Het Nationaal onderzoekscentrum voor Cybersecurity ATHENE heeft een manier gevonden om een ​​van de basismechanismen te doorbreken die worden gebruikt om internetverkeer te beveiligen. Het mechanisme, RPKI genaamd, is eigenlijk ontworpen om te voorkomen dat cybercriminelen of aanvallers van de overheid internetverkeer omleiden.

Dergelijke omleidingen komen verrassend vaak voor op internet, bijvoorbeeld voor spionage of door verkeerde configuraties. Het ATHENE-wetenschappersteam van prof. dr. Haya Shulman toonde aan dat aanvallers het beveiligingsmechanisme volledig kunnen omzeilen zonder dat de getroffen netwerkoperators dit kunnen detecteren. Volgens analyses van het ATHENE-team waren populaire implementaties van RPKI wereldwijd begin 2021 kwetsbaar.

Het team informeerde de fabrikanten en presenteerde de bevindingen nu aan het internationale expertpubliek.

Het verkeerd afleiden van stukjes internetverkeer zorgt voor opschudding, zoals in maart dit jaar gebeurde toen Twitter-verkeer gedeeltelijk naar Rusland werd omgeleid. Hele bedrijven of landen kunnen worden afgesloten van internet of internetverkeer kan worden onderschept of afgeluisterd.

Vanuit technisch oogpunt zijn dergelijke aanvallen meestal gebaseerd op prefix-kapingen. Ze maken gebruik van een fundamenteel ontwerpprobleem van internet:de bepaling van welk IP-adres bij welk netwerk hoort, is niet beveiligd. Om te voorkomen dat netwerken op internet IP-adresblokken claimen die ze niet rechtmatig bezitten, heeft de IETF, de organisatie die verantwoordelijk is voor internet, de Resource Public Key Infrastructure, RPKI, gestandaardiseerd.

RPKI gebruikt digitaal ondertekende certificaten om te bevestigen dat een specifiek IP-adresblok daadwerkelijk tot het opgegeven netwerk behoort. Ondertussen heeft volgens metingen van het ATHENE-team bijna 40% van alle IP-adresblokken een RPKI-certificaat en ongeveer 27% van alle netwerken verifieert deze certificaten.

Zoals het ATHENE-team onder leiding van Prof. Dr. Haya Shulman ontdekte, heeft RPKI ook een ontwerpfout:als een netwerk geen certificaat voor een IP-adresblok kan vinden, gaat het ervan uit dat er geen bestaat. Om het verkeer toch over het internet te laten stromen, negeert dit netwerk RPKI voor dergelijke IP-adresblokken, d.w.z. routeringsbeslissingen zullen puur gebaseerd zijn op onbeveiligde informatie, zoals voorheen. Het ATHENE-team kon experimenteel aantonen dat een aanvaller precies deze situatie kan creëren en zo RPKI kan uitschakelen zonder dat iemand het merkt. Vooral het getroffen netwerk, waarvan de certificaten worden genegeerd, zal het ook niet merken. De aanval, door het ATHENE-team Stalloris genoemd, vereist dat de aanvaller een zogenaamd RPKI-publicatiepunt beheert. Dit is geen probleem voor aanvallers van de staat en georganiseerde cybercriminelen.

Volgens de onderzoeken van het ATHENE-team waren begin 2021 alle populaire producten die door netwerken worden gebruikt om RPKI-certificaten te controleren op deze manier kwetsbaar. Het team informeerde fabrikanten over de aanval.

Nu heeft het team zijn bevindingen gepubliceerd op twee van de topconferenties op het gebied van IT-beveiliging, de wetenschappelijke conferentie Usenix Security 2022 en de industrieconferentie Blackhat U.S. 2022. Het werk was een samenwerking tussen onderzoekers van ATHENE-medewerkers Goethe University Frankfurt am Main, Fraunhofer SIT en Technische Universiteit van Darmstadt. + Verder verkennen

Meetinstrument voor opkomende Border Gateway Protocol-beveiligingstechnologieën