Neděle 25. července 2021, svátek má Jakub
  • schránka
  • Přihlásit Můj účet
  • Neděle 25. července 2021 Jakub

Čína k sobě přesměrovala internet z celého světa, může to kdykoli zopakovat

Skandální a úmyslný útok na on-line data USA, podle jiných možná jen technická chyba. Internet je zranitelnější, než si mnozí myslí, není problém podvrhnout údaje o připojení a odposlouchávat tok dat.

Ilustrační fotografie | foto: Profimedia.cz

V dubnu 2010 bylo 15 procent všech internetových tras přesměrováno na China Telecom, čínskou státem provozovanou telekomunikační společnost. Incident je označován za "masivní čínský útok na data Američanů a jejich spojenců."

Princip útoku

Velice zjednodušeně: Data jsou po internetové síti posílána po balíčcích (paketech) ze serveru na server, dokud nedojdou do cíle. Routery si mezi sebou dávají vědět, kudy skrze ně vede nejkratší cesta.

Pokud některý z routerů falešně ohlásí, že přes něj vede nejkratší cesta do místa X, ostatní na něj začnou posílat pakety určené do tohoto místa. Tyto pakety pak útočník může nejen přesměrovávat, ale také číst nebo upravovat.

Tento BGP útok zkoušel využít např. Pákistán pro blokaci YouTube v roce 2008.

"Dne 8. dubna 2010, v 15:54 GMT, jsme zachytili signál čínských routerů, který v důsledku vedl k přesměrování 15 procent světových internetových tras skrze servery čínského China Telecom," píše blog McAfee. "Po následujících přinejmenším 18 minut toto přesměrování trvalo a přes Čínu proudila armádní i civilní data z USA a jejich spojenců."

Co se s těmi daty dělo, není jisté. "Možností je mnoho a jsou dost děsivé," mluví blog třeba o uchovávání e-mailů, zpráv a hovorů nebo dokonce o jejich pozměnění.

"Je to jeden z největších útoků, jaké jsme kdy viděli, jestli ne dokonce ten vůbec největší," uvedl Smitri Alperovitch z McAfee. Jeho nebezpečí tkví podle něj i v tom, že jej postižení uživatelé prakticky nemohli zaznamenat.

Únos na síti

Tyto "internetové únosy", za které může špatná instrukce, se občas stanou vinou chyby na routerech nebo serverech. Ale pak se obvykle na chybu přijde, neboť přesměrované pakety nedorazí na místo doručení. V případě čínského cyberúnosu byl ovšem přenos dat pouze mírně pozdržen.

Alperovitch píše, že Čína má možnost ke zneužití svého postavení coby důvěryhodné certifikační autority (dalšími autoritami jsou např. Verisign, Microsoft, Deutsche Telecom, Visa aj.). Incident podle něj ukazuje na zranitelnosti současného systému zabezpečení. "Nevíme, zda šlo o úmyslné zneužití nebo chybu, ale je téměř jisté, že k podobným incidentům dojde znovu," uzavírá Alperovitch.

Nezabezpečený internet?

Jak je to s bezpečností internetových protokolů? Je Čína v tomto ohledu specifickou výjimkou? Na naše otázky odpovídá Ondřej Filip, výkonný ředitel CZ.NIC .

Jde o problém specifický pro Čínu, nebo může podobný útok zorganizovat i někdo jiný?
Rozhodně není specifický, tento útok je způsoben absencí zabezpečení již zmiňovaného BGP protokolu a může jej v podstatě provést každý větší operátor na Internetu. Dalším příkladem tohoto útoku může být zablokování YouTube provedené pakistánským Telecomem z února 2008.

V internetové komunitě se již pracuje na mechanismu, který by měl podobným (úmyslným či neúmyslným) útokům bránit, této technologii se říka Resource Public Key Infrastructure - RPKI.

Do jaké míry jde o reálnou hrozbu pro fungování Internetu?
K samotnému útoku lze uvést, že jeho podstata je velmi dobře známa a prozkoumána. I tento konkrétní útok byl poměrně dobře zdokumentován. Vzhledem k tomu, jak jednoduše byl proveden, se osobně kloním k názoru, že šlo spíše o chybu operátora dané sítě. Celá věc nebyla nijak maskována, nedošlo k přesměrování pouze amerických síti, ale i mnoha čínských, korejských, australských, mexických a podobně. Ke stejnému přesvědčení mě vede i fakt, že s vložením nesprávných informací do protokolu BGP byl použit i tzv. BGP prepending, což je mechanismus, který snižuje váhu vložených informací a údajný útok by pak měl mnohem menší účinnost.

Na úrovni protokolu BGP existuje mnohem zákeřnější útok, který se výrazně hůře detekuje. (Pozn.: Útok spočívá ve využití protismyčkových opatření na routerech a je téměř nezjistitelný, neboť o jeho průběhu nejsou v cestě paketů žádné či téměř žádné památky. Jeho podrobný popis najdete v anglickém PDF)

Je podobný útok možný i po zavedení bezpečného DNS? (více zde)
Bohužel bezpečné DNS v tomto případě nijak nepomůže. Tento útok byl namířen proti směrovacímu protokolu BGP, do kterého byly vloženy nesprávné informace o směrování daných sítí. To způsobí, že útočník přesměruje tok informací mezi dvěma komunikujícími stranami tak, že informace (aspoň v jednom směru) proudí přes něj. Tedy trochu analogie toho, pokud by byl útočník "na drátě" mezi oběma komunikujícími stranami.

