Serie: Routingsysteem BGP vormt beveiligingsrisico

'Routingsysteem internet is doelwit criminelen'

Deel 1: grote internationale beveiligingsincidenten bewijzen risico

10-01-2011 08:36 | Door Jolein de Rooij | Lees meer artikelen over: Gateway, Botnets | Lees meer over de bedrijven: YouTube, NLnet Labs | Er zijn 25 reacties op dit artikel | Permalink

Het is een kwestie van tijd voordat internetcriminelen het routingsysteem van het internet gaan misbruiken. Dat zegt onderzoeker Benno Overeinder van NLnet Labs. Twee grote incidenten maakten de afgelopen jaren duidelijk dat het huidige routingsysteem misbruikt kan worden om internetverkeer om te leiden. Volgens de internetonderzoeker is het basisprobleem van het huidige Border Gateway Protocol (BGP) dat het gebaseerd is op vertrouwen.

BGP bepaalt via welke routes een IP-bericht zijn bestemming bereikt. Dat gebeurt doordat internet service providers aan elkaar vertellen met welke andere netwerken ze allemaal verbonden zijn. Dat delen van informatie gebeurt echter op basis van vertrouwen. Dat vertrouwen is de afgelopen jaren meermaals ongefundeerd gebleken, vertelt de internetonderzoeker.

In twee gevallen haalde een BGP-incident zelfs het wereldnieuws, omdat er sprake was van wereldomspannende internetstoringen. In februari 2008 was YouTube wereldwijd tijdelijk onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. In april 2010 werd een deel van het internationale internetverkeer omgeleid via China (zie het kader BPG-incidenten).

Cybercriminelen

Het is dan ook 'slechts een kwestie van tijd voordat cybercriminelen massaal misbruik gaan maken van BGP', zo denkt internet-routing onderzoeker Overeinder.

Criminelen maken nu nog graag gebruik van botnets - netwerken van geïnfecteerde computers - voor het verspreiden van hun malware. Maar vanaf het moment dat toekomstige besturingssystemen steeds meer gebruik gaan maken van een 'zandbak'-principe, waardoor applicaties binnen beschermde omgevingen draaien, wordt het volgens Overeinder moeilijker om besturingssytemen te misbruiken. 'Het routingsysteem van het internet zal dan hoogstwaarschijnlijk één van de volgende doelwitten van cybercriminelen worden.'

Echtheidscertificaten

Om deze nieuwe golf van cybercriminaliteit voor te zijn, begint internetorganisatie RIPE in januari 2011 met een nieuwe technische maatregel: het uitreiken van echtheidscertificaten aan de netwerken van internet service providers en andere netbeheerders.

Lees verder: RIPE start met secure routing certificaten

 

Serie: Routingsysteem BGP vormt beveiligingsrisico

Overige delen:
- RIPE start met secure routing certificaten
- Providers aarzelen over secure routing

BPG-incidenten

Op zondag 24 februari was YouTube wereldwijd twee uur onbereikbaar door een onhandige binnenlandse censuurpoging van Pakistan. Het land routeerde binnenlandse IP-verzoeken om YouTube-filmpjes te bekijken naar een binnenlandse server, waar de verzoeken werden weggegooid. De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid.

In april 2010 werd een deel van het internationale internetverkeer omgeleid via China. 'Tussen de veertig- à vijftigduizend adresblokken van niet Chinese domeinen waren in een routingtabel terecht gekomen van een Chinese provider', vertelt Overeinder. 'De consequentie was dat een deel van het dataverkeer voor deze getroffen netwerken naar China werd gestuurd.'

De onderzoeker gelooft niet dat de fout expres is gemaakt, 'want zoiets valt te veel op.' Op wereldschaal had de fout volgens Overeinder bovendien minder consequenties dan het YouTube-incident. Het is volgens de onderzoeker niet zo dat 15 procent van het wereldwijde internetverkeer, waaronder de Amerikaanse .gov en .mil IP-adressen, naar China is gestuurd, zoals een Amerikaans overheidsrapport onlangs meldde. Overeinder: 'BGP neemt namelijk de meest efficiënte route. Ook al 'adverteert' China eigenaar te zijn van IP-adressen, een route via China is in de regel langer dan een route binnen de Verenigde Staten.'

