Зарегистрирована уязвимость важного механизма интернет-безопасности RPKI

Когда весной 2022 года трафик Twitter на короткое время прошел через Россию, это стало мировой сенсацией. А произошло это благодаря дыре в безопасности протокола пограничного шлюза (BGP). Неясно, был ли так называемый массовый перехват трафика (BGP Hijack) преднамеренным или случайным. Хотя большинство экспертов сошлись во мнении, что это была попытка российских хакеров повлиять на мировое мнение через ИПСО – информационно-психологическую спецоперацию.

Перенаправление интернет-трафика из стран и компаний

Теоретически, однако, можно было бы отрезать компании или целые страны от интернета, перенаправив таким образом интернет-трафик. Это также облегчило бы перехват или прослушивание онлайн-коммуникаций. Такие атаки обычно основаны на перехвате префиксов, поясняет Athene, исследовательский центр кибербезопасности в Европе. Они используют фундаментальную проблему дизайна интернета: «Определение того, какой IP-адрес принадлежит определенной сети, не защищено». Ответственная организация по стандартизации Internet Engineering Task Force (IETF) стандартизировала так называемую инфраструктуру открытого ключа ресурсов (RPKI), чтобы сеть в интернете не могла претендовать на блоки с IP-адресами, которые ей не принадлежат.

RPKI

Сертификат RPKI уже широко распространен

Ключевой из механизмов интернет-безопасности работает через сертификаты. По словам исследователей, почти 40% всех IP-блоков сегодня предполагают использование сертификата RPKI. И примерно 27% сетей проверяют эти сертификаты. Исследовательская группа, возглавляемая ученым из Athene – Хайи Шульманом – также обнаружила уязвимость конструкции в RPKI, которая может быть использована для подрыва важного механизма безопасности в интернете. Если сеть не способна обнаружить наличие для блоков IP-адресов соответствующих сертификатов, она приходит к выводу, что такого сертификата просто нет и не предусмотрено.

Чтобы иметь возможность правильно пересылать трафик дальше, в сети игнорируется механизм безопасности RPKI. Результат: «Как и раньше, механизмы маршрутизации основаны на незащищенной информации». А это без преувеличения серьезная проблема. И в создании такой ситуации стоит винить команду Athene. В тестах RPKI можно было целенаправленно отключать так, чтобы никто ничего не заметил, даже затронутая сеть.

Атака, упомянутая Athena, может быть осуществлена только в том случае, если контролируется так называемая точка публикации RPKI. Однако это не должно быть проблемой для государственных субъектов и организованных киберпреступников. И это заставляет косо смотреть на такие страны, как РФ, правительственные отделы хакеров которой были замечены в манипуляциях при референдуме в Великобритании и выборах президента в США.

А сейчас замечено, что известные хакеры РФ стягиваются в столицу, где ими оформляется временная регистрация от собственника. Этот механизм, собственно, и позволяет отслеживать их перемещение. Хотя нужно признать, что он довольно ненадежный. И больше создает проблем простым людям. Потому что не все из них знают, как просто может быть получена временная регистрация в Москве: купить этот статус через специализированные фирмы не составит труда.

временная регистрация от собственника
Временная регистрация

По словам команды Athene, все ведущие интернет-продукты, используемые сетями для проверки сертификатов RPKI, уязвимы с начала 2021 года. Представители Athena утверждают, что компания заранее проинформировала об этом производителей. Однако неясно, до какой степени уязвимость была закрыта. Программисты объяснили, что они не исследовали, сколько из пострадавших уже обновили свои системы соответствующим образом. В любом случае Google защитила свою инфраструктуру RPKI от этой угрозы, как сообщили в компании.