Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/9/2008
To sikkerhedsforskere har demonstreret en metode til at opsnappe internettrafik uden at offeret opdager det.Anton Kapela og Alex Pilosov demonstrerede angrebsmetoden på konferencen DefCon. Den udnytter en svaghed i routingprotokollen BGP (Border Gateway Protocol), som routerne på internettet anvender til at informere hinanden om, hvilken vej de skal sende trafik til en bestemt IP-adresse.
Forskernes metode går ud på at sende en falsk besked om, at deres router nu har overtaget ansvaret for en gruppe IP-adresser. Hidtil har man ment, at den form for angreb ville være unyttigt, fordi trafikken ville ende hos angriberen. Dermed ville den legitime modtager af data opdage, at han ikke længere modtog noget.
Men Anton Kapela og Alex Pilosov har udtænkt en metode, der gør det muligt at sende data videre til den rigtige modtager. Dermed kan de aflytte data, der sendes til en gruppe IP-adresser. De kan ikke nødvendigvis aflytte data sendt inden for gruppen eller data, som afsendes fra gruppen.
Som demonstration overtog de al trafik sendt til DefCon-konferencens netværk. Inden for 80 sekunder efter de havde udsendt besked om ændringen i routningen, havde 94 procent af de routere, som firmaet Renesys overvåger, modtaget beskeden og begyndt at omdirigere trafikken.
Forskerne understreger, at de udelukkende udnytter den måde, som routing på internettet fungerer på. De har ikke fundet en hidtil ukendt sårbarhed eller fejl i BGP.
Det ville i teorien være muligt for internetudbydere at beskytte sig mod aflytningsangrebet: De kunne sætte deres routere op til kun at acceptere beskeder om ændrede ruter til IP-adresseområder fra routere, der rent faktisk har ret til at bestyre det pågældende område.
"Udbyderne kan forhindre vores angreb fuldstændigt. De gør det simpelthen ikke, fordi det kræver arbejde. At filtrere tilstrækkeligt til at forhindre disse angreb på global skala er for dyrt til at være praktisk muligt," siger Anton Kapela til bladet Wired.
Branchen arbejder på andre metoder til at beskytte mod angrebet. De går blandt andet ud på at anvende digitale signaturer til at bevise, at man har ret til at styre trafikken til bestemte IP-adresser.
De indbyggede sikkerhedsproblemer i BGP har været kendt længe. Steve Bellovin fra Columbia University skrev således en artikel om dem tilbage i 1989.