俄罗斯控制中心电信公司hiacks金融服务网络流量

  技术新闻     |      2018-06-17

周三,属于万事达卡、维萨和其他二十多家金融服务公司的大部分网络流量,在无法解释的情况下,通过俄罗斯政府控制的电信进行了短暂的路由,这再次引发了对一些最敏感的互联网通信的信任和可靠性的挥之不去的疑问。

边界网关协议中的异常是常见的,通常是人为错误的结果,边界网关协议在互联网骨干网、ISPs和其他大型网络之间路由大量流量。虽然周三可能有36个大型网络块被劫持5到7分钟,但由于技术和金融服务公司高度集中,使得网络监控服务公司BGPmon的工程师对这一事件感到好奇。此外,一些受影响的网络被重定向的方式表明,它们的底层前缀被手动插入到BGP表中,最有可能是由俄罗斯政府控制的电信公司Rostelecom的某个人手动插入的,Rostelecom错误地宣布了这些区块的所有权。网络管理公司Dyn的互联网分析主管道格·马多利告诉Ars说:“

相当可疑 我会将此归类为相当可疑”。一般情况下,意外泄漏显得更大且不分青红皂白。这似乎是针对金融机构的。造成这些错误的一个典型原因是[ ]在某种内部交通工程中,但奇怪的是,有人会把他们的交通工程限制在大部分金融网络上。

通常,去往万事达卡、Visa和其他受影响公司的网络流量通过公司雇佣和授权的服务提供商。使用BGP路由表,授权提供商宣布他们拥有属于客户公司的大块IP地址。然而,周三下午太平洋时间下午3点36分左右,Rostelecom突然宣布控制这些街区。因此,流入受影响网络的流量开始通过Rostelecom路由器。劫持持续了五到七分钟。结束后,恢复正常路由。这个事件在这里用BGPlay很好地捕捉到了一个图形。

劫机事件本可以让俄罗斯境内的个人拦截或操纵流入受影响地址空间的流量。这种拦截或操纵最容易对未加密的数据进行,但即使在加密的情况下,仍可能使用诸如日志堵塞和淹没等名称的攻击对流量进行解密,这与一些组织仍在使用的过时传输层安全实现背道而驰。

Madory说,即使无法解密数据,攻击者也可能利用转移的流量来列举哪些方正在发起与万事达卡和其他受影响公司的连接。然后攻击者可以攻击那些防御能力可能较弱的方。

根据Rostelecom提供的股东信息,俄罗斯政府拥有电信公司49 %的普通股。美国商务部将Rostelecom列为国有企业,并报告说,一名或多名政府高级官员在Rostelecom董事会中拥有席位。rostelecom官员没有回复要求对此帖子发表评论的电子邮件。

受影响的公司网络还包括属于安全提供商赛门铁克和技术公司EMC的网络。受影响的36个网络前缀以及这些前缀的注册所有者和位置的列表为:

202 . 138 . 100 . 0 / 24 Reliance Communications Bangalore carntaka州145 . 226 . 109 . 0 / 24 Euro - Information DE le - le - fre - DE - Fortis Bank nn . n . v .布鲁塞尔布鲁塞尔布鲁塞尔- Capitale be 217 . 75 . 242 . 0 / 24托管互联网服务维也纳股份有限公司维也纳股份有限公司at193.104.123.0/24 provis service provider sa Bucharest bugarest口腔服务提供商ro69.58.181.0/24维也纳股份有限公司完成服务股份有限公司维也纳at193.104.123.0/24维也纳股份有限公司维也纳股份有限公司维也纳股份有限公司< x1cs >进一步阅读攻击hijack huge chunks互联网交通、研究人员warboth madory和布尔普蒙博客开放后开放可能性部落格,这些都是不可接受的。假设这是一个意外,这将是第一个BGP交通运输的时代,是一个国际性的娱乐时代。2013年,代理人最终获悉,金融机构、政府机构和网络服务提供者在最终目的地重新安排了因特网贩运中的huge chunks。在9个月的时间里,renesys researchers counted 38 distinct diversions to routers at Belarusian or Icelandic service providers.(可再生研究者计划,38个单独的多样性分散在白俄罗斯或Iceland services providers )。hacks受到影响,主要金融机构、政府和网络服务提供者位于美国、南朝鲜、德国、捷克共和国、立陶宛、利比亚和伊朗。< x1cs >这样的hijacks了解全世界BGP路线通告中的信任政府和公司的内在性。对于今后几年,工程师们提出了各种措施,以确保服务提供者只能宣布这些网络。然而,目前还没有任何权威性的办法来做到这一点。dyn、bgpmon和similar services do a good job detection when unautherzed announced,但在改进重定向或hijackings之后,这些检测不到vitably comes after improvement or hijackings已经准备好了。< x1cs >