Атаки на Gmail и рассылка спама
Обсуждают вот взломы аккаунтов на Gmail. Суть такая: вдруг аккаунты некоторых пользователей гугловой почты оказались захвачены кем-то посторонним, и этот кто-то разослал по контактам из адресной книги сомнительные сообщения. При этом пострадавшие пользователи – хорошо подготовлены: используют стойкие пароли, ОС из класса Linux/Unix, по ссылкам не ходят, незнакомые файлы не запускают и так далее. То есть, выходит, что пароли у них увести сложно. Как же были вскрыты аккаунты?
Так вот среди вариантов “вскрытия” почему-то не упоминают сценарий, использующий атаку на уровне маршрутизации. А зря. Какой-нибудь “хакерский” интернет-провайдер, используя известные особенности BGP (протокол, определяющий межсетевую маршрутизацию в Интернете), может увести трафик с дата-центров “Гугла” (точнее – с определённых автономных систем) к себе. Дальше ему остаётся лишь прикинуться Гуглом и преспокойно перехватить сессии авторизации, тем более, что в таком случае можно заставить пользовательские браузеры приходить по http (вместо https, который, чисто в теории, мог бы затруднить подделку). Перехватываться будет часть глобального трафика Интернета, адресованная Гуглу, а вовсе не трафик клиентов провайдера, как можно подумать.
Подобное использование BGP уже давно не является новинкой в Интернете. Вспомните нашумевшую историю, когда пакистанский интернет-провайдер перекрыл Youtube. При этом, чисто технически, все эти “нарушения соглашений”, что с целью блокирования доступа, что с целью перехвата трафика – практически одинаковы. Более того, если особенно хорошо всё спланировать, то трафик, адресованный в чужие автономные системы, можно перехватить и слушать незаметно.
В общем, ждём новинок в обеспечении безопасности маршрутизации.
Адрес записки: https://dxdt.ru/2010/04/20/3070/
Похожие записки:
- Секретные ключи в трафике и симметричные шифры
- "Почти что коллизия" и хеш-функции
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- Трафик на тестовом сервере TLS 1.3 и ESNI
- Токены доступа и популярная автоматизация
- Rowhammer-атака и код сравнения с нулём
- TLS 1.3 в Рунете
- Мониторинг жонглёров
- Квантовая криптография и металлический контейнер
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Многобайтовые постквантовые ключи и TLS
Комментарии читателей блога: 11
1. 20th April 2010