Comments | poige: Ещё одни откопали «the biggest Internet security hole».

poige

Ещё одни откопали «the biggest Internet security hole».

Aug 27, 2008 23:41

( via tomatensaft )
Как-то поднадоели эти совершенно идиотские «угрозы» ни о чём, о которых так любит трубить пресса с серьёзным выражением трубки.

network, news, security, bgp

Leave a comment

Back to all threads

dbg August 27 2008, 16:06:17 UTC

Не согласен. Это вполне серьезная проблема.

Ты ведь дефконовскую презентацию читал, я надеюсь?

В технике атаки ничего нового - всего лишь комбинация ранее известных вещей (как и в атаке имени Камински), но эффект этой комбинации - повышенная практическая ценность атаки (опять же, как и в том, что рассказывал Камински). В этом эти две "дыры" очень похожи.

Что касается "трубить", то трубить надо. Иначе никто не пошевелится, чтобы как-то снизить риски.

> Это вполне серьезная проблема. poige August 27 2008, 16:10:08 UTC

Да херня, это а не проблема. Большинство вменяемых провайдеров не принимают абы какие анонсы. Либо статикой забивается, что может прийти от пира, либо на основе RPSL создаются фильтры автоматом.

Re: > Это вполне серьезная проблема. dbg August 27 2008, 16:19:36 UTC

В теории, теория и практика совпадают, на практике далеко не всегда.

Если бы фильтровали "все", то история с ютубом не произошла бы.

Фильтруют анонсы от кастомеров примерно 70%, от пиров примерно 40%. Но хватит хотя бы одного, кто не фильтрует.

> на практике далеко не всегда. poige August 27 2008, 16:24:49 UTC

Ну и что, что не всегда? :-) Понимаешь, если кто-то пошёл на стройку, и словил кирпич своим незакрытым в каску черепом, то не должно быть статьи «ВАУ! Ходить по стройкам без каски опасно, кирпич может упасть (оказывается) прямо острым углом по нежной кости!». ;)) Новизны тут нет. Это как говорить, что руки желательно мыть с мылом перед тем, как ими пищу трогать. :) Это не новости, блин!

Re: > на практике далеко не всегда. dbg August 27 2008, 16:29:05 UTC

Я хожу без каски, а кирпичом получаешь ты. Здорово, правда?

> Я хожу без каски, а кирпичом получаешь ты. poige August 27 2008, 16:34:26 UTC

Авиа-диспетчер ошибается, а гибнут сотни «не его». И ещё масса подобных случаев, когда «встревает» не тот, кто виноват. Увы, се-ля-ви. Но не ново это!

> Здорово, правда?

Это жизнь, и это не новость.

> Но хватит хотя бы одного poige August 27 2008, 16:26:17 UTC

Если он не фильтрует, то только его абонентосы под угрозой. Это нормально - не бывает тупорылости без последствий. :) (Ну, скажем, бывает, но редко. :-])

Re: > Но хватит хотя бы одного dbg August 27 2008, 16:27:35 UTC

> Если он не фильтрует, то только его абонентосы под угрозой.

Конечно нет. Ты получишь хайджекнутый префикс от апстрима.

> Ты получишь хайджекнутый префикс от апстрима. poige August 27 2008, 16:29:54 UTC

Ровно как номер AS. А на основании RPSL мои фильтры скажут «иди в баню, за тобой нет такой AS».

Re: > Ты получишь хайджекнутый префикс от апстрима. dbg August 27 2008, 16:34:01 UTC

Теоретик. Понимаю.

Whois'ные данные заведомо неполны, особенно в части не RIPE'шных сетей. Но даже если б они были полны, то сложность as-path expression получится чрезмерной. Фильтровать анонсы от апстримов - очень непрактичное занятие.

> Теоретик. Понимаю. poige August 27 2008, 16:38:27 UTC

Ну я тоже понимаю :) Ты мне говоришь, в «теории, они получат BGP-линк к тупому прову, который не отфильтрует их анонсы «позади Москва»», а я тебе говорю, что «в теории, tier 1 скажет, да «пошёл ты», уж я то знаю, «где раки зимуют»». :)

P. S. Понятно, что безопасность сети зависит не только (а зачастую и не столько) от своих усилий. Но новость на пустом месте, это всё давно известно.

Re: > Но хватит хотя бы одного norguhtar August 27 2008, 17:33:34 UTC

Это проблема апстрима. И надо ебать админов апстрима за то что они не фильтруют AS с даунлинков.

Re: > Это вполне серьезная проблема. visir August 27 2008, 17:13:56 UTC

При текущем способе применения это защита от ошибок, а не от злонамеренных действий.
Проблема в том, importy/export в aut-num и members в as-set редактирует владелец этих объектов.
Например, возьмем AS13238. У большинства его аплинков-пиров в RIPE прописано "import: from AS13238 accept AS-YANDEX", а фильтры автоматически строятся и обновляются скриптом. Теперь, предположим Яндекс добавит в свой AS-YANDEX AS-ку гугла... не более чем через сутки у всех фильтры обновляться так, что они будут принимать префиксы гугла от Яндекса.

> как и в том, что рассказывал Камински poige August 27 2008, 16:13:36 UTC

Ага, а потом ещё была новость, что «русский физик взломал патченый bind». Против лома нёт приёма. Идеально безопасной сети не будет никогда, это нужно понимать. Всегда будут бреши, вопрос только в том, насколько они реально применимы-опасны - а сейчас ни та, ни другая проблема таковыми ни разу не является.

P. S. И, заметь, проблема вообще-то не с DNS, а с тем, что в сети может быть spoofed IP traffic. Вот про неё и надо говорить в первую очередь.

Re: > как и в том, что рассказывал Камински dbg August 27 2008, 16:21:58 UTC

В том-то все и дело, что атака имени Камински очень практична, а атака русских физиков не очень. Вся разница только в этом.

> насколько они реально применимы-опасны - а сейчас ни та, ни другая проблема таковыми ни разу не является

Обе очень применимы прямо сейчас.

> атака имени Камински очень практична poige August 27 2008, 16:27:30 UTC

Если ты можешь спуфить IP-трафик, то это уже само по себе проблема, и проблема с DNS лишь её следствие. )

Back to all threads