Kdo může odposlechnout HTTPS komunikaci a jak?
Odposlechnout již probíhající HTTPS komunikaci je velice obtížné. Nicméně v případě, že dokážete přesměrovat komunikaci určenou pro nějaký HTTPS server (například pomocí útoku na protokol BGP) a zároveň vlastníte ve světě uznávanou certifikační autoritu, můžete cílovou www stránku podvrhnout tak, že klient nepozná, že se připojuje na vaše falešné stránky. Tím je pak možné zjistit například klientská hesla a podobně.

Autor:
  • Nejčtenější

Opravdová vesmírná turistika začala. Bezos s hosty strávili minuty v kosmu

O něco málo více než deset minut trvala celá cesta od startu do přistání pro čtyři vesmírné turisty, kteří se v úterý...

Rusko ukázalo novou „neviditelnou“ stíhačku. Šach mat má vzlétnout za dva roky

Rusko představilo chystaný „neviditelný“ letoun 5. generace. Stíhačka s přezdívkou Šach mat má jeden motor, v budoucnu...

Událost, která vyhubila dinosaury, přichází průměrně za 500 milionů let

Nové poznatky o kosmickém zabijákovi dinosaurů ukazují, že Chicxulubský asteroid byl temný kosmický tulák. Na zkoumání...

První velký export vojenské techniky z ČSR po roce 1945 mířil do Švýcarska

Mezi velké exportéry zbraní patřilo i malé Československo. Většina jeho zbrojního exportu mezi lety 1945 a 1989 šla...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Jak začalo strategické bombardování a budování první protivzdušné obrany

Pod pojmem letecký souboj si většina lidí představí boj dvou letounů. V počátcích letectví se však utkávaly i letouny...

Ze sbírky na pohřeb Roma pozůstalí nedostali nic. Byl to podvod

Premium Měl mít velkolepý pohřeb. Balzamování, bíle lakovaná rakev z Ameriky, kočár tažený vraníky... Rodina Roma, který zemřel...

Klaus: Volby nic nepřinesou. Kolem covidismu a genderismu se bude chodit po špičkách

Premium Každý z nás by se měl sám rozhodnout, jakou míru opatrnosti vůči nákaze covidem chce zvolit, říká přesvědčeně bývalý...

Česko formuje domobranu. Výcvik může podstoupit každý, kdo má zbrojní průkaz

Premium Stát zakázal ozbrojené skupiny a lidem nabídl alternativu: absolvujte speciální kurz a můžete Česku pomáhat se zbraní....

  • Další z rubriky

Facebook ruší přes miliardu účtů a chce otevřít Instagram dětem

Společnost Facebook nedovoluje podle svých pravidel zřídit účet dětem pod třináct let. Nyní se podle zveřejněné interní...

Facebooková „rada moudrých“ může nově rozhodovat i o mazání příspěvků

Před necelým rokem zřídil Facebook speciální nezávislý poradní orgán, který se doposud zabýval obsahem, který smazali...

K přihlášení ke službám Googlu budete brzy potřebovat mobil nebo otisk

Google se chystá zavést dvoufaktorové přihlašování k účtům, které uživatel v rámci jeho služeb využívá. V dohledné době...

Online služby umí převést i upravit PDF soubory. Nově i Adobe

Převádět, měnit pořadí stránek, vyplňovat a dělat další úpravy nebylo s PDF soubory nikdy úplně snadné. Existuje přitom...

LETNÍ SOUTĚŽ: Už jste navštívili Archeopark Chotěbuz?
LETNÍ SOUTĚŽ: Už jste navštívili Archeopark Chotěbuz?

Vkládejte svoje tipy na výlety s dětmi a vyhrávejte hodnotné ceny po celé léto. Kam vyrazit tento týden? Navštivte třeba Archeopark Chotěbuz.

Zemřel slovenský herec Milan Lasica, zkolaboval přímo na jevišti

Ve věku 81 let zemřel slovenský herec Milan Lasica. Web sme.sk uvedl, že vystupoval se skupinou Bratislava Hot...

Petr Rajchert si změnil příjmení a potřetí se oženil, manželka je těhotná

Zakládající člen kapely Chinaski Petr Hradil (rodným příjmením Rajchert) se v třiapadesáti letech potřetí oženil. Po...

Holanová: Rozvod s Šípem? Do vztahu se nám vloudila mlaďounká chybička

Rozhovor s Marcelou Holanovou vznikal v Chateau Šanov na soustředění s finalisty soutěže Muž roku 2021. Zpěvačka, která...

Zemřel František Nedvěd. Folkové legendě se vrátila rakovina plic

V třiasedmdesáti letech zemřel v neděli folkový muzikant František Nedvěd. Prohrál boj s rakovinou plic. Úmrtí na...

Pornoherečka se zastřelila kvůli rakovině. Její kolega se zabil na motorce

Americká pornoherečka Dahlia Sky spáchala sebevraždu. Měla rakovinu prsu a podle lékařů poslední fáze nemoci provázely...