Hacking
Team orchestrated brazen BGP hack to hijack IPs it didn’t own
Hijacking
was initiated after Italian Police lost control of infected machines.
by
Dan Goodin - Jul 13, 2015 5:53am WIB
Bài
được đưa lên Internet ngày: 13/07/2015
Lời
người dịch: Vụ việc Hacking Team lấy 400 GB dữ liệu
thư điện tử rồi tung lên mạng một lần nữa cho thấy
giao thức BGP, Giao thức Cổng vào Biên giới là một điểm
yếu không khắc phục được của Internet, như đã được
nêu trong loạt chuyện 3 Phần về 'Mạng
không an toàn', đã bị lợi dụng để
chặn cướp dữ liệu giữa đường như thế nào trong
thực tế. Như được lưu ý trước đó trong bài viết
này, sự dễ dàng điều khiểm giả mạo hệ
thống BGP từ lâu đã được thừa nhận như một điểm
yếu chính trong an toàn Internet.
Các thư điện tử của Hacking Team (1,
2,
3,
4,
5,
6,
7,
8,
và 9)
đưa rủi ro đó ra khỏi lý thuyết và vào thực tiễn. Nó
cũng nhấn mạnh nhu cầu về các tiêu chí vạn năng phải
được xem xét từ các nhà cung cấp dịch vụ và đối
với các khoản tiền phạt ép tuân thủ khi họ đã vi
phạm. “Nói chung, vấn đề là
BGP là hệ thống nằm bên dưới cho việc định tuyến
giao thông Internet khắp thế giới và không có gì hiện
nay dùng được toàn bộ khỏi việc công bố không gian
địa chỉ IP của thực thể khác - việc đóng vai nó một
cách có hiệu quả”, Mandory đã viết trong một thư điện
tử. “Các kỹ thuật đó có thể được sử dụng để
can thiệp hoặc điều khiển các nội dung của giao thông
Internet bị lây nhiễm hoặc đơn giản tới giao thông 'lỗ
đen'”.
Nhà
cung cấp dịch vụ phần mềm gián điệp Hacking Team đã
dàn phối cuộc đột nhập các địa chỉ IP mà nó không
sở hữu để giúp cảnh sát Ý giành lại quyền kiểm
soát vài máy tính từng bị giám sát trong một cuộc điều
tra, thư điện tử giữa các nhân viên công ty đã chỉ
ra.
Trong
vòng 6 ngày vào tháng 08/2013, máy chủ Web Ý Aruba
S.p.A. đã thông báo sai sự sở hữu của nó đối với
256 địa chỉ IP trong hệ
thống định tuyến toàn cầu được biết tới như là
giao thức cổng vào biên giới, theo tài liệu các thông
điệp. Động thái của Aruba đã tới theo lệnh của
Hacking Team và Nhóm
Tác chiến Đặc biệt của Cảnh sát Quân độ Quốc gia Ý
(Special Operations Group of the Italian National Military Police),
đơn vị đã sử dụng phần mềm độc hại Hệ thống
Kiểm soát Từ xa của Hacking Team để giám sát các máy
tính của các mục tiêu không được xác định. Vụ chặn
bắt đã diễn ra sau khi các địa chỉ IP trở thành không
thể với tới được theo người chủ sở hữu hợp pháp
của nó là Santrex, nhà cung cấp dịch vụ đặt chỗ Web
“chống đạn” mà đã cung cấp cho các tội phạm và
đã
ngừng kinh doanh vào tháng 10/2013, theo KrebsOnSecurity.
Còn
chưa rõ từ các thư điện tử, nhưng chúng dường như
gợi ý Hacking Team và cảnh sát Ý cũng đã dựa vào
Santrex. Các thư điện tử đã bao gồm khoảng 400 GB dữ
liệu sở hữu độc quyền được lấy trong vụ
đột nhập cuối tuần trước của Hacking Team và sau
đó đã
đưa lên công khai trên Internet.
