中国对边境网关协议的黑客攻击

这是Chris C。demchak和yuval shavitt谈到了中国对互联网边界网关协议(bgp)的反复入侵:中国的格言——不放过任何一个接入点:中国电信BGP劫持事件背后的故事”。

BGP黑客就是这样 情报 机构操纵互联网路由,使某些流量更容易拦截。国家安全局称之为网络成形或“交通塑造”。这是斯诺登档案馆的一份文件,概述了该技术如何与也门合作。

编辑添加(10/27):BoingBoing邮递

张贴于10月24日,2018年6点•31条评188滚球网站论

188滚球网站评论

10月24日2018年6:51我

我们为什么不换一个呢?
这是一个古老的未经认证的协议。

修补是不可能的,这将是一场兼容性噩梦,因为修补http以增加安全性是不可能的;事实上,https在不同的端口上工作。

如果我们对http这样做了,我认为对bgp也是可能的。

美国国家安全局通过迫使网络流量离开终端重新进入美国来避免法律问题,这是没有意义的。不应该是合法的,就像整个大规模监控一样

10月24日2018年53点

如果我没记错的话,中国劫持了bgp,在每个不受保护的页面(http)中向ddos github注入javascript,因为它们托管的程序允许中国人绕过审查

10月24日2018年7:09我

从文章中:
今天,中国在北美有10个pop(美国有8个,加拿大有2个),而美国在中国没有。这种接入上的不平衡使得中国在其选择的时间和地点通过中国电信进行恶意行为成为可能。而美国及其盟友却拒绝这样做。

在我看来,这是有偏见的;看起来美国什么都做不了,而中国可以做他们想做的。
也许美国在中国没有流行音乐,但这并不能阻止我们监视整个世界。
如果你看一看斯诺登的文件,就会发现美国在世界上几乎每个地方都有监控设施,他们还劫持了网络流量(感谢@Bruce发布了这个链接)。

在我看来,只提到中国,而其他国家都在做同样的事情或做得最糟,这似乎不公平。

回声10月24日2018年46点

@Bruce

我在Squid线程中发布了一些关于量子互联网的新文章的链接。

与此相关的部分是欧洲提案和中国提案的区别。欧洲的提案从头到尾都是安全的。中国的系统将只从“可信”信号增强器安全到“可信”信号增强器安全。信号增强器显然是中国可以监控交通的一个点。

10月24日2018年7:54 AM

有一些关于大规模监控的有趣的纪录片,边界网关协议劫持,Facebook和Cambridge Analytica(在每个人都开始谈论它的前一年制作)。
它们在意大利公共电视上播出。
不幸的是,我想只有意大利语。
但如果有其他意大利读者感兴趣,我可以和你们分享,或者任何懂意大利语的人。

有人添加了一些评论,188滚球网站我觉得我是唯一一个发表评论的人,这似乎不礼貌。188滚球网站

Phaete10月24日2018年51点

我不会称之为黑客,使用bgp时没有黑客。
劫持是更常用的叫法。

只有当企业因BGP劫持而损失的资金超过了改变BGP所需的资金时,情况才会发生变化。

这让我想起了那些老黑帮电影,他们用“前方道路施工”的标语挡住了道路。并继续在街角抢劫银行。

克雷布斯也有一些关于BGP的文章,但他以第三人称的身份推荐给你可能会在一段时间之后。

asdf10月24日2018上午9:17

@me谢谢你的提醒,Github的故事(以及当时Github如何反击)很有趣,值得重读。

4 ndr3410月24日2018年12:14点

@me

你是说RAI播放了一部关于大规模监控的纪录片,边界网关协议劫持,facebook和剑桥分析公司,在大家开始谈论它的前一年?

我真的很想念……

注射器10月24日2018年下午1:25

如果我要在硬件设计中加入一些隐秘的硬件元素,我还想掩饰我的间谍行为造成的任何网络流量。我会安排一个BGP黑客来模糊最终目的地,使交通看起来良好。我相信我是第一个想到这个的人…

诺曼10月24日2018年一下午

事实是,BGP的替代品已经存在了近20年。我,例如,大约20年前,我在一个团队中构建了SBGP原型。这不是缺乏技术。这是意志的缺乏。

天气10月24日2018年32点

没有在大型网络上工作过,但是作为一个计算机用户,你仍然不能控制数据包占据BGP的路径,它不需要走最小度规的路线。

ROA10月24日2018年34点

@weather您可以使用源路由IP选项来执行此操作,但是:
1.你需要知道你真正想要走哪条路。这是个难题,并且需要端点设备上的大量资源
2.你和目的地之间的路由器需要看那个报头,这将使数据包脱离它们快速的硬件交换路径,走上一条用软件来做决定的慢路

