Neděle 13. června 2021, svátek má Antonín
  • schránka
  • Přihlásit Můj účet
  • Neděle 13. června 2021 Antonín

Čína k sobě přesměrovala internet z celého světa, může to kdykoli zopakovat

Skandální a úmyslný útok na on-line data USA, podle jiných možná jen technická chyba. Internet je zranitelnější, než si mnozí myslí, není problém podvrhnout údaje o připojení a odposlouchávat tok dat.

Ilustrační fotografie | foto: Profimedia.cz

V dubnu 2010 bylo 15 procent všech internetových tras přesměrováno na China Telecom, čínskou státem provozovanou telekomunikační společnost. Incident je označován za "masivní čínský útok na data Američanů a jejich spojenců."

Princip útoku

Velice zjednodušeně: Data jsou po internetové síti posílána po balíčcích (paketech) ze serveru na server, dokud nedojdou do cíle. Routery si mezi sebou dávají vědět, kudy skrze ně vede nejkratší cesta.

Pokud některý z routerů falešně ohlásí, že přes něj vede nejkratší cesta do místa X, ostatní na něj začnou posílat pakety určené do tohoto místa. Tyto pakety pak útočník může nejen přesměrovávat, ale také číst nebo upravovat.

Tento BGP útok zkoušel využít např. Pákistán pro blokaci YouTube v roce 2008.

"Dne 8. dubna 2010, v 15:54 GMT, jsme zachytili signál čínských routerů, který v důsledku vedl k přesměrování 15 procent světových internetových tras skrze servery čínského China Telecom," píše blog McAfee. "Po následujících přinejmenším 18 minut toto přesměrování trvalo a přes Čínu proudila armádní i civilní data z USA a jejich spojenců."

Co se s těmi daty dělo, není jisté. "Možností je mnoho a jsou dost děsivé," mluví blog třeba o uchovávání e-mailů, zpráv a hovorů nebo dokonce o jejich pozměnění.

"Je to jeden z největších útoků, jaké jsme kdy viděli, jestli ne dokonce ten vůbec největší," uvedl Smitri Alperovitch z McAfee. Jeho nebezpečí tkví podle něj i v tom, že jej postižení uživatelé prakticky nemohli zaznamenat.

Únos na síti

Tyto "internetové únosy", za které může špatná instrukce, se občas stanou vinou chyby na routerech nebo serverech. Ale pak se obvykle na chybu přijde, neboť přesměrované pakety nedorazí na místo doručení. V případě čínského cyberúnosu byl ovšem přenos dat pouze mírně pozdržen.

Alperovitch píše, že Čína má možnost ke zneužití svého postavení coby důvěryhodné certifikační autority (dalšími autoritami jsou např. Verisign, Microsoft, Deutsche Telecom, Visa aj.). Incident podle něj ukazuje na zranitelnosti současného systému zabezpečení. "Nevíme, zda šlo o úmyslné zneužití nebo chybu, ale je téměř jisté, že k podobným incidentům dojde znovu," uzavírá Alperovitch.

Nezabezpečený internet?

Jak je to s bezpečností internetových protokolů? Je Čína v tomto ohledu specifickou výjimkou? Na naše otázky odpovídá Ondřej Filip, výkonný ředitel CZ.NIC .

Jde o problém specifický pro Čínu, nebo může podobný útok zorganizovat i někdo jiný?
Rozhodně není specifický, tento útok je způsoben absencí zabezpečení již zmiňovaného BGP protokolu a může jej v podstatě provést každý větší operátor na Internetu. Dalším příkladem tohoto útoku může být zablokování YouTube provedené pakistánským Telecomem z února 2008.

V internetové komunitě se již pracuje na mechanismu, který by měl podobným (úmyslným či neúmyslným) útokům bránit, této technologii se říka Resource Public Key Infrastructure - RPKI.

Do jaké míry jde o reálnou hrozbu pro fungování Internetu?
K samotnému útoku lze uvést, že jeho podstata je velmi dobře známa a prozkoumána. I tento konkrétní útok byl poměrně dobře zdokumentován. Vzhledem k tomu, jak jednoduše byl proveden, se osobně kloním k názoru, že šlo spíše o chybu operátora dané sítě. Celá věc nebyla nijak maskována, nedošlo k přesměrování pouze amerických síti, ale i mnoha čínských, korejských, australských, mexických a podobně. Ke stejnému přesvědčení mě vede i fakt, že s vložením nesprávných informací do protokolu BGP byl použit i tzv. BGP prepending, což je mechanismus, který snižuje váhu vložených informací a údajný útok by pak měl mnohem menší účinnost.

Na úrovni protokolu BGP existuje mnohem zákeřnější útok, který se výrazně hůře detekuje. (Pozn.: Útok spočívá ve využití protismyčkových opatření na routerech a je téměř nezjistitelný, neboť o jeho průběhu nejsou v cestě paketů žádné či téměř žádné památky. Jeho podrobný popis najdete v anglickém PDF)

Je podobný útok možný i po zavedení bezpečného DNS? (více zde)
Bohužel bezpečné DNS v tomto případě nijak nepomůže. Tento útok byl namířen proti směrovacímu protokolu BGP, do kterého byly vloženy nesprávné informace o směrování daných sítí. To způsobí, že útočník přesměruje tok informací mezi dvěma komunikujícími stranami tak, že informace (aspoň v jednom směru) proudí přes něj. Tedy trochu analogie toho, pokud by byl útočník "na drátě" mezi oběma komunikujícími stranami.

