Angreifer könnten Internet-Routen-Hijacking verwenden, um gefälschte HTTPS-Zertifikate zu erhalten

Inhärente Unsicherheit im Routing-Protokoll, das Netzwerke im Internet verbindet, stellt eine direkte Bedrohung für die Infrastruktur dar, die die Kommunikation zwischen Benutzern und Websites sichert.

Das Border Gateway Protocol (BGP), das von Computernetzbetreibern zum Austausch verwendet wird Informationen darüber, welche Internet Protocol (IP) -Adressen ihnen gehören und wie sie weitergeleitet werden sollten, wurden zu einem Zeitpunkt entworfen, als das Internet klein war und sich die Betreiber implizit ohne irgendeine Form der Validierung gegenseitig trauten.

Wenn ein Operator oder autonom System (AS), kündigt Routen für einen Block von IP-Adressen an, die ihm nicht gehören, und sein Upstream-Provider leitet die Informationen an andere weiter, wobei der für diese Adressen bestimmte Verkehr mig ist Sie werden zum Rogue-Operator geschickt.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Solche Vorfälle werden als BGP-Hijacking bezeichnet, wenn sie von einem böswilligen Akteur absichtlich ausgeführt werden oder wenn eine Route von Menschen verursacht wird Fehler oder Fehlkonfiguration und sind zunehmend üblich. Ihre Auswirkungen können abhängig von ihren jeweiligen Umständen lokal oder global sein.

Es gibt zwar die besten Sicherheitsverfahren, die solche Vorfälle verhindern können, sie werden jedoch nicht von allen Netzbetreibern auf der ganzen Welt implementiert. Die Netzwerke, in denen diese Sicherheitspraktiken nicht implementiert sind, sind auch diejenigen, die höchstwahrscheinlich verwundbare Grenzgateway-Router haben, die von Hackern angegriffen werden könnten.

Auf der Sicherheitskonferenz von Black Hat in Las Vegas gab es zwei Vorträge über BGP-Hijacking, Hervorhebung der Wichtigkeit dieses Themas für die Sicherheitsgemeinschaft. In einem von ihnen zeigte ein russischer Sicherheitsforscher namens Artyom Gavrichenkov, wie Angreifer einen BGP-Hijacking-Angriff durchführen können, der nur eine kleine geografische Region betrifft, der ihnen aber helfen könnte, eine Zertifizierungsstelle dazu zu bringen, ein gültiges Zertifikat für einen Domainnamen auszustellen sie besitzen nicht.

Damit dies funktioniert, müssen die Angreifer eine Ziel-Website auswählen, deren IP-Adresse Teil eines AS ist, der sich in einer anderen Region der Welt befindet. Zum Beispiel könnten sich Angreifer in Asien für Facebook entscheiden. Sie müssten dann eine lokale Zertifizierungsstelle (CA) auswählen, die sehr nahe an dem betrügerischen autonomen System ist, von dem der Angriff ausgehen wird.

Das Ziel des Angriffs wäre, den ISP der Zertifizierungsstelle an die IP-Adresse von Facebook glauben zu lassen ist im Besitz der Schurken AS anstelle von Facebooks realen AS. Das Ziel bei der Auswahl eines weit entfernten Ziels ist, die Wahrscheinlichkeit zu verringern, dass der echte AS die Hijacking bemerkt - im Wesentlichen, dass ein kleiner Teil des Internets glaubt, dass Facebook Teil eines anderen Netzwerks ist.

Der Prozess, ein TLS-Zertifikat zu erhalten Eine Domäne umfasst den Nachweis, dass die Person, die das Zertifikat angefordert hat, die Kontrolle über den Domänennamen hat. Diese Überprüfung kann auf verschiedene Arten automatisiert erfolgen: durch Hochladen einer speziellen CA-Seite auf den Server, auf dem der Domänenname gehostet wird, damit die Zertifizierungsstelle prüfen kann, ob sie existiert, indem sie eine E-Mail an die in den WHOIS-Datensatz der Domäne oder durch Erstellen eines TXT-Datensatzes für den Domänennamen für die Domäne. Nur eine dieser Methoden reicht aus, um den Besitz zu bestätigen.

Das Erstellen einer Seite auf dem Server, der die Domäne hostet, ist die einfachste Überprüfung, die mit einem BGP-Hijacking-Angriff durchgeführt wird. Der Angreifer muss einen Webserver einrichten, die Seite erstellen und dann Rogue-Routen für die IP-Adresse von Facebook ankündigen. Diese Routen verbreiten sich regional, was die Zertifizierungsstelle betrifft und glauben, dass die Seite tatsächlich auf der Facebook-Domain gehostet wurde. Die CA würde dann das SSL-Zertifikat ausstellen.

Das betrügerische, aber dennoch gültige digitale Zertifikat könnte dann verwendet werden, um Man-in-the-Middle-Angriffe gegen Facebook-Nutzer überall auf der Welt zu starten, nicht nur in der Region, in der der BGP Entführung passiert.

Die aktuelle Infrastruktur für digitale Zertifikate, die der sicheren Kommunikation im Internet zugrunde liegt, berücksichtigt keine Routing-Fehler, so Gavrichenkov. Und weil es in alles integriert ist, von Desktop-Computern bis hin zu eingebetteten Geräten und Mobiltelefonen, kann es nicht einfach geändert werden, sagte er.

Das zugrunde liegende Problem ist das Internet-Routing-Protokoll und die fehlende Implementierung empfohlener Sicherheitsmaßnahmen . Das BGP-Hijacking-Problem ist jedoch seit sehr langer Zeit bekannt und der Forscher glaubt, dass es auch in naher Zukunft nicht behoben sein wird.

Bemühungen wie das von Google vorgeschlagene Zertifikatstransparenz-Framework oder die in einigen Browsern implementierten Zertifikats-Pinning-Mechanismen könnten Hilfe, um zu erkennen, wenn Rogue-Zertifikate ausgegeben werden, aber das ist eher eine Problemumgehung als eine Korrektur, da sie noch nicht weit verbreitet sind.