te reageren op Isp ‘ s die een track record voor het slechte gedrag in plaats van alleen te reageren op de gebeurtenissen na ze gebeuren. Als het is aan de netbeheerder kan alleen in het openbaar roepen slecht gedrag in het netwerk engineering mailinglijsten en hopen dat andere netwerken die helpen met het corrigeren van het probleem.
“De huidige kapen detectie systemen meestal rekenen op aannames van prefix eigendom en bijhouden van oorsprong veranderingen in de global routing table. Wanneer een gebeurtenis wordt gedetecteerd, wordt het slachtoffer netwerk kunnen reageren en proberen om in contact te komen met de dader of de upstream-netwerken het probleem op te lossen,” de MIT-onderzoekers leggen in een papieren ‘Profilering BGP Seriële Kapers: het Vastleggen van Aanhoudend Wangedrag in de Global Routing Table’, die ze zal later deze maand in Amsterdam.
“Echter, vele malen dit contact is niet vruchtbaar of zelfs niet mogelijk. Op dat punt, slachtoffers van kaapt zijn alleen nog maar met de optie van het openbaar maken van de gebeurtenis in netwerkoperator mailing lijsten in de hoop dat ‘peer pressure’ en handmatige interventies door andere netwerken, zoals het filteren van aankondigingen of weigeren te bieden doorvoer, zal de sanering van de situatie.”
De onderzoekers bouwden de machine-learning detectie model dat gebaseerd is op de bewering dat de kwaadaardige BGP gedrag van een actor is soms consistent is in de tijd. Door het analyseren van acties in de loop van de tijd, de onderzoekers die gericht zijn op het creëren van een scoresysteem te geven aan een exploitant van een goede of slechte reputatie.
De seriële BGP kapers zij richten zich op de ASes die weergegeven kwaadaardige activiteit in de global routing-tabel voor enkele jaren.
“Wij nemen een nieuw perspectief op illegale BGP activiteit: in plaats van te kijken naar de individuele BGP kaping evenementen, bestuderen we de lange-termijn voorvoegsel advertentie dynamiek in de global routing-tabel in ruimte en tijd.”
Specifiek, ze keek BGP aankondiging dynamiek van de seriële kaper ASes over vijf jaar in een poging om het identificeren van kenmerken die ze apart te zetten van goed opgevoede ASes.
ZIE: Lieve netwerk operators, gelieve gebruik te maken van de bestaande tools te lossen beveiliging
Een van de seriële kapers in de studie, AS197426, of BitCanal, was “effectief afgesneden van de wereldwijde internet” in juli vorig jaar, volgens Oracle-eigendom Dyn. Het portugese bedrijf werd beschreven door een security-onderzoeker als een BGP “kapen fabriek” vanwege de aanhoudende kaping activiteit door de jaren heen.
De indeler ook geïdentificeerd AS19529 als een kaper netwerk en AS134190 als een netwerk dat toont de meest recente indicaties van mogelijke seriële kaper gedrag.
Met deze kennis zou het mogelijk zijn voor de netbeheerders voor het implementeren van systemen om automatisch negeren van slecht BGP routing aankondigingen in plaats van te vertrouwen op mailinglijsten.
Maar ze let ook op mogelijke problemen met de autonome detectie. Bijvoorbeeld bedrijven die voorzien in bescherming tegen distributed denial-of-service (DDoS) – aanvallen zijn wat ze noemen ‘goedaardige seriële kapers’ omdat het proces van het schrobben van DDoS-verkeer gaat BGP kaping.
Veiligheid
DNS-over-HTTPS veroorzaakt meer problemen dan het oplost, zeggen de experts
FBI waarschuwt voor aanvallen die bypass multi-factor authenticatie (MFA)
White-hat hackers Muhstik ransomware bende en releases decryptie sleutels
Mark Zuckerberg denkt dat hij het dus verkeerd begrepen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
De meeste Fortune 500-bedrijven nog steeds ondoorzichtig over veiligheidsmaatregelen (TechRepublic)
Verwante Onderwerpen:
Amazon
Beveiliging TV
Data Management
CXO
Datacenters