Reacties op dit artikel
De redactie vindt deze reactie: MatigWouter Prins, 10-01-2011 9:23
Eigelijk staat er helemaal niks in dit bericht. Behalve wat spelfouten. :)
De redactie vindt deze reactie: OKErik, 10-01-2011 12:37
Oud nieuws
 
Het routing systeem word nu al flink misbruikt door diverse botnetwerken. De grote banken weten dit allang maar hangen het niet aan de grote klok omdat het tot paniek kan leiden.
De redactie vindt deze reactie: OKRuud, 10-01-2011 13:11
En wacht dacht u van (mis)bruik door overheden?
Zie als voorbeeld Pakistan.
De redactie vindt deze reactie: OKDavid, 10-01-2011 13:24
Kan iemand mij uitleggen wat nu precies het risico is, afgezien van beschikbaarheid? Uiteraard is dat een belangrijk risico, maar daar heb je als crimineel niet zoveel aan. Die hebben meer aan risico's ten aanzien vna de vertrouwelijkheid en aangezien we dat op logisch en informatie niveau al behoorlijk dicht timmeren, lijkt het me onzin om ook op dit niveau nog eens met certificaten te gaan werken. Bovendien helpen certificaten ook niet tegen de in het kader genoemde beschikbaarheidsrisico's.
De redactie vindt deze reactie: OKR.J. Tuijnman, 10-01-2011 13:39
@David: Ik ben zeker geen expert op dit gebied, maar als ik de plank missla, dan zullen er hier voldoende mensen zijn die me corrigeren.
Stel dat een crimineel jou je inlogcodes van je bank wil ontfutselen, dan doet hij dat op dit moment nog met een phishing-bericht waarbij je aan de link al kunt zien dat het niet klopt (nog afgezien van de erbarmelijke Google-translate-spelling). Maar als hij de routeringstabellen zo kan manipuleren dat de link rechtstreeks van de ING lijkt te komen, dan wordt het een stuk makkelijker. Sterker nog: alle mensen die contact denken te leggen met de bank, worden zonder mankeren doorverwezen naar de site van de fraudeur. Even het openingsschermpje van de ING kopiëren en de inlognamen en wachtwoorden stromen binnen in zijn database.
Als hij dan van iedere rekening een tientje plukt en er mee wegkomt, dan hoeft hij zijn leven lang niet meer te werken...
De redactie vindt deze reactie: OKMarco, 10-01-2011 13:54
@RJ Tuinman
jou voorbeeld is meer van toepassing omtrent DNS dan BGP
Ze kunnen dan 'beter' DNS manipuleren, zodat wanneer ik naar ING.NL ga DNS een ip adres geeft wat leidt naar hun 'fake' site. Dit heeft niet veel met BGP te maken.
Ik zie eerder dat ze met BGP misbruik gaan maken om mensen naar een site te lokken om bv malware etc te installeren en er zo een botnet van te kunnen maken.
De redactie vindt deze reactie: OKAnoniem, 10-01-2011 13:58
@Tuijnman
 
Vergeef me als ik het niet juist heb, maar je verhaal dekt niet alles. Ten eerste heeft de ING een certificaat welke zal falen. Ten tweede is voor elke transactie een TAN code nodig die óf naar een telefoon zal worden gepost of in een lijst , en of calculator gegenereerd zal worden.
De redactie vindt deze reactie: OKDavid, 10-01-2011 14:28
Exact Anoniem, deze type fraudes worden middels maatregelen op een ander niveau al moeilijker gemaakt. Blijft dus mijn vraag wat nu echt het vertrouwelijkheidsrisico is. Mijn stelling is dat dat er niet is e ndat dit probleem niet door bijvoorbeeld Rusische Mafia kan wordne gebruik om geld wachtwoorden te stelen. Ook kan het niet gebruikt worden door bijvoorbeeld China om staatsgeheimen te achterhalen, want die zijn op informatieniveau al lang versleuteld.
 