Kdo může odposlechnout HTTPS komunikaci a jak?
Odposlechnout již probíhající HTTPS komunikaci je velice obtížné. Nicméně v případě, že dokážete přesměrovat komunikaci určenou pro nějaký HTTPS server (například pomocí útoku na protokol BGP) a zároveň vlastníte ve světě uznávanou certifikační autoritu, můžete cílovou www stránku podvrhnout tak, že klient nepozná, že se připojuje na vaše falešné stránky. Tím je pak možné zjistit například klientská hesla a podobně.

Autor:
  • Nejčtenější

Některé funkce z Windows a Office zmizely. Připomeňte si ty nejhorší

Microsoft se v průběhu let v systému Windows zbavil celé řady funkcí. Některé byly zbytečné, jiné až otravné. Pojďme si...

Jak Izrael zničil irácký jaderný reaktor. Došlo i na spolupráci s Íránem

Izrael byl a je Arabům trnem v oku. K jeho zničení neváhali desítky let usilovat o získání jaderných zbraní. Na čele...

Snahy nepřátel pořídit si jaderné zbraně se rozhodl Izrael eliminovat

V létě 1981 přeoraly izraelské bomby irácký jaderný reaktor v Al Tuvajtě. Tím Saddámu Husajnovi na dlouhou dobu...

Nový objev ukazuje, že u moravského Štramberka plavali v moři krokodýli

Ve vápencových sedimentech v okolí Štramberka byly objeveny fosilní zuby nových druhohorních plazů. Přesné určení...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

První vzdušné tankování z dronu. Američané jsou zase o krok napřed

Letové testy tankovacího bezosádkového letounu Boeing MQ-25 Stingray mají za sebou významný milník. Vůbec poprvé v...

O antikoncepci už není takový zájem. Párový sex upadá, míní gynekolog

Premium „Všichni strašili, že bude upadat mravnost a ženy budou mít z dlouhodobého užívání pilulek zhoubná onemocnění jater....

Upřímnost fotbalové antihvězdy. Souček o tetování, rasismu i vyjídání ledničky

Premium Říká o sobě, že je obyčejný kluk z Brodu. Přitom si ho už stihla zamilovat fotbalová Anglie a Česko na něj spoléhá: na...

Poslední snímky: Abrhám testoval vozíček, Šafránková se ho snažila rozesmát

Premium Jak dnes žijí Josef Abrhám (81) a Libuše Šafránková (67)? O pohádkovém podzimu života bohužel nemůže být řeč, časopis...

  • Další z rubriky

Twitter začal testovat hlasovou konkurenci Clubhousu na další platformě

Úspěch sociální sítě Clubhouse, která sází na hlasovou komunikaci, nedá spát jeho konkurenci. I proto se Twitter pustil...

Facebook, Instagram, WhatsApp i Messenger měly výpadky. Twitter se směje

Nejpoužívanější sociální síť a také prakticky všechny ostatní služby společnosti Facebook měly v podvečer výpadky....

Facebook ruší přes miliardu účtů a chce otevřít Instagram dětem

Společnost Facebook nedovoluje podle svých pravidel zřídit účet dětem pod třináct let. Nyní se podle zveřejněné interní...

TikTok se bude v Británii a EU zpovídat ze shromažďování dat o dětech

Čínská sociální síť TikTok po problémech ve Spojených státech a dalších zemích musí čelit žalobě i v Evropské unii a...

Homeopatie je šetrná léčba bez vedlejších účinků, říká MUDr. Eliška Bartlová
Homeopatie je šetrná léčba bez vedlejších účinků, říká MUDr. Eliška Bartlová

Dnes už homeopatie není v lékařské praxi žádným ojedinělým úkazem. Stále více lékařů se v léčbě svých pacientů kloní k používání homeopatických...

Manželka majitele Alzy promluvila o fungování firmy, se Zavoralem se rozvádí

Majitel tuzemského internetového gigantu Alza.cz Aleš Zavoral patří se svým jměním mezi nejbohatší Čechy. Na rozdíl od...

Sledujeme začátek rituální sebevraždy lidstva, říká Čech s nejvyšším IQ

Premium Oficiálně se považuje za nejchytřejšího Čecha. Jako robot ale nepůsobí. Při osobním setkání je Karel Kostka, vzděláním...

Datově neomezený tarif nebyl nikdy tak levný. Co na to konkurence?

Datově neomezené tarify mají v nabídce všichni tuzemští mobilní operátoři, avšak ve srovnání s běžnými tarify s...

Mladí by chtěli do penze v 60 letech. Mají jasno, jaký důchod jim postačí

Generace narozená po roce 1971 bude podle současných pravidel odcházet do penze v 65 letech. A to jak ženy, tak i muži....

Dušek: Očkovat se nenechám. Indiáni raději zemřeli, než se nechat zotročit

Jaroslav Dušek promluvil o svém rozhodnutí nenechat se očkovat vakcínou proti covidu-19. Herec, který nedávno oslavil...