5
| 本文作者: 思睿 | 2015-08-07 15:09 |
近期,科技圈可是一點都不太平啊,10多天以前就曾曝出了 Android 存在一個名為 Stagefright 的安全漏洞,這兩天又有蘋果 OS X 系統遭遇固件病毒 Thunderstrike 2 的威脅。而安全人員今天曝出的漏洞則是關系到每一個網民,因為我們已經離不開互聯網了。
這個漏洞可以讓黑客輕而易舉地攻擊互聯網的核心架構,以阻止用戶訪問如 YouTube 這樣的主要互聯網服務(注:我們訪問不了并不是因為被攻擊了),或者大規模地攔截在線通信。
安全研究人員希望以此能夠喚醒整個行業,為這個協議中存在已久的問題做出一些改善。幾乎所有運行了這個協議的互聯網基礎設施甚至連基本的安全技術都沒有使用,將使它更容易被黑客所利用。
周三,安全公司 Rapid7 的戰略服務經理 Wim Remes 在拉斯維加斯舉辦的 Black Hat 安全大會上表示,“利用這個協議進行攻擊的概率雖然有限,但一旦發生就會產生巨大的影響。”
這個弱點在于邊界網關協議,或者稱之為 BGP。互聯網服務提供商和大型企業的大型路由器要用BGP,以便弄清楚如何在異地之間獲得數據。不幸的是,BGP并沒有內置安全機制,讓路由器驗證所收到的信息,以及提供信息的路由器的身份。因此當路由器散播不正確的路由數據時,無論是有意還是無意,都有可能產生非常糟糕事情。
這個問題已經存在了十幾年。在1998年,黑客組織 L0pht 就聲稱他們可以在30分鐘內拿下互聯網。BGP 的漏洞事件引起了一些安全公司的認真對待,當然也有一些公司并沒有在意這個漏洞。
在2013年,安全公司 Renesys 觀察到的幾個實例中,美國經由白俄羅斯和冰島的互聯網流量在遭受攻擊后發生了莫名其妙地改變,攻擊者旨在暗中攔截數據。今年六月,馬來西亞的 ISP 錯誤地配置了路由器,造成世界各地的流量匯聚到了它的網絡上,從而導致了服務發生數小時的中斷,這些服務包括了 Snapchat、Skype 和 Google 搜索。
安全公司 Qrator 的研究人員 Artyom Gavrichenkov 在 Black Hat 上展示了如何在未經許可的情況下,操縱 BGP 以獲得特定網站的安全證書,從而可以冒充它并解密安全流量。
Remes 表示,運行了 BGP 基礎設施的公司都沒有對這個問題會引起的風險產生足夠重視。一項名為 RPKI 的技術可以讓路由器驗證所收到的信息。但是,只有16個全球訪問最頻繁的站點有配置這個技術,而Facebook是排名前10位中唯一一個采用了這個技術的網站。
OpenDNS 的網絡工程部經理 Andree Toonk 表示,即使廣泛采用了 RPKI 也只是在一定程度上解決了 BGP 所產生的危險,它能解決大部分問題,但它并非萬無一失。現在看來,這個問題還沒解決。
via technologyreview
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