Wat wel mogelijk is, is dat een terroristencel een aanval op de beschikbaarheid uitvoert. Het kan natuurlijk behoorlijk verlammend werken op de westerse economie als al het internetverkeer fout gerouteerd wordt. Je hebt dan echter weinig aan je RIFE-certificaatje dat je ongetwijfeld voor veel geld hebt moeten kopen (hey, lukt het ze toch nog om mensen van hun geld te ontdoen ;-) )
De redactie vindt deze reactie: OKMarcus, 10-01-2011 14:49
Ja, routeringtabellen kunnen door derden gewijzigd worden en zo voor allerlei doeleinden te misbruiken. De potentiele gevaren zijn best groot.
Echter, let op! wie gaan de certificaten of andere beveiligingsmethode beheren? Wordt dat een Amerikaans bedrijf dat op ieder moment in opdracht van een senator of openbare aanklager een deel van het internet kan afsluiten ?
Ik hoop van harte niet!
Niet alleen wordt wikileaks en zijn opvolgers gegarandeerd drooggelegd, ook iedere krant die iets kritisch te melden heeft kan monddood gemaakt worden.
 
Dus simpel gezegd: ja, implementeer een veiligere methode maar geef de sleutel niet aan de Amerikanen.
De redactie vindt deze reactie: OKDavid, 10-01-2011 15:09
Weer een beschikbaarheidsrisico dus. Een terroristencel (kug Amerikanen kug) die de beschikbaarheid van hun vijand onderuit halen.
De redactie vindt deze reactie: OKmm, 10-01-2011 15:53
@David:
Wat er nog meer mis kan gaan dan simpelweg de beschikbaarheid? Nou, volgens het artikel:
 
"De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten Pakistan. Bovendien was het onjuiste Pakistaanse adres specifieker dan het echte YouTube-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse YouTube-verzoeken naar Pakistan werden doorgestuurd, en vervolgens werden weggegooid."
 
Nu even dezelfde tekst, maar dan met een ander bedrijf, een ander land en een andere actie op het 'eindstation':
 
"De verantwoordelijke technici maakten echter een technische fout: zij stuurden de 'route-advertentie' ook naar buiten de US. Bovendien was het onjuiste US-adres specifieker dan het echte ING-adres, waardoor het de voorkeur kreeg. Het gevolg was dat ook buitenlandse ING-verzoeken naar de US werden doorgestuurd, en vervolgens werden afgehandeld door een rogue server."
 
Ik zie niet in waarom er i.p.v. het weggooien niet iets willekeurig anders kan gebeuren, zoals een phishing-site weergeven.
Misschien lukt dit niet met een bank als de ING vanwege TAN-codes, maar er zullen legio websites zijn met minder beveiligingen. Als ik bijv. aan 't Paypallen ben, is er geen sprake van een TAN-code of random-reader: alleen een mailadres en wachtwoord (perfect in te lezen door een malafide phishing site of keylogger) is dan voldoende.
De redactie vindt deze reactie: OKDavid, 10-01-2011 16:04
@mm
 
Goed voorbeeld! Wat het echter laat zien is dat de beveiliging van een site als Paypall te wensen over laat. Het is als anbellen bij een willekeurig huis waar ING op staat en op vertoon van jouw eigen paspoort een smak geld over kunnen maken. Als een site er dus voor zogt dat (op informatieniveau) middels ee n2-weg handshake middels PKI een veilige verbinding wordt opgezet is er niets aan de hand. Mocht tussentijds de routing van het berichtenverkeer worden gekaapt, dan is de informatiestroom voor de kaper onbruikbaar.
De redactie vindt deze reactie: OKmm, 10-01-2011 16:45
Maar als 't een aanvaller lukt om een andere site te laten zien, maakt 't niet uit of de oorspronkelijke site (paypal in dit geval) PKI gebruikt of niet. Toch? Want die nep-site kan natuurlijk van alles nabootsen. Wat ik me dus afvraag is of het werkelijk mogelijk is om op deze manier te phishen. Of een honey-pot plaatsen. Etc.
De redactie vindt deze reactie: OKDavid, 10-01-2011 17:23
Dan ga je ervan uit dat de dader het lukt om een aan bijvoorbeeld ING gecertificeerde public key te publiceren op zijn fishing site.
 
