近期,科技圈可是一点都不太平啊,10多天以前就曾曝出了 Android 存在一个名为 Stagefright 的安全漏洞,这两天又有苹果 OS X 系统遭遇固件病毒 Thunderstrike 2 的威胁。而安全人员今天曝出的漏洞则是关系到每一个网民,因为我们已经离不开互联网了。
这个漏洞可以让黑客轻而易举地攻击互联网的核心架构,以阻止用户访问如 YouTube 这样的主要互联网服务(注:我们访问不了并不是因为被攻击了),或者大规模地拦截在线通信。
安全研究人员希望以此能够唤醒整个行业,为这个协议中存在已久的问题做出一些改善。几乎所有运行了这个协议的互联网基础设施甚至连基本的安全技术都没有使用,将使它更容易被黑客所利用。
周三,安全公司 Rapid7 的战略服务经理 Wim Remes 在拉斯维加斯举办的 Black Hat 安全大会上表示,“利用这个协议进行攻击的概率虽然有限,但一旦发生就会产生巨大的影响。”
这个弱点在于边界网关协议,或者称之为 BGP。互联网服务提供商和大型企业的大型路由器要用BGP,以便弄清楚如何在异地之间获得数据。不幸的是,BGP并没有内置安全机制,让路由器验证所收到的信息,以及提供信息的路由器的身份。因此当路由器散播不正确的路由数据时,无论是有意还是无意,都有可能产生非常糟糕事情。
这个问题已经存在了十几年。在1998年,黑客组织 L0pht 就声称他们可以在30分钟内拿下互联网。BGP 的漏洞事件引起了一些安全公司的认真对待,当然也有一些公司并没有在意这个漏洞。
在2014年,安全公司 Renesys 观察到的几个实例中,美国经由白俄罗斯和冰岛的互联网流量在遭受攻击后发生了莫名其妙地改变,攻击者旨在暗中拦截数据。今年六月,马来西亚的 ISP 错误地配置了路由器,造成世界各地的流量汇聚到了它的网络上,从而导致了服务发生数小时的中断,这些服务包括了 Snapchat、Skype 和 Google 搜索。
安全公司 Qrator 的研究人员 Artyom Gavrichenkov 在 Black Hat 上展示了如何在未经许可的情况下,操纵 BGP 以获得特定网站的安全证书,从而可以冒充它并解密安全流量。
Remes 表示,运行了 BGP 基础设施的公司都没有对这个问题会引起的风险产生足够重视。一项名为 RPKI 的技术可以让路由器验证所收到的信息。但是,只有16个全球访问比较频繁的站点有配置这个技术,而Facebook是排名前10位中一个采用了这个技术的网站。
OpenDNS 的网络工程部经理 Andree Toonk 表示,即使广泛采用了 RPKI 也只是在一定程度上解决了 BGP 所产生的危险,它能解决大部分问题,但它并非万无一失。现在看来,这个问题还没解决。
viatechnologyreview