“Iemand misbruikte groot gat in internet”

Het lijkt er op dat eerder dit jaar het internetverkeer gekaapt is naar overheidsdiensten en naar grote bedrijven en via IJsland en Wit-Rusland is omgeleid, alvorens te bestemder plekke aan te komen, zo meldt het Amerikaanse webblad Wired.

Tony Palela

Tony Kapela toonde in 2008 al aan waar de zwakke plek zat in internet.

In 2008 lieten twee veiligheidsonderzoekers op een e-krakerscongres in Duitsland al zien hoe een zwakke plek in het wereldwijde web gebruikt kan worden voor het omleiden van het verkeer door, bijvoorbeeld veiligheidsdiensten, bedrijven of criminelen. Dat kon zonder dat iemand dat merkte.  Dit schijnt nu vijf jaar later ook daadwerkelijk gebeurd te zijn. Dat ‘melken’ van het internetverkeer schijnt maanden achter elkaar te hebben plaatsgevonden. Het is waarschijnlijk niet de eerste keer dat dat gebeurt, maar wel de eerste keer dat het is opgemerkt.

Medewerkers van het Amerikaanse bedrijf  Renesys zouden het ‘melken’ hebben ontdekt. De dader(s) zou(den) gebruik gemaakt hebben van een kwetsbaarheid in het zogeheten Border Gateway Protocol (BGP) die op het kraakcongres werd geopenbaard. Het BGP is bedoeld voor de stroomlijning van het verkeer tussen de diverse aanbieders. De inbraak is een typische gevalletje van de-spin-er-tussen, waarbij routers voor de gek gehouden worden en het dataverkeer een omweg maakt via die ‘spin’. De ontvanger noch de verzender merkt daar iets van. Dat melken zou zeker 38 keer zijn voorgekomen, waarbij het verkeer van 1500 webadressen zou zijn gekaapt; soms een paar minuten, soms dagen. Er was duidelijk opzet in het spel.
Doug Madory van Renesys dacht eerst aan financiële malversaties, omdat ook gegevens van een grote bank werden gemolken, maar toen bleek dat dat ook gebeurde met het dataverkeer voor ministeries van buitenlandse zaken van diverse landen en een grote Amerikaanse webtelefoonmaatschappij, moesten ze van dat idee afstappen. Hoewel het melken vanaf verschillende locaties gebeurde, denkt Renesys toch dat het om een gecoördineerde actie gaat. In een blog schrijft Renesys: “Het is mogelijk internetverkeer over de halve aardbol te slepen, het te bekijken, te veranderen en door te sturen. Wie praat er nog over het onderscheppen van glasvezeldata?” Het bedrijf heeft geen flauw idee wie er achter de operatie zit. Hoewel die via IJsland en Wit-Rusland liepen kunnen die systemen ook gekaapt zijn. Madory: “De lijst van doelwitten wijst op voorbedachte rade.”
De zwakke plekken in het BGP zijn al lang bekend, maar het was niet bekend dat daar misbruik van werd gemaakt. De architectuur van het protocol is gebaseerd op vertrouwen. Zo bepaalt dat protocol welke de beste route op het web is om gegevens te verzenden. Als een router dat vaststelt, dan neemt een ander aan dat dat klopt. Daar zit het aangrijpingspunt voor de melkers.
Het kapen via BPG gebeurt vaker, maar is dan meestal een gevolg van een typefout in een routebeschrijving of een andere fout. Vaak bereikt het bericht, of wat dan ook, de ontvanger dan niet. Dat gebeurde, bijvoorbeeld, in 2008 in Pakistan, toen getracht werd sommige video’s van YouTube te weren, maar per ongeluk al het YouTube-verkeer werd omgeleid. Twee uur lang verdween alle YouTube-verkeer in een zwart Pakistaans gat.
De eerste, bewuste e-kapingen vonden plaats in februari, toen een Wit-Russische aanbieder  GlobalOneBel een nep BGP-aankondiging verstuurde. Die maand kwam dat nog 21 keer voor met telkens andere webadressen op de omleidroute. Het ging om dataverkeer uit landen als de VS, Duitsland, Zuid-Korea en Iran. Het melken hield plotseling op in maart, maar begon opnieuw op 21 mei, dit keer via Elsat eveneens een Wit-Russische aanbieder. Dat duurde niet lang. Toen kwam IJsland in beeld, waar de kleine aanbieder Nyherji hf de ‘gastheer’ was. Dat melken duurde maar vijf minuten. Op 31 juli ging het weer verder, maar nu via Opin Kerfi. Tussen 31 juli en 19 augustus zouden er volgens Renesys 17 keer gegevens zijn onderschept. In een geval werd verkeer dat lokaal voor Denver was bedoeld omgeleid via New York, Londen en IJsland. Renesys nam contact op met IJsland en kreeg te horen dat er iets fout was gegaan en dat de fout was hersteld. Verder bleef het stil vanuit IJsland, toen er om nadere inlichtingen werd gevraagd.
Renesys ontdekte het melken doordat het een geautomatiseerd systeem heeft dat BPG-lijsten leest en reageert als er iets verdachts is. Die lijsten vertellen niet het hele verhaal, dus verstuurt het bedrijf ook elke dagen miljoenen ‘volgroutes’ om de ‘gezondheid’ van het webverkeer te meten. Daarmee zijn ook kinken in kabels (echte en spreekwoordelijke) te traceren. Als je de BPG-lijsten bekijkt, stopt het verkeer in Wit-Rusland, maar met een volgroutebericht is te zien dat dat verkeer verder gaat.
Het melken is een ontzettend bot wapen, stelt het bedrijf, maar zo te zien waren de melkers bezig het wapen te verfijnen. “We hebben nog niet eerder meegemaakt dat iemand met opzet bezig is het instrument te verbeteren”, zegt Madory.
Tony Kapela, een van de onderzoekers die de kwetsbaarheid in 2008 bekend maakten, zegt dat onbegrijpelijk te vinden. Volgens Kapela kun je de boel kapen zonder dat bedrijven als Renesys het merken. “Als je in staat bent de netwerkroute aan een andere aanbieder op te geven en zegt ‘exporteer dit niet’ en die aanbieder doet dat niet, dan is dat voor niemand zichtbaar, ook niet voor Renesys.” Hij vertelt dat toen hij en zijn collega’s de techniek demonstreerden op het congres in Duitsland, de nepaankondigingen die ze uitstuurden niet niet het hele internet bereikten, maar alleen die netwerken die ze wilden bereiken.
Nu hebben de meeste internetaanbieders nog gedecentraliseerde systemen met afzonderlijk aangestuurde routers, maar de toekomst is gecentraliseerd. Als iemand daar in terecht kan komen kan hij nepaankondigingen versturen zoveel als ie wil. Het zou het voor de melkers er alleen maar makkelijker op maken.  Bedrijven, overheidsinstellingen, banken e.a. zouden de routes van hun dataverkeer in de gaten moeten houden om te verkomen dat hun dataverkeer gekaapt wordt, vinden Kapela en Renesys. Werk aan de de winkel voor ….ehhh… Renesys en Kapela, dus.

Bron: Wired

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.