Comments | poige: Ещё одни откопали «the biggest Internet security hole».

poige

Ещё одни откопали «the biggest Internet security hole».

Aug 27, 2008 23:41

( via tomatensaft )
Как-то поднадоели эти совершенно идиотские «угрозы» ни о чём, о которых так любит трубить пресса с серьёзным выражением трубки.

network, news, security, bgp

Leave a comment

Back to all threads

dbg August 27 2008, 16:06:17 UTC

Не согласен. Это вполне серьезная проблема.

Ты ведь дефконовскую презентацию читал, я надеюсь?

В технике атаки ничего нового - всего лишь комбинация ранее известных вещей (как и в атаке имени Камински), но эффект этой комбинации - повышенная практическая ценность атаки (опять же, как и в том, что рассказывал Камински). В этом эти две "дыры" очень похожи.

Что касается "трубить", то трубить надо. Иначе никто не пошевелится, чтобы как-то снизить риски.

Re: > атака имени Камински очень практична dbg August 27 2008, 16:36:17 UTC

Ты не можешь в одиночку защититься от спуфнутого трафика. А фильтрацией трафика на границе сети занимаются еще меньше сетей, чем фильтрацией анонсов. Причем половина из тех, кто это делает, делает это неправильно.

> не можешь в одиночку защититься от спуфнутого poige August 27 2008, 16:40:25 UTC

Ес-но. Но, кстати, если говорить лично про меня, то у меня свой резолвер (рекурсор, как ты говоришь), который не уязвим этой атаке, а одно время я вообще DNS-запросы через TCP гонял (когда, кхм, хотелось большой уверенности в незамутнённости DNS-знания). :)

> Иначе никто не пошевелится, чтобы как-то снизить риск poige August 27 2008, 16:17:29 UTC

Да все всегда шевелились, и всегда смеялись над тем, какую ахинею несёт пресса.

Re: > Иначе никто не пошевелится, чтобы как-то снизить ри dbg August 27 2008, 16:22:16 UTC

Статистику я привел выше.

> Ты ведь дефконовскую презентацию читал, я надеюсь? poige August 27 2008, 16:28:25 UTC

Не-а, не читал. :)

Re: > Ты ведь дефконовскую презентацию читал, я надеюсь? dbg August 27 2008, 16:31:24 UTC

"Не читал, но осуждаю" :)

Прочитай.

https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf

> "Не читал, но осуждаю" :) poige August 27 2008, 16:32:04 UTC

Базис позволяет, ага. )

Вот это я понимаю, была хоть какая-то (и то … poige August 27 2008, 16:51:21 UTC

… «с натяжкой») реальная проблема для своего времени: http://www.phreak.com/archives/security/ip_seq/shimomur.txt

1995. Spoofed traffic. rshell. TCP implementation weakness.

- Хоть есть над чем задуматься. А сейчас, блин, русские физики занимаются, по сути, брут-форсовой дурью, о который слагают новости.

norguhtar August 27 2008, 17:30:05 UTC

А я не согласен. Безопасность BGP базируется на административных методах, а не протокольной безопасности. Так что херня. Для начала надо получить доступ. А это как минимум получение своей автономки.

dbg August 27 2008, 17:40:50 UTC

> Для начала надо получить доступ. А это как минимум получение своей автономки.

Мы все прекрасно знаем, что это не проблема. Route hijacking не новая проблема. "Нового" в той презентации - это организация return path (сама техника не нова, но ее сочетание с hijack'ом довольно эффективно)

А получать автономку, кстати, совсем необязательно. Далеко не во всех сетях роутеры защищены достаточно хорошо.

Так что не херня. Практическая ценность такой атаки выше, чем у простого hijack'а, значит использоваться она будет чаще.

norguhtar August 27 2008, 18:14:14 UTC

Мы все прекрасно знаем, что это не проблема.
И все прекрасно знаем что для этого надо указывать правильные реквизиты вплоть до адреса.

Далеко не во всех сетях роутеры защищены достаточно хорошо.
Это проблемы конкретного провайдера. Говорить про всех бесмысленно. И отлавливается она очень быстро. Как и товарищи которую ее организовали.

Так что не херня. Практическая ценность такой атаки выше, чем у простого hijack'а, значит использоваться она будет чаще.
И какова статистика по использованию простого hijack?

dbg August 27 2008, 18:55:38 UTC

> И все прекрасно знаем что для этого надо указывать правильные реквизиты вплоть до адреса.

Госспади. Да кому когда это мешало?

> Это проблемы конкретного провайдера. Говорить про всех бесмысленно.

Проблема route hijack'а - это не проблема "кого-то там". Это касается всех и каждого. Коммуникация - процесс двухсторонний. Угнали префикс - страдают _все_, кто принял этот анонс, а не только тот, чей префикс был угнан. Соотвественно, безопасность сети пионернета в Зимбабве касается нас всех непосредственно. Отлавливается эта проблема не быстро, а уж тем более те, кто воспользовался.

> И какова статистика по использованию простого hijack?

Готовой статистики по частоте у меня на руках нет. Но случаи использования угона маршрутов, например, для спама широко и достоверно известны. Этого достаточно, чтобы обеспокоиться.

norguhtar August 28 2008, 02:07:50 UTC

Госспади. Да кому когда это мешало?
Если сильно захотеть можно много чего сделать. Но это дополнительная административная преграда.

Проблема route hijack'а - это не проблема "кого-то там". Это касается всех и каждого. Коммуникация - процесс двухсторонний. Угнали префикс - страдают _все_, кто принял этот анонс, а не только тот, чей префикс был угнан. Соотвественно, безопасность сети пионернета в Зимбабве касается нас всех непосредственно.

Это проблема тех кто подключил пеонериат. Если они знают что эти товарищи пионеры, то их надо фильтровать.

Но случаи использования угона маршрутов, например, для спама широко и достоверно известны. Этого достаточно, чтобы обеспокоиться.
Если смотреть статистику с слайдов в defcon то там это количество исчисляется пальцами двух рук за период с 2001 по 2008 год. Это на самом деле не так много. Если их количество увеличится никто не мешает модернизировать BGP и ввести подписывание зон приватным ключом.

Back to all threads