Kredit:Pixabay/CC0 Public Domain
Det Nationale Forskningscenter for Cybersikkerhed ATHENE har fundet en måde at bryde en af de grundlæggende mekanismer, der bruges til at sikre internettrafik. Mekanismen, kaldet RPKI, er faktisk designet til at forhindre cyberkriminelle eller regeringsangribere i at omdirigere trafik på internettet.
Sådanne omdirigeringer er overraskende almindelige på internettet, for eksempel for spionage eller gennem fejlkonfigurationer. ATHENE-forskerteamet af prof. Dr. Haya Shulman viste, at angribere helt kan omgå sikkerhedsmekanismen, uden at de berørte netværksoperatører er i stand til at opdage dette. Ifølge analyser fra ATHENE-teamet var populære implementeringer af RPKI på verdensplan sårbare i begyndelsen af 2021.
Holdet informerede producenterne og præsenterede nu resultaterne for den internationale ekspertpublikum.
Vildledende stykker internettrafik skaber opsigt, som det skete i marts i år, da Twitter-trafik delvist blev omdirigeret til Rusland. Hele virksomheder eller lande kan blive afskåret fra internettet, eller internettrafik kan opsnappes eller overhøres.
Fra et teknisk synspunkt er sådanne angreb normalt baseret på præfiks-kapring. De udnytter et grundlæggende designproblem på internettet:Bestemmelsen af, hvilken IP-adresse, der tilhører hvilket netværk, der ikke er sikret. For at forhindre ethvert netværk på internettet i at gøre krav på IP-adresseblokeringer, som de ikke lovligt ejer, standardiserede IETF, organisationen med ansvar for internettet, Resource Public Key Infrastructure, RPKI.
RPKI bruger digitalt signerede certifikater til at bekræfte, at en specifik IP-adresseblok faktisk tilhører det angivne netværk. I mellemtiden, ifølge målinger fra ATHENE-teamet, har næsten 40 % af alle IP-adresseblokke et RPKI-certifikat, og omkring 27 % af alle netværk bekræfter disse certifikater.
Som ATHENE-teamet ledet af prof. Dr. Haya Shulman opdagede, har RPKI også en designfejl:Hvis et netværk ikke kan finde et certifikat for en IP-adresseblok, antager det, at der ikke eksisterer nogen. For at tillade trafik at flyde på internettet alligevel, vil dette netværk simpelthen ignorere RPKI for sådanne IP-adresseblokke, dvs. routing-beslutninger vil udelukkende være baseret på usikret information, som før. ATHENE-teamet var i stand til eksperimentelt at vise, at en angriber kan skabe præcis denne situation og dermed deaktivere RPKI, uden at nogen opdager det. Især det berørte netværk, hvis certifikater ignoreres, vil heller ikke bemærke det. Angrebet, kaldet Stalloris af ATHENE-teamet, kræver, at angriberen kontrollerer et såkaldt RPKI-udgivelsespunkt. Dette er ikke et problem for statsangribere og organiserede cyberkriminelle.
Ifølge undersøgelser fra ATHENE-teamet var i begyndelsen af 2021 alle populære produkter, der blev brugt af netværk til at kontrollere RPKI-certifikater, sårbare på denne måde. Holdet informerede producenterne om angrebet.
Nu har teamet offentliggjort sine resultater på to af topkonferencerne inden for it-sikkerhed, den videnskabelige konference Usenix Security 2022 og industrikonferencen Blackhat U.S. 2022. Arbejdet var et samarbejde mellem forskere fra ATHENE-bidragyderne Goethe University Frankfurt am Main, Fraunhofer SIT og Darmstadt teknologiske universitet. + Udforsk yderligere