Start Empfohlen DHS nimmt Kern-Routing-Schwachstelle an

DHS nimmt Kern-Routing-Schwachstelle an

20
0


Kein ernsthafter Sicherheitsfreak hat die große Enthüllung des Lochs im Herzen des Routing-Protokolls des Netzes im letzten Jahr vergessen, aber ist das Department of Homeland Security die Einrichtung, die Sie sich vorgestellt haben, um es zu patchen?

Das Border Gateway Protocol (BGP) ist ein wesentlicher Bestandteil, der es dem Netz ermöglicht, dezentralisiert zu werden, aber dennoch in der Lage ist, Dinge von Punkt A nach Punkt B zu bringen. Es ist nicht etwas, das Sie einfach können nicht nutzen, wie JavaScript oder sogar HTTP. Als solches ist BGP ein fettes Ziel für Bösewichte, und letztes Jahr demonstrierten zwei Sicherheitsforscher auf der DefCon eine Technik, die es solchen Entitäten ermöglichen würde, unverschlüsselten Netzverkehr zu überwachen und sogar zu verändern.

Das BGP-Problem ist kein Fehler, da es absichtlich entworfen wurde; Es ist nur ein Design, das seine Zeit überdauert hat. (Es war einmal, niemand da draußen hätte etwas zu gewinnen, wenn er Ihr Routing korrumpierte.) Hin und wieder wird die Architektureigenschaft sogar absichtlich verwendet, um den Verkehr umzuleiten – aus guten Gründen (wenn es einen schnelleren Weg gibt, um Verkehr zu einem bestimmten Ziel) oder nicht so gute (als ein pakistanisches Telekommunikationsunternehmen entschied, dass es pakistanische Bürger daran hindern würde, auf bestimmte YouTube-Videos zuzugreifen, und schließlich die ganze Welt von der gesamten Website sperrte).

Verständlicherweise bestand ein gewisses Interesse an der Behebung des Problems, das auf die Zeit der teuren Verarbeitungszeit und allgemein vertrauenswürdiger Netzbenutzer zurückgeht. Betreten Sie DHS, das eine Chance sieht, die Cybersicherheit insgesamt zu stärken.

Die Bemühungen des Ministeriums, BGPSEC genannt, laufen seit mehreren Jahren, aber es plant, die Finanzierung in diesem Jahr zu vervierfachen. Die Bemühungen werden funktionieren, um digitale Signaturen zu den BGP-„Ankündigungen“ hinzuzufügen, die die Routing-Tabellen verwalten, und dem Änderungsprozess eine weitere und viel dickere Sicherheitsschicht hinzuzufügen.

Interessant, aber es stellen sich zwei potenzielle Fragen: Erstens, obwohl BGP eine anfällige Oberfläche ist, glauben einige, dass das DNS-System selbst leichter und möglicherweise mit ähnlichen Ergebnissen angegriffen werden könnte. Natürlich kein Grund, es nicht zu sichern, und das DHS stellt fest, dass es eine doppelte Anstrengung gibt, DNSSEC, das sich der Schließung von DNS-Löchern widmet, wie sie Dan Kaminsky letztes Jahr bekannt gemacht hat.

Auch, und vielleicht noch kritischer, fragen sich einige, ob DHS – eine Organisation, die als stark politisiert wahrgenommen wird – die richtige Speerspitze ist. Sicherheitsforscher verschiedener Organisationen waren sowohl an staatlichen Bemühungen als auch an Versuchen privater Unternehmen beteiligt, die Beständigkeit von BGP zu verbessern, aber viele Unternehmen, insbesondere im Ausland, ziehen die Augenbrauen über alle von den USA geführten Bemühungen zur Verwaltung des Netzes hoch, insbesondere wenn es um die Sicherheit geht.

Aber es gibt Hoffnung, auch für die politisch Unruhigen. DNSSEC – in seinen Bemühungen weiter fortgeschritten – wird vom DHS koordiniert, aber die Aufgabe wird von Unternehmen und anderen Einrichtungen auf der ganzen Welt ausgeführt. Das wird für den Erfolg von DNSSEC wichtig sein, das eine Infrastruktur von Diensten erfordert, die Domains signieren und signierte Domains hosten können, und es gibt keinen Grund zu der Annahme, dass dies bei einem BGP-System, das digitale Signaturen oder ähnliches erfordert, weniger sein wird andere Überprüfungsmethode für Änderungsankündigungen.

Der Ort für das Treffen der Köpfe der BGPSEC mag nicht jedem gefallen, aber es ist sehr schwer, gegen die Versammlung selbst zu argumentieren.



Vorheriger ArtikelMalware-Anbieter schwanken um die Einweihung
Nächster ArtikelDer nächste Showdown zur Netzneutralität am Rande des Netzes

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein