Onderzoekers van het Duitse web-veiligheidsinstituut ATHENE ontdekten maar liefst achttien kwetsbaarheden in de relatief nieuwe webbeveiliging RPKI. Die moet er voor zorgen dat onbevoegden geen informatie die over het web reist kunnen stelen of omleiden voor eigen misbruik. Inmiddels lijken/zijn de gaten gedicht.
Informatie wordt in brokken over het wereldwijde web verstuurd. Daartoe kunnen die brokken elke afzonderlijk verschillende routes afleggen om uiteindelijk weer bij de ontvanger tot een geheel te worden gesmolten. Die verkeersafhandeling wordt geregeld door het Border Gateway Protocol (BGP). Als je een beetje handig bent dan zou je die brokken echter onderweg kunnen opvangen en omleiden naar jouw IP-adres, waardoor je kwalijke code zou kunnen verspreiden, wachtwoorden stelen, valse webcertificaten verpreiden en meer narigheid veroorzaken.
In dat beveiligingssysteem vonden de onderzoekers maar liefst achttien kwetsbaarheden, waarvan sommige volgens de ‘ernstindicator’ NVD van het Amerikaanse instituut voor normen en technologie NIST een 9,3 op een schaal van 10 zouden hebben; knap ernstig, dus. Voor hun ontdekking hadden de onderzoekers een speciaal testsysteem ontwikkeld, CURE gedoopt, dat ze gratis aan RPKI-ontwikkelaars ter beschikking stellen.
De kwetsbaarheden kwamen overal in RPKI voor. Deze konden leiden tot veranderingen van standaardgedrag tot fatale fouten waarmee aanvallers een RPKI-certificaathiërarchie volledig kunnen kapen om hun eigen ‘vertrouwensanker’ toe te voegen om authentiek lijkende maar frauduleuze routeringsinformatie te creëren. Het is niet bekend of de kwetsbaarheden al door e-krakers zijn misbruikt.
RPKI is een relatief nieuwe standaard. Tegenwoordig wordt ongeveer 50% van de netwerkvoorvoegsels op internet afgedekt door RPKI-certificaten en controleert 37,8% van alle internetdomeinen RPKI-certificaten. Met name veel grote bedrijven maken er gebruik van.
Bron: idw-online.de