这两个问题意味着您提出的解决方案在现代internet上不起作用。

伊恩10月24日2018年11点

源路由是无用的,因为即使您克服了快/慢路径的问题,并且许多路由器完全放弃了具有源路由选项的包,在耗尽IPv4报头中的空间之前,只能指定大约12个跃点。

天气10月24日2018年下午11:23

我想它有5个路由器的深度,不想谈论入侵路由器和控制合法更新,
如果一个更新包从默认的30分钟内不同步到达,并且它没有将度量值设置为切断电缆,则拒绝该包。
有一个链接比较近的IP地址是假的,降低了标准,一旦它到达路由器,它发现它需要走得更远,但为时已晚,
另一个修改指标的是电缆带宽,排除了路由器软件更新和没有硬件点击线路的可能,一个nebgour发现包应该通过链路,
在我住的那个国家有一个单位有四个网络跳转到海底电缆控制控制台端口应该允许更新,

开始越界:(

天气10月24日2018年11:50 PM

这是严格的来源,也就是10176192个ISP,但松动是允许的(如果你错过了一个严格的跳跃,它就会被丢弃),路由器有更多的发言权,如果我指向西边,路由器不会说东边,如果它很近

10月25日2018年18点

@4ndr34
有一集叫做petrolio的纪录片,在RAI1上说到大规模监控,他们是如何克隆光纤数据的顺便说一下,它也谈到了bgp劫持。
我不记得这集的名字和日期了,但是我家里有这个信息,如果你想的话,我已经录下来了。

在RAI3上有一集关于在线广告的报道,跟踪,饼干,剑桥分析”,你可以在这里找到:
http://www.report.rai.it/dl/Report/puntata/ContentItem-0de6de4e-6351-4aad-ab94-96b1672402ac.html
日期是2017年5月22日,也就是丑闻成为主流的前一年(我仍然不明白为什么每个人都知道这件事,但仅仅一年后它就成为主流)。
在那一集里,他们说剑桥分析公司说“特朗普赢得选举是因为我们”。

在“le iene”程序上还有一项名为“e se ti spiassero dal tuo cellulare”的服务,该程序显示,手机上的恶意软件可以让你了解一个人的一切。
它是在黑客团队被黑客攻击之后制作的,事实上他们在服务中被提及,斯诺登和美国国家安全局也被提及。
https://www.iene.mediaset.it/video/viviani-e-se-ti-spiassero-dal-tuo-cellulare-_68914.shtml

10月25日2018年23点

@Injector
英国甚至不需要劫持BGP,大部分的互联网流量都通过它们,事实上,他们的tempora是一个“克隆整个互联网”的东西。
他们利用光纤,克隆所有通过光纤的数据。
在斯诺登时代,他们只有三天的硬盘空间。
布鲁斯发表的报告谈到“哦,我的天哪,中国花了10%的互联网一个小时”,而我记得斯诺登的一张幻灯片说,美国/英国之所以能够截获75%的互联网,是因为许多互联网服务都在美国,而且都在主干线上具有战略地理位置。
duckduckgo或谷歌图像“全球光纤地图”
你会看到所有的东西都经过英国

10月25日2018年2:31我

@4ndr34
抄送:@Bruce

我找到了!
Petrolio - La spia invisibile - 29/12/2014
https://www.raiplay.it/video/2014/12/Speciale-Petrolio-del-29122014-affd5fd3-bced-4521-958d-11fcc2d22a09.html

Bruce 188滚球网站schneier也在这一集中!

ITA:
“未来会怎样?是否有足够的自由和违法?互联网上的一切都是那么美好,一切都是那么美好?Rispondono alle domande, Sir Tim Berners-Lee,inventore di互联网,Bruce 188滚球网站Schneier,西库雷扎世界语"

工程师:
“…网络的未来是什么?自由和非法性之间的界限是什么?物联网将是创造一个了解我们所有人的“老大哥”的决定性步骤。蒂姆•伯纳斯-李爵士互联网发明家,Bruce 188滚球网站Schneier,国际安全专家,回答问题…”