Với
mất mát bỗng nhiên một khối các địa chỉ IP, Nhóm Tác
chiến Đặc biệt của Ý đã không có khả năng giao tiếp
với vài máy tính đã bị lây nhiễm với phần mềm độc
hại của Hacking Team. Các thư điện tử chỉ ra Hacking
Team hỗ trợ các nhân viên thảo luận cách mà cơ quan ép
tuân thủ có thể giành lại quyền kiểm soát. Cuối cùng,
cảnh sát Ý đã làm việc với Aruba để có được khối
đó - điều từng được biết tới như là 46.166.163.0/24
theo cách nói về định tuyến Internet - đã công bố trong
hệ thống BGP là thuộc về Aruba. Đây là trường hợp
được biết tới đầu tiên về một ISP tuyên bố giả
mạo không gian địa chỉ của một nhà cung cấp khác,
Doug Madory, giám đốc phân tích Internet tại Dyn
Research, nơi thực hiện nghiên cứu về hiệu năng của
Internet, nói.
“Giao
thức cốt lõi không an toàn, cũ, ngu xuẩn”
Sự
tiết lộ là mới nhất nảy sinh các câu hỏi lo ngại về
BGP, cơ chế định tuyến cốt lõi của Internet mà hầu
như hoàn toàn dựa vào sự tin cậy. Dù khối /24 các địa
chỉ bị lây nhiễm từng là nhỏ và không hoạt động
một cách không giải thích được một thời gian, thì
cuộc chặn cướp đang gây ra rồi sự chỉ trích không
chỉ của sự phụ thuộc tiếp tục của thế giới vào
khung không an toàn, mà còn của sự không thích hợp của
Aruba, Hacking Team, và chính phủ Ý khi cùng để cho sự giả
mạo xảy ra.
“BGP
là một giao thức Internet cốt lõi không an toàn, cũ kỹ
và ngu xuất”, Filippo Valsorda, một kỹ sư của Đội An
toàn CloudFlare, đã nói cho Ars. “Lớp IP bị lây nhiễm,
46.166.163.0/24, từng không được công bố (chết) lúc nào
cả. Tuy nhiên, trò chơi tin cậy của BGP được chuyên tâm
và then chốt và sự thiếu trách niệm coi thường này làm
xói mòn lòng tin mà Internet sống sót dựa vào (và làm cho
nó rõ ràng đau đớn về cách mà nó cần phải đi khỏi
giao thức đó”.
Đây
không phải là lần đầu tiên BGP đã bị lạm dụng. Vào
cuối năm 2013, Dyn Research đã trình bày bằng chứng chỉ
ra rằng các phân đoạn giao thông Internet thuộc về định
chế quan tài chính, các cơ quan chính phủ, và các nhà
cung cấp dịch vụ đã lặp
đi lặp lại bị làm trệch đường tới các vị trí ở
xa và không có quyền, gây ra những nghi ngờ giao thông có
thể bị giám sát hơạc sửa đổi lén lút trước khi
cuối cùng tới được điểm đích mong muốn của nó.
Trong khi các cuộc chặn cướp lặp đi lặp lại từng là
nghiêm trọng nhất được đưa ra ánh sáng cho tới nay,
thì các vệt lớn khác của giao thông Internet thường
xuyên được thấy bị trệch đường tới các mạng ở
xa và không giải thích được, bao gồm cả giao
thông Internet nội địa của Nga chạy qua Trung Quốc năm
2014 và dữ
liệu của 167 khách hàng quan trọng của British Telecom đang
được định tuyến qua Ukraine đầu năm nay.
