Документ обсуждает уязвимости систем безопасности, связанных с атаками типа MITM, и акцентирует внимание на проблемах при использовании протоколов DNS и BGP. Приводится ряд примеров инцидентов, связанных с перехватами трафика и утечками информации, подчеркивающих недостатки существующих методов сертификации и мониторинга. Автор настоятельно рекомендует улучшение безопасности и рассматривает альтернативы для более надежного контроля за состоянием сетевой инфраструктуры.

1. Перехват трафика
Мифы и
Реальность
Евгений Усков
Александр Азимов
Qrator Labs

2. MiTM Attacks

3. Ночь, улица, коллектор…

4. Big Brother Is Watching You

5. Но все изменилось…

6. Но все изменилось…

7. Все стало хорошо?
https://www.ssllabs.com/ssl-pulse/

8. Не совсем…
Уязвимости, связанные с MiTM (октябрь 2017)
● Уязвимость WPA2
● Критическая уязвимость Windows DNS Client
● Уязвимость в Outlook 2016

9. Уязвимость Windows DNS Client
DNS query
Malicious
DNS response
Remote code
execution

10. Уязвимость в Outlook 2016
Outlook 2016 вместе с зашифрованным письмом
присылает его открытый текст

11. Уязвимость в Outlook 2016
Открытый текст

12. HTTPS
Идеальные условия:
• Сервер использует только HTTPS
• Все обновления безопасности установлены
• Уязвимости отсутствуют (и у клиента, и у сервера)
Полная безопасность?

13. HTTPS
Идеальные условия:
• Сервер использует только HTTPS
• Все обновления безопасности установлены
• Уязвимости отсутствуют (и у клиента, и у сервера)
Не совсем

14. Выдача сертификатов
May I have certificate
for example.com

15. Выдача сертификатов
May I have certificate
for example.com
OK

16. Выдача сертификатов
May I have certificate
for example.com
OK
May I have certificate
for example.com

17. Как проверяетя «владение» домена?

18. Система сертификации уязвима к
MiTM!

19. Система сертификации уязвима к
MiTM!
May I have certificate
for example.com
OK
May I have certificate
for example.com
OK

20. Но это были только цветочки…

21. MiTM Attacks
Connecting, port 80Connecting, port 80

22. MiTM Attacks
Connecting, port 80
HTTP 302
Connecting, port 80

23. MiTM Attacks
Connecting, port 80
HTTP 302
Connecting, port 443
Connecting, port 80

24. MiTM Attacks
Connecting, port 80
HTTP 302
Connecting, port 443
HTTP 200
Connecting, port 80
HTTP 200
EncryptedNot encrypted

25. Как перехватить трафик?

26. Что управляет вашим трафиком?
Ключевую роль играют 2 протокола:
• DNS (Domain Name System)
• BGP (Border Gateway Protocol)

27. Создатели Интернета

28. DNS

29. DNS
Проблемы:
• Данные передаются открытым текстом
• Ответы никак не верифицируются
DNS spoofing (DNS cache poisoning)

30. DNS spoofing
DNS query
Spoofed
DNS response
Cache
poisoned

31. DNS spoofing
DNS query
Spoofed
DNS response

32. BGP
Автономная система (AS) — система IP-сетей и
маршрутизаторов, управляемых одним или несколькими
операторами, имеющими единую политику маршрутизации с
Интернетом
• Автономные системы обмениваются информацией о
доступности сетей
• На основе полученной информации принимается решение
о маршрутизации

33. BGP
Проблемы:
• Маршрутизатор может отправить произвольный
анонс своим соседям
• Во многих случаях анонсы не верифицируются
BGP hijacks, BGP route leaks

34. BGP hijacking
AS 1
Я знаю маршрут
до X.Y.Z.0/23

35. BGP hijacking
AS 1 AS X
Я знаю маршрут
до X.Y.Z.0/23
Я знаю маршрут
до X.Y.Z.0/24

36. BGP route leaks
Provider
(AS 2)
Customer
(AS 3)
Анонс X.Y.Z.0/24
через AS 2Анонс X.Y.Z.0/24
через AS 3 2
Provider
(AS1)

37. Что управляет вашим трафиком?
DNS
BGP
BGP Hijacks
BGP Route Leaks
DNSSec
BGPSec
RFC4035, 2005
Adoption rate: 15%
RFC8205: 2017
Adoption rate: 0%
Cache Poisoning
DNS Spoofing

38. DNS spoofing: Yandex
Yandex
Blackhole
Other

39. BGP route leak: Google
Инцидент 25 апреля 2017:
• Утечка около 135к префиксов в сторону Verizon
• Трафик, предназначенный для Японии, был
направлен на серверы Google
• Недоступность многих сервисов в Японии в
течение 40 минут

40. BGP hijacking: Ростелеком
Инциденты 25-27 апреля 2017:
• Ростелеком анонсирует от себя около 50
префиксов из других автономных систем
• Трафик ряда сервисов был перенаправлен в
Ростелеком
• Среди них Visa, MasterCard, Приватбанк, Norvik Bank,
Альфа-банк, HSBC

41. BGP route leak: Homecredit банк

42. Большая тройка – MiTM – Ростелеком

43. «Добрый» перехват трафика
+73ms в среднем
+244ms максимально
Увеличивает вероятность потери
пакетов.
Одинаковый эффект, как от
перехвата входящего, так и
исходящего трафика

44. Мониторинг или жизнь?
•Системы сертификации уязвимы к MiTM!
•Но даже сертификат не нужен для успешной атаки…
•Перенаправление трафика пугающе просто осуществить;
•Развитие протоколов безнадежно отстает;
•Альтернативы мониторингу не существует.

45. Qrator.Radar
400 точек BGP мониторинга по всему миру!

46. Qrator.Radar
BGP Secuirty Monitoring
radar.qrator.net
DNS Monitoring
BGP Security Monitoring
Vulnerability Monitoring
Connectivity Monitoring