回声10月25日2018年2:45 AM

@me

你会看到所有的东西都经过英国

是的,这就是为什么根据一些纪录片的说法,伦敦被视为全球腐败中心。他们相信,如果伦敦是吸引背信弃义的人物和流亡领袖的磁石,那么英国就可以利用间谍活动和影响力。

如果英国政府有一个经济政策,认真对待公共政策、人权和服务,情况不会这么糟,但英国几十年来一直没有这样做。

水獭10月25日2018年5:43 AM

英国确实有经济政策。他们不想让它广为人知。

如果他们认真对待公共政策、人权和服务,伦敦不会成为全球腐败中心,吸引阴暗人物的磁铁,等等。表亲们不会经常把她们扔到下巴底下说“好女孩”。

彼得·彼得10月25日2018卧辅车我

记住!技术和法律必须合作,否则两者都无法合作。这是斯诺登文件中最重要的一课。

精灵10月25日2018年09分下午

BGP黑客是指大型情报机构如何操纵互联网路由,使某些流量更容易被拦截。

网址:http://bgp.us/看起来是一个很好的网站,解释了这一切。互联网从一开始就是美国的一个项目军队,它仍然由许多“三信机构”管理,如果你不想被“截取”,就要加密你的资料。

美国国家安全局称之为“网络塑造”或“流量塑造”。

这是对“网络中立”的政治反对,得到了eff等人的支持。问题是当你优先考虑一些流量,人们加密他们的流量,并通过优先通道发送,这违背了“成形”或带宽限制的目的。

商用“T1”或“E1”线路或类似线路的标称信道容量并不比住宅用户DSL线路的标称信道容量大,但它不应该被“超额认购”,政治都降到“消费者”的水平,因为即使是相当大的企业也会被整个思科/ AT&T /电信联盟视为“消费者”。

TJB公司10月30日,2018年下午3:27

我以为只有边界路由器才能发送BGP更新,因此,需要一个拥有ASN(和一个边界路由器)的实体来劫持BGP。PoP(存在点)到底是什么?中国电信如何使用PoP运行BGP劫持?

TJB公司10月30日,2018年下午4:19

@EvilKiru:谢谢,但它没有回答我的问题。中国电信不是美国的ISP,在这个地理位置上也不是a。为什么允许在这里维护多个pop,以及如何启用这些pop bgp?

蒂莫西11月15日,2018上午11:53

NCCoE的总工程师哈里·珀尔最近去世了在推特上:

Rob #NCCoE和@NISTcyber最近发布了一份文档,描述了保护BGP路由更新的方法和概念证明。查看SIDR项目@ http://nccoe.nist.gov“

我认为该文件是最近发布的实践指南草案“NIST SP 1800-14,保护Internet路由的完整性:边界网关协议(BGP)路由源验证。”以下是对指导方案从NCCoE。这里有一些来自完全指南:

1.1挑战

[…]协议已被定义,旨在提供针对上述许多路由攻击的保护。本实践指南的主题是技术,RPKI-based ROV{RPKI:资源公钥基础设施,ROV:路由起始验证},使操作员能够验证发起BGP路由广告的AS实际上是被授权这样做的。使用基于rpki的ROV可以防止意外和恶意的路由劫持。第二个协议,BGPsec,允许网络运营商验证整个internet路由路径的有效性(称为路径验证)。将基于rpki的ROV与BGPsec结合使用,可以提供针对恶意路由劫持和其他路由攻击的保护。不幸的是,ROV和BGPsec的应用仍然非常有限。对于BGPSEC,虽然基于bgpsec的路径验证规范已经完成[RFC 8205],(RFC 207 8),[RFC 8210],开源实现[NIST BGP-SRx][帕森斯BGPsec]是可用的,路由器供应商仍然缺乏可用的商业实现。

BGPsec还有其他几个阻碍其部署的障碍,与ROV相比,例如,对它的支持将是资源密集型的,因为它增加了发送的路由消息的大小和数量,每条消息都需要至少一条的密码验证,很可能是倍数,数字签名。数字签名验证将是处理密集型的,可能需要硬件升级和/或软件优化[NANOG69] [V_Sriram]。它还增加了在获取和管理BGP路由器公钥方面的复杂性,以及用于共享这些密钥的X.509证书。[…]

1.2解决方案

本实践指南(NIST SP 1800-14)描述了如何使用可用的安全协议,产品,以及提供基于rpki的ROV的工具。本实践指南侧重于IETF安全协议的概念验证实现,以及保护isp和ase免受广泛和局部路由劫持攻击所需的NIST实现指导。尽管最好是通过将重点放在更全面的BGP路径验证解决方案和ROV上,来防止其他类型的路由攻击,由于缺乏对BGPsec的商业供应商实现支持,目前提供BGP路径验证解决方案是不切实际的。因此,本实践指南只关注于提供ROV。[…]

我想知道是否有总成本,时间表,以及这些协议实现的预期成功率。指南的受众是那些涉及业务IT网络的安全和安全性的用户。每个私有/公共实体是否有责任安装和/或实现更新的安全产品和协议?

留下你的评论188滚球网站

允许HTML:

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站Schneier on Security是一个个人网站。表达的意见不一定是IBM有弹性