Of het mogelijk is om hier misbruik van te maken, natuurlijk, juist omdat veel sites niet veilig zijn. Zodra alle commun icatie via 1 kanaal verloopt is nimmer een veilige verbinding op te zetten. Precies de reden om niet van pay pall gebruik te maken en bij voorkeur ook niet met een credid card te betalen. De enige manier om relatief veilig te communiceren is om informatie te versleutelen middels een meganisme dat via een ander kanaal middels onafhankelijke certificering tot stand wordt gebracht. Dergelijke meganismen zijn volop aanwezig op informatieniveau. Op lagere niveaus is dit naar mijn mening dus niet nodig. Het legt echter wel wat verantwoordelijkheid bij een websiteexploitant en de gebruiker.
De redactie vindt deze reactie: OKmm, 10-01-2011 17:29
Misschien kan BGP ook worden gebruikt om slechts één persoon (bijv. Assange) (of een klein groepje personen) te misleiden / in de val te laten lopen?
De US willen van Twitter de IP-adressen van Assange: als ze die allemaal hebben (even ervan uitgaande dat ie niet ELKE keer een ander adres gebruikt / kan gebruiken), zou dat dan wellicht een 'mooie combo' zijn met BGP.
Zo van: if IP-adres = in_range_of(Assange) then show wikileaks honey-pot and steal password.
De redactie vindt deze reactie: OKmm, 10-01-2011 17:36
@Wouter & Erik:
Nieuws is altijd oud, nadat je 't (toevallig al eerder) gelezen hebt. En dat is zeker niet voor iedere ICT'er het geval.
@Wouter:
Een stukje met spelfouten is nog altijd nuttiger dan uw bericht... :P
@Erik:
Gebruiken ze daarbij ook BGP? Botnets zijn toch iets anders? Dan denk ik aan besmette Windows-bakken. Dat zit dus aan de client-kant, terwijl BGP meer aan de 'server'-kant zit.
De redactie vindt deze reactie: OKDavid, 10-01-2011 17:51
Ik denk dat je hier een eerste (welliswaar erg vereenvoudigde) toepassing te pakken hebt. Middels uitgebreide voorbereiding en grote investering lijkt een dergelijke opzet mogelijk. Dat is echter weggelegd voor professionele spionage of sabbotage doeleinden en dan is het een mogelijke aanpak in een veel grotere toolbox die organisaties als de CIA, NSA en HLS tot hun beschikking hebben.
 
Ik denk echter dat we de relevantie van dit artikel inmiddels danig ontkracht hebben.
De redactie vindt deze reactie: OKEmanuel, 10-01-2011 21:48
Wat dacht men ervan wat er zou gebeuren als men bijv. het update verkeer voor software die je juist beschermt (bijv. McAfee/Norton Internet Security, GFI Webmonitor), zou weten om te leiden en dat zouden combineren met valse update-servers waarop een gemanipuleerde update zou staan? Toegegeven, dit vereist een grote criminele organisatie en dit werkt alleen als die servers op ongeveer dezelfde geografische locatie zitten als degene die ze willen aanvallen. Maar de ramificaties zouden enorm zijn. Binnen een paar uur is het BGP-probleem wel opgelost, maar het onheil is dan geschied..
De redactie vindt deze reactie: OKChristian, 11-01-2011 9:25
Beveiliging? Welk bedrijf geeft voldoende geld uit aan het beveiligen van zijn computersysteem. Voor zover ik weet geen enkel bedrijf. Skimmen van bankpasjes gebeurt al jaren. In het begin riepen de banken dat het onmogelijk was om dit te doen. De reden dat er geld van rekeningen verdwijnt ligt volgens banken nog steeds aan de klant die zijn/haar pincode aan anderen "geeft". De regel dat er eerst door techneuten aangetoond moet worden dat een IT-systeem zo lek als een mandje is blijft bij bedrijven de belangrijkste regel om klanten geen geld terug te hoeven betalen. Bedrijven beveiligen hun systemen nog steeds onvoldoende en laten vervolgens niet IT-ers (communicatiedeskundigen) ontkennen dat er iets mis is met de beveiliging van de systemen. Zolang bedrijven ontkennen dat er iets mis is met de beveiliging worden systemen niet beter beveiligd en zullen dit soort artikelen volop geschreven worden. In plaats van hackers aan te pakken zouden we eens af moeten vragen of we niet de bedrijven aan moeten pakken die door hun slechte beveiliging het hacken mogelijk maken.
De redactie vindt deze reactie: OKR.J. Tuijnman, 11-01-2011 10:59
@Anoniem: Inderdaad moet er door de gebruiker nog een TAN-Code worden ingevoerd voor er een betaling plaats vindt. Nogmaals: ik ben geen expert op dit gebied en ik vraag me dan ook af wat voor profijt die criminelen dan denken te hebben al die phishing-mails dan hebben waar je gevraagd wordt naam en wachtwoord op te geven om je account te 'verifiëren'...
De redactie vindt deze reactie: OKR.J.Tuijnman, 11-01-2011 11:03
Sorry: 'n calamiteitje riep me weg terwijl ik het voorgaande bericht zat te tikken. In begrijpelijk Nederlands: Wat voor voordeel denken die Phishers dan te verkrijgen met al die phishing-mails waar in je om wachtwoord en inlognaam wordt gevraagd om je account te 'verifiëren'...
De redactie vindt deze reactie: OKArjen, 11-01-2011 13:22
@R.J. Tuinman: Binnenkomen is stap 1, b.v. op een ING/Postbank account, vervolgens wordt social engineering toegepast ("Hallo, U spreekt met de postbank...") om het mobiele nummer te veranderen in een nieuw nummer (van de hacker), waarop vervolgens de TAN codes binnenkomen bij de hacker --> kassa!
Waargebeurd verhaal, gezien bij Tros Radar (of was het nou Tros Opgelicht?)
De redactie vindt deze reactie: OKmm, 11-01-2011 16:49
Inderdaad - elk extra stukje informatie over jezelf die een ander in handen krijgt, is weer een extra optie in handen van een crimineel om aan identiteitsdiefstal te kunnen doen.
De redactie vindt deze reactie: GoedBenno Overeinder, 12-01-2011 0:30
Als geinterviewde voor dit artikel (even duidelijk maken welke pet ik op heb), wil ik graag wat aanvullende informatie geven op enkele reacties.
 
