Kredit:Pixabay/CC0 Public Domain
Nationella forskningscentret för cybersäkerhet ATHENE har hittat ett sätt att bryta en av de grundläggande mekanismerna som används för att säkra internettrafik. Mekanismen, som kallas RPKI, är faktiskt utformad för att förhindra cyberbrottslingar eller statliga angripare från att avleda trafik på internet.
Sådana omdirigeringar är förvånansvärt vanliga på internet, till exempel för spionage eller genom felkonfigurationer. ATHENE-forskarteamet av prof. Dr. Haya Shulman visade att angripare helt kan kringgå säkerhetsmekanismen utan att de berörda nätverksoperatörerna kan upptäcka detta. Enligt analyser från ATHENE-teamet var populära implementeringar av RPKI över hela världen sårbara i början av 2021.
Teamet informerade tillverkarna och presenterade nu resultaten för den internationella expertpubliken.
Att missrikta bitar av internettrafik orsakar uppståndelse, som hände i mars i år när Twitter-trafiken delvis leddes till Ryssland. Hela företag eller länder kan stängas av från internet eller internettrafik kan avlyssnas eller höras.
Ur teknisk synvinkel är sådana attacker vanligtvis baserade på prefixkapningar. De utnyttjar ett grundläggande designproblem på internet:fastställandet av vilken IP-adress som tillhör vilket nätverk som inte är säkrat. För att förhindra att nätverk på internet gör anspråk på IP-adressblockeringar som de inte äger lagligen, standardiserade IETF, organisationen som ansvarar för internet, Resource Public Key Infrastructure, RPKI.
RPKI använder digitalt signerade certifikat för att bekräfta att ett specifikt IP-adressblock faktiskt tillhör det angivna nätverket. Under tiden, enligt mätningar från ATHENE-teamet, har nästan 40 % av alla IP-adressblock ett RPKI-certifikat, och cirka 27 % av alla nätverk verifierar dessa certifikat.
Som ATHENE-teamet ledd av prof. Dr. Haya Shulman upptäckte, har RPKI också ett designfel:Om ett nätverk inte kan hitta ett certifikat för ett IP-adressblock, antar det att det inte finns något. För att tillåta trafik att flyta på internet ändå, kommer detta nätverk helt enkelt att ignorera RPKI för sådana IP-adressblock, dvs. routingbeslut kommer att baseras enbart på osäkrad information, som tidigare. ATHENE-teamet kunde experimentellt visa att en angripare kan skapa exakt denna situation och därmed inaktivera RPKI utan att någon märker det. I synnerhet kommer det berörda nätverket, vars certifikat ignoreras, inte heller att märka det. Attacken, kallad Stalloris av ATHENE-teamet, kräver att angriparen kontrollerar en så kallad RPKI-publiceringspunkt. Detta är inte ett problem för statliga angripare och organiserade cyberbrottslingar.
Enligt undersökningarna av ATHENE-teamet var i början av 2021 alla populära produkter som användes av nätverk för att kontrollera RPKI-certifikat sårbara på detta sätt. Teamet informerade tillverkarna om attacken.
Nu har teamet publicerat sina resultat vid två av de främsta konferenserna inom IT-säkerhet, den vetenskapliga konferensen Usenix Security 2022 och branschkonferensen Blackhat U.S. 2022. Arbetet var ett samarbete mellan forskare från ATHENE-bidragsgivarna Goethe University Frankfurt am Main, Fraunhofer SIT och Darmstadts tekniska universitet. + Utforska vidare