Serie: Routingsysteem BGP vormt beveiligingsrisico

'Routingsysteem internet is doelwit criminelen'

Deel 1: grote internationale beveiligingsincidenten bewijzen risico

10-01-2011 08:36 | Door Jolein de Rooij | Lees meer artikelen over: Gateway, Botnets | Lees meer over de bedrijven: YouTube, NLnet Labs | Er zijn 25 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink

Het is een kwestie van tijd voordat internetcriminelen het routingsysteem van het internet gaan misbruiken. Dat zegt onderzoeker Benno Overeinder van NLnet Labs. Twee grote incidenten maakten de afgelopen jaren duidelijk dat het huidige routingsysteem misbruikt kan worden om internetverkeer om te leiden. Volgens de internetonderzoeker is het basisprobleem van het huidige Border Gateway Protocol (BGP) dat het gebaseerd is op vertrouwen.

BGP bepaalt via welke routes een IP-bericht zijn bestemming bereikt. Dat gebeurt doordat internet service providers aan elkaar vertellen met welke andere netwerken ze allemaal verbonden zijn. Dat delen van informatie gebeurt echter op basis van vertrouwen. Dat vertrouwen is de afgelopen jaren meermaals ongefundeerd gebleken, vertelt de internetonderzoeker.

In twee gevallen haalde een BGP-incident zelfs het wereldnieuws, omdat er sprake was van wereldomspannende internetstoringen. In februari 2008 was YouTube wereldwijd tijdelijk onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. In april 2010 werd een deel van het internationale internetverkeer omgeleid via China (zie het kader BPG-incidenten).

Cybercriminelen

Het is dan ook 'slechts een kwestie van tijd voordat cybercriminelen massaal misbruik gaan maken van BGP', zo denkt internet-routing onderzoeker Overeinder.

Criminelen maken nu nog graag gebruik van botnets - netwerken van geïnfecteerde computers - voor het verspreiden van hun malware. Maar vanaf het moment dat toekomstige besturingssystemen steeds meer gebruik gaan maken van een 'zandbak'-principe, waardoor applicaties binnen beschermde omgevingen draaien, wordt het volgens Overeinder moeilijker om besturingssytemen te misbruiken. 'Het routingsysteem van het internet zal dan hoogstwaarschijnlijk één van de volgende doelwitten van cybercriminelen worden.'

Echtheidscertificaten

Om deze nieuwe golf van cybercriminaliteit voor te zijn, begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders.

Lees verder: RIPE start met secure routing certificaten

 

Serie: Routingsysteem BGP vormt beveiligingsrisico

Overige delen:
- RIPE start met secure routing certificaten
- Providers aarzelen over secure routing

BPG-incidenten

Op zondag 24 februari was YouTube wereldwijd twee uur onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. Het land routeerde binnenlandse IP-verzoeken om YouTube-filmpjes te bekijken naar een binnenlandse server, waar de verzoeken werden weggegooid. De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid.

In april 2010 werd een deel van het internationale internetverkeer omgeleid via China. 'Tussen de veertig- à vijftigduizend adresblokken van niet Chinese domeinen waren in een routingtabel terecht gekomen van een Chinese provider', vertelt Overeinder. 'De consequentie was dat een deel van het dataverkeer voor deze getroffen netwerken naar China werd gestuurd.'

De onderzoeker gelooft niet dat de fout expres is gemaakt, 'want zoiets valt te veel op.' Op wereldschaal had de fout volgens Overeinder bovendien minder consequenties dan het YouTube-incident. Het is volgens de onderzoeker niet zo dat 15 procent van het wereldwijde internetverkeer, waaronder de Amerikaanse .gov en .mil IP-adressen, naar China is gestuurd, zoals een Amerikaans overheidsrapport onlangs meldde. Overeinder: 'BGP neemt namelijk de meest efficiënte route. Ook al 'adverteert' China eigenaar te zijn van IP-adressen, een route via China is in de regel langer dan een route binnen de Verenigde Staten.'

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Top 10 Reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1830 6,9
Klik voor meer info2 1409 6,6
Klik voor meer info3 1349 6,4
Klik voor meer info4 1144 6,5
Klik voor meer info5 1087 6,4
Klik voor meer info6 1032 5,9
Klik voor meer info7 820 6,6
Klik voor meer info8 609 5,8
Klik voor meer info9 501 6,3
Klik voor meer info10 428 5,9