Inderdaad is het oud nieuws dat de routing infrastructuur (BGP protocol) niet beveiligd is. Pas in 2003 werd de overheid (in iedergeval US Gov., National Strategy to Security Cyberspace rapport). Maar het is tot dit jaar dat de eerste stappen worden gezet door de Regional Internet Registries (RIPE, ARIN, ...) om de routing infrastructuur beter te beveiligen tegen deze zogenaamde IP hijacks.
 
De certificering door de RIRs is een eerste stap om een echtheidsbewijs te kunnen voorleggen dat de IP range die ik voor mijn netwerk aankondig, ook daadwerkelijk van mij is. Mijn aankondiging kan ik met een private key ondertekenen, en een derde partij kan vervolgens aan de hand van de certificaten (met mijn public key) het bericht valideren of mijn bewering van eigendom waar is.
 
Grootste gevaren zijn beschikbaarheid, dus blackholing van netwerken. Maar dat is ook zichtbaar en traceerbaar naar de initiator. Maar man-in-the-middle attacks, meer chirurgische ingrepen, zijn misschien nog wel zorgwekkender. Deze zijn moeilijk te detecteren en dataverkeer kan geanalyseerd en aangepast worden (modulo SSL/TLS encryptie, maar ook social engineering kan de kwaadwillende partij hier een uitkomst bieden).
 
Met botnets heeft dit niet veel te doen. Verkeer van botnet worden net als andere Internet applicaties over de netwerken naar de eindbestemming gestuurd. Ze beinvloeden niet de routing infrastructuur.
De redactie vindt deze reactie: MatigChris Groothoff, 13-01-2011 16:02
Deze reactie is verwijderd omdat het geen inhoudelijke reactie op het artikel betreft.
Het is niet de bedoeling om middels reacties reclame voor het eigen bedrijf te maken, danwel vacatures te melden.
 
Redactie Computable
7 vacatures
Senior adviseur cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Analist / Onderzoeker cybersecurity

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Co\u00f6rdinator cybersecurity analysis

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Senior Securityspecialist (met co\u00f6rdinerende taken)

Ministerie van Veiligheid en Justitie, Nationaal Co\u00f6rdinator Terrorismebestrijding en Veiligheid , 's-Gravenhage

Security officer

Ministerie van Veiligheid en Justitie, Immigratie- en Naturalisatiedienst , Rijswijk ZH

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1575 6.2
Klik voor meer info2 1305 6.0
Klik voor meer info3 1272 6.2
Klik voor meer info4 1072 6.2
Klik voor meer info5 1000 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 528 6.1
Klik voor meer info9 405 6.2
Klik voor meer info10 399 6.0