Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Czy Twój dostawca Internetu jest podatny na przejmowanie ruchu z wykorzystaniem BGP? Sprawdź na żywo tutaj
Nasi czytelnicy dzielą się na dwie grupy: twierdzący, że przecież z wykorzystaniem BGP nie można przechwytywać ruchu, bo masa firm stosuje zabezpieczenie RPKI. Druga grupa twierdzi, że nie ma z tym problemu – przecież BGP jest stary i od wielu lat niewiele zrobiono z tym problemem.
Tymczasem gdzieś po środku mamy dostarczany przez Cloudflare serwis: https://isbgpsafeyet.com/ gdzie można sprawdzić odporność własnego dostawcy Internetu na BGP Hijack.
Najprawdopodobniej Wasz dostawca nie zaimplementował stosownych zabezpieczeń, ale czy to powód do paniki? Jakoś przez kilkadziesiąt lat wszystko działało jak działa i teraz i mimo teoretycznych i praktycznych możliwości BGP hijackingu, raczej nikt nie siada do komputera obgryzając paznokcie (bo w każdej minucie mogą przechwycić mój ruch). Z drugiej strony wzruszanie ramionami twierdząc, że „zawsze tak było” – też nie jest chyba optymalnym podejściem ;-)
–ms
Your ISP (3S S.A., AS31242) implements BGP safely.
UPC – podatny, taki wielki dostawca, oni tak specjalnie?
nie ma przypadków, są tylko znaki…
I przyklad sprzed 2 tygodni (z Waszego artykulu):
https://sekurak.pl/rosja-przechwycila-przypadkiem-czesc-ruchu-google-facebooka-amazona-i-masy-innych-znanych-firm/
P.S. Moj dostawca:
„Your ISP (Orange Polska S.A., AS5617) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.”
Your ISP (Polkomtel Sp. z o.o.) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Your ISP (Aruba Cloud DE) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Your ISP (Orange Polska S.A., AS5617) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Prawdę jednak mówiąc – w dobie zaniku plain-textu – nie wiem co przysłowiowy „ruski haker” miałby z tym przechwyconym ruchem zrobić.
Your ISP (NASK, AS8308) does not implement BGP safely.
Tak naprawdę pierwszym sposobem przeciwdziałania skutkom tego typu „zabiegów” było upowszechnienie szyfrowania E2E na bardzo wielu usługach w internecie, a więc rozpowszechnienie HTTPS w ostatnich latach (bardzo imponujące z resztą, jeśli porównamy statystyki liczby stron używających https w 2015 i 2019 np). Oczywiście wciąż pewnym problemem są usługi typu DNS – DOH wśród „statystycznych użytkowników” nie jest jeszcze upowszechniony, a poprzednie technologie tego typu nie przyjęły się. Potencjalny przechwytujący może więc łatwo zobaczyć na jakie strony próbujemy wchodzić, ale już samo „podglądnięcie” komunikacji wymagałoby od niego odszyfrowania RSA. W mojej opinii to główny powód dla którego nie „obgryzamy paznokci” kiedy siadamy do komputera, jak to ujął Autor artykułu. Oczywiście też uważam, że powinno się minimalizować ryzyka i możliwości „kradzieży ruchu” jednak internet już od jakiegoś czasu „pogodził się” z faktem, że z jego samej natury wynika przesyłanie informacji przez węzły pośrednie i od dłuższego czasu „zabezpiecza się” mając to na uwadze.
Your ISP (Orange Polska S.A., AS5617) does not implement BGP safely.
Your ISP (Multimedia Polska S.A., AS21021) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Your ISP (Liberty Global, AS6830) does not implement BGP safely.
Your ISP (VECTRA, AS29314) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Your ISP (AS201925) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Your ISP (AS41676) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.
Wdrożenie RPKI dla peeringów i upstreamów adresuje tylko część problemu hijackingu (ścieżka nadal nie jest podpisana).
Oczywiście lepsze to niż nic i prawdę mówiąc dla znaczącego globalnie efektu wystarczy, że wdrożą to tylko Tier1 i duże IXP. :)
3S (wąż bo 3x == sss) też nie spełnia.
Your ISP (3S S.A., *****) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.