Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czy Twój dostawca Internetu jest podatny na przejmowanie ruchu z wykorzystaniem BGP? Sprawdź na żywo tutaj

20 kwietnia 2020, 15:36 | W biegu | komentarzy 17
Tagi:

Nasi czytelnicy dzielą się na dwie grupy: twierdzący, że przecież z wykorzystaniem BGP nie można przechwytywać ruchu, bo masa firm stosuje zabezpieczenie RPKI. Druga grupa twierdzi, że nie ma z tym problemu – przecież BGP jest stary i od wielu lat niewiele zrobiono z tym problemem.

Tymczasem gdzieś po środku mamy dostarczany przez Cloudflare serwis: https://isbgpsafeyet.com/ gdzie można sprawdzić odporność własnego dostawcy Internetu na BGP Hijack.

Najprawdopodobniej Wasz dostawca nie zaimplementował stosownych zabezpieczeń, ale czy to powód do paniki? Jakoś przez kilkadziesiąt lat wszystko działało jak działa i teraz i mimo teoretycznych i praktycznych możliwości BGP hijackingu, raczej nikt nie siada do komputera obgryzając paznokcie (bo w każdej minucie mogą przechwycić mój ruch). Z drugiej strony wzruszanie ramionami twierdząc, że „zawsze tak było” – też nie jest chyba optymalnym podejściem ;-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. M.

    Your ISP (3S S.A., AS31242) implements BGP safely.

    Odpowiedz
  2. anon

    UPC – podatny, taki wielki dostawca, oni tak specjalnie?

    Odpowiedz
    • Zbigniew Modrzejewski

      nie ma przypadków, są tylko znaki…

      Odpowiedz
  3. Tomasz
    Odpowiedz
  4. A

    Your ISP (Polkomtel Sp. z o.o.) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  5. B

    Your ISP (Aruba Cloud DE) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  6. Michał

    Your ISP (Orange Polska S.A., AS5617) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Prawdę jednak mówiąc – w dobie zaniku plain-textu – nie wiem co przysłowiowy „ruski haker” miałby z tym przechwyconym ruchem zrobić.

    Odpowiedz
  7. T.

    Your ISP (NASK, AS8308) does not implement BGP safely.

    Odpowiedz
  8. Zegar

    Tak naprawdę pierwszym sposobem przeciwdziałania skutkom tego typu „zabiegów” było upowszechnienie szyfrowania E2E na bardzo wielu usługach w internecie, a więc rozpowszechnienie HTTPS w ostatnich latach (bardzo imponujące z resztą, jeśli porównamy statystyki liczby stron używających https w 2015 i 2019 np). Oczywiście wciąż pewnym problemem są usługi typu DNS – DOH wśród „statystycznych użytkowników” nie jest jeszcze upowszechniony, a poprzednie technologie tego typu nie przyjęły się. Potencjalny przechwytujący może więc łatwo zobaczyć na jakie strony próbujemy wchodzić, ale już samo „podglądnięcie” komunikacji wymagałoby od niego odszyfrowania RSA. W mojej opinii to główny powód dla którego nie „obgryzamy paznokci” kiedy siadamy do komputera, jak to ujął Autor artykułu. Oczywiście też uważam, że powinno się minimalizować ryzyka i możliwości „kradzieży ruchu” jednak internet już od jakiegoś czasu „pogodził się” z faktem, że z jego samej natury wynika przesyłanie informacji przez węzły pośrednie i od dłuższego czasu „zabezpiecza się” mając to na uwadze.

    Odpowiedz
  9. Don pedro

    Your ISP (Orange Polska S.A., AS5617) does not implement BGP safely.

    Odpowiedz
  10. Resident

    Your ISP (Multimedia Polska S.A., AS21021) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  11. UPC

    Your ISP (Liberty Global, AS6830) does not implement BGP safely.

    Odpowiedz
  12. Leroom

    Your ISP (VECTRA, AS29314) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  13. Rogg

    Your ISP (AS201925) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  14. sasek

    Your ISP (AS41676) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz
  15. Wdrożenie RPKI dla peeringów i upstreamów adresuje tylko część problemu hijackingu (ścieżka nadal nie jest podpisana).
    Oczywiście lepsze to niż nic i prawdę mówiąc dla znaczącego globalnie efektu wystarczy, że wdrożą to tylko Tier1 i duże IXP. :)

    Odpowiedz
  16. Mych

    3S (wąż bo 3x == sss) też nie spełnia.

    Your ISP (3S S.A., *****) does not implement BGP safely. It should be using RPKI to protect the Internet from BGP hijacks.

    Odpowiedz

Odpowiedz