Các
thư điện tử của Hacking Team chỉ ra các nhân viên được
miễn hình phát đã cảm thấy như họ đã làm việc chặn
cướp khối các địa chỉ IP không hoạt động đó, một
số địa chỉ đã đặt chỗ cho các máy chủ riêng ảo
(VPS) được sử dụng như một phần của hệ thống chỉ
huy kiểm soát cho các máy tính bị lây nhiễm với phần
mềm độc hại của RCS. Bằng việc có Aruba tuyên bố
gian lận các địa chỉ đó, Hacking Team và khách hàng Ý
có thể đóng vai nhà cung cấp đặt chỗ Santrex và tái
thiết lập các giao tiếp truyền thông với các máy bị
lây nhiễm.
“Nếu
mọi điều từng được làm đúng, thì chúng tôi sẽ lấy
lại được việc nhảy trực tuyến VPS và rằng cửa hậu
đó vẫn còn sống và [chúng tôi] có thể liên hệ với
VPS đó”, một nhân viên hỗ trợ Hacking Team dấu tên đã
viết trong một
thư điện tử vào ngày 13/08/2013, điều mà Ars đã
dịch từ tiếng Ý sang tiếng Anh bằng việc sử dụng
Google Translate.
Kết
quả là, bảng định tuyến giả mạo đã quảng bá tới
các mạng, bao gồm cả các công ty truyền thông của Ý
Fastweb, MC-link
S.p.A, và Reteivo.it, nhà
cung cấp dịch vụ toàn cầu Easynet,
và nhà cung cấp dịch vụ đặt máy chủ và xương sống
Internet Hurricane Electric, theo một
bài viết trên log được xuất bản hôm chủ nhật của
các nhà nghiên cứu từ OpenDNS. Từ đó, đường giả mạo
đã lan truyền khắp thế giới từ Úc tới Philippines,
Madory của Dyn Research đã nói cho Ars. Từ chặn cướp
(hijacking) đầu tiên nổi lên vào hôm thứ sáu ở
đây.
Như
được lưu ý trước đó trong bài viết này, sự dễ dàng
điều khiểm giả mạo hệ thống BGP từ lâu đã được
thừa nhận như một điểm yếu chính trong an toàn
Internet. Các thư điện tử của Hacking Team (1,
2,
3,
4,
5,
6,
7,
8,
và 9)
đưa rủi ro đó ra khỏi lý thuyết và vào thực tiễn. Nó
cũng nhấn mạnh nhu cầu về các tiêu chí vạn năng phải
được xem xét từ các nhà cung cấp dịch vụ và đối
với các khoản tiền phạt ép tuân thủ khi họ đã vi
phạm.
“Nói
chung, vấn đề là BGP là hệ thống nằm bên dưới cho
việc định tuyến giao thông Internet khắp thế giới và
không có gì hiện nay dùng được toàn bộ khỏi việc
công bố không gian địa chỉ IP của thực thể khác -
việc đóng vai nó một cách có hiệu quả”, Mandory đã
viết trong một thư điện tử. “Các kỹ thuật đó có
thể được sử dụng để can thiệp hoặc điều khiển
các nội dung của giao thông Internet bị lây nhiễm hoặc
đơn giản tới giao thông 'lỗ đen'”.
Spyware
service provider Hacking Team orchestrated the hijacking of IP
addresses it didn't own to help Italian police regain control over
several computers that were being monitored in an investigation,
e-sent among company employees showed.
Over
a six day period in August 2013, Italian Web host Aruba
S.p.A. fraudulently announced its ownership of 256 IP addresses
into the global
routing system known as border gateway protocol, the messages
document. Aruba's move came under the direction of Hacking Team and
the Special
Operations Group of the Italian National Military Police, which
was using Hacking Team's Remote Control System malware to monitor the
computers of unidentified targets. The hijacking came after the IP
addresses became unreachable under its rightful owner Santrex, the
"bullet-proof" Web hosting provider that catered to
criminals and went
out of business in October 2013, according to KrebsOnSecurity.
It's
not clear from the e-mails, but they appear to suggest Hacking Team
and the Italian police were also relying on Santrex. The emails were
included in some 400 gigabytes of proprietary data taken during last
weekend's breach of Hacking Team and then made
public on the Internet.
