Inżynierowie IT badają, co może być prostszym sposobem na naprawienie długo istniejącej słabości systemu routingu Internetu, który może spowodować poważne przerwy w dostępie do usług i umożliwić hakerom śledzenie danych .
Problem dotyczy routerów używanych przez każdą organizację i firmę, która jest właścicielem bloku adresów IP. Routery te stale komunikują się z innymi routerami, aktualizując ich wewnętrzne informacje - często ponad 400 000 wpisów - w najlepszy sposób na dotarcie do innych sieci za pomocą protokołu o nazwie Border Gateway Protocol (BGP).
BGP umożliwia routerom znalezienie najlepszego ścieżka, gdy, powiedzmy, sieć używana do pobierania strony z Korei Południowej nie działa poprawnie. Zmiany w tej informacji o routingu są szybko rozprowadzane do routerów na całym świecie w ciągu zaledwie pięciu minut.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]Ale routery nie sprawdzają, czy anonsy trasy " , "jak się nazywają, są poprawne. Błędy w wprowadzaniu informacji - lub, co gorsza, złośliwy atak - mogą spowodować, że sieć stanie się niedostępna.
Może to spowodować na przykład, że ruch internetowy firmy zostanie obwodowo przekierowany przez inną sieć, której nie potrzebuje przejść, otwierając możliwość przechwycenia ruchu. Atak jest znany jako "przechwytywanie trasy" i nie może go powstrzymać żaden produkt bezpieczeństwa.
Gdy pojawiają się problemy z routingiem, "bardzo trudno jest stwierdzić, czy jest to gruby palcowanie na routerze, czy złośliwe" - powiedział Joe Gersch , dyrektor operacyjny Secure64, firmy tworzącej oprogramowanie serwera DNS. "To może być próbna próba cyberwojnej wojny."
Dane pokazują, że nawet jedna trzecia świata nie może jednocześnie dotrzeć do części Internetu z powodu problemów z rutowaniem, powiedział Gersch.
W lutym , błąd rutowania spowodował, że australijski operator Telstra pokonał międzynarodowy ruch sieci konkurenta, Dodo, który nie był w stanie poradzić sobie z gwałtownym wzrostem ruchu. W znanym incydencie, Pakistan Telecom popełnił błąd z BGP po tym, jak rząd Pakistanu nakazał w 2008 roku, że dostawcy internetu blokują YouTube, co skończyło się zrzuceniem usługi Google'a w trybie offline.
W marcu 2011 r. Badacz zauważył, że ruch kierowany do Facebooka na AT & T's Sieć dziwnie przeszła przez Chiny na chwilę. Chociaż zgłoszenia zwykle trafiałyby bezpośrednio do operatora sieci Facebooka, ruch najpierw przeszedł przez China Telecom, a następnie do SK Broadband w Korei Południowej, zanim wyruszył do Facebooka. Chociaż incydent ten został uznany za błąd, możliwe byłoby, aby szpiegował nieszyfrowany ruch na Facebooku.
"Szerszy problem polega na tym, że znaczna część tej krytycznej infrastruktury polega po prostu na zachowaniu się graczy," powiedział Dan Massey , profesor nadzwyczajny informatyki na Colorado State University. "W prawdziwie globalnym systemie, takim jak internet, trzeba założyć, że organizacje czasami popełniają nieumyślne błędy."
Ale "wyobraź sobie, co może zrobić zdeterminowany przeciwnik", powiedział Massey. Może to obejmować ataki na krytyczną infrastrukturę, np. Elektrownie, które stają się coraz bardziej uzależnione od Internetu.
Rozwiązaniem jest sprawdzenie, czy routery z adresami IP anonsowane przez inne routery faktycznie należą do ich sieci. Jedna metoda, Infrastruktura klucza publicznego zasobów (RPKI), korzysta z systemu certyfikatów kryptograficznych, które potwierdzają, że blok adresu IP rzeczywiście należy do określonej sieci.
Aplikacja RPKI jest skomplikowana, a wdrażanie jest powolne. Eksperci wymyślili ostatnio alternatywny system, nazywany ROVER dla weryfikacji trasy, który może być łatwiejszy.
ROVER przechowuje legalne informacje o trasie w DNS, ogromnej rozproszonej bazie danych, która tłumaczy nazwę domeny na adres IP, który może być wywoływana w przeglądarce. Ta informacja o trasie może zostać podpisana za pomocą DNSSEC, protokołu bezpieczeństwa, który umożliwia podpisywanie rekordów DNS kryptograficznie, co jest powszechnie akceptowane.
Zaletą ROVER jest to, że nie trzeba wprowadzać żadnych zmian w istniejących routerach i może współpracować z RPKI. "Cała infrastruktura zabezpieczania odpowiedzi [tego, czy trasa jest prawidłowa] już istnieje", powiedział Gersch, autor dwóch specyfikacji, jak nazwać trasę i typ rekordu, który można wstawić do DNS.
Specyfikacje są obecnie w stanie "internet daft" przed Internet Engineering Task Force. Następnym krokiem do stania się standardem jest przyjęcie grupy roboczej do dokumentów, powiedział Gersch.
Prześlij porady i komentarze na adres [email protected]
Inżynierowie rozważają łatwiejsze rozwiązywanie niebezpiecznych problemów z Internetem
Inżynierowie IT badają, co może być prostszym sposobem na naprawienie długo istniejącej słabości routingu w Internecie system, który może spowodować poważne ...
Rozwiązywanie problemów z zakupem oprogramowania
Czytelnik w Papui Nowej Gwinei szuka pomocy przy zakupie oprogramowania, którego nie może wykonać; także firma produkująca oprogramowanie antywirusowe zrzuca firmę obsługi klienta za agresywną taktykę.
Rozwiązywanie problemów z niebieskimi ekranami śmierci za pomocą bezpłatnego BlueScreenView
To przydatne narzędzie niekoniecznie naprawi problemy BSOD, ale z pewnością pomoże Ci je zdiagnozować .