With
the sudden loss of the block of IP addresses, Italy's Special
Operations Group was unable to communicate with several computers
that were infected with the Hacking Team malware. The e-mails show
Hacking Team support workers discussing how the law enforcement
agency could regain control. Eventually, Italian police worked with
Aruba to get the block—which was known as 46.166.163.0/24 in
Internet routing parlance—announced in the BGP system as belonging
to Aruba. It's the first known case of an ISP fraudulently announcing
another provider's address space, said Doug Madory, director of
Internet analysis at Dyn Research,
which performs research on Internet performance.
"Stupid,
old, insecure core protocol"
The
revelation is the latest to raise troubling questions about BGP, the
core Internet routing mechanism that's almost entirely based on
trust. Although the /24 block of affected addresses was small and
inexplicably inactive at the time, the hijacking is already
generating criticism not only of the world's continued dependence on
the insecure framework, but also of the impropriety of Aruba, Hacking
Team, and the Italian government for jointly making the fraud happen.
"BGP
is a stupid, old, insecure core protocol of the Internet,"
Filippo Valsorda, an engineer on the CloudFlare Security Team, told
Ars. "The affected IP class, 46.166.163.0/24, was unannounced
(dead) at the time. However, the BGP trust game is delicate and
critical and this reckless irresponsibility undermines the trust that
the Internet survives on (and makes it sorely clear how it needs to
move on from it)."
It's
not the first time BGP has been abused. In late 2013, Dyn Research
presented evidence showing that huge chunks of Internet traffic
belonging to financial institutions, government agencies, and network
service providers had repeatedly
been diverted to distant and unauthorized locations, stoking
suspicions the traffic may have been surreptitiously monitored or
modified before ultimately reaching its intended destination.
While the repeated hijackings were the most serious to come to light
so far, other large swaths of Internet traffic routinely are found
diverted to distant and unexplained networks, including Russia's
domestic Internet traffic passing through China in 2014 and 167
important British Telecom customers' data being routed through
Ukraine earlier this year.
The
Hacking Team e-mails show the impunity employees felt as they worked
to hijack the block of inactive IP addresses, some of which hosted
virtual private servers (VPSes) used as part of a command and control
system for the computers infected with the RCS malware. By having
Aruba fraudulently announce the addresses, Hacking Team and its
Italian customer could impersonate the Santrex hosting provider and
reestablish communications with the infected machines.
"If
everything was done correctly, we should get back the VPS online
hoping then that the backdoor is still alive and [we] may contact the
VPS," an unidentified Hacking Team support worker wrote in an
August
13, 2013 e-mail, which Ars translated from Italian into English
using Google Translate.
As
a result, the fraudulent routing table was broadcast to networks
including Italian telecommunications companies Fastweb,
MC-link
S.p.A, and Reteivo.it,
global service provider Easynet,
and Internet backbone and colocation provider Hurricane
Electric, according to a blog
post published Sunday by researchers from OpenDNS. From there,
the bogus route was spread around the world from Australia to the
Philippines, Dyn Research's Madory told Ars. Word of the hijacking
first surfaced on Friday here.
As
noted earlier in this post, the ease of fraudulently manipulating the
BGP system has long been recognized as a key weak point in Internet
security. The Hacking Team e-mails (1,
2,
3,
4,
5,
6,
7,
8,
and 9)
move that risk out of the theoretical and into the practical. It also
underscores the need for universal norms to be observed by service
providers and for enforceable penalties when they're breached.
"In
general, the issue is that BGP is the underlying system for directing
Internet traffic around the world and there is presently nothing to
stop an entity from announcing another entity's IP address
space—effectively impersonating it," Madory wrote in an
e-mail. "These techniques can be used to intercept or manipulate
the contents of affected Internet traffic or simply to 'blackhole'
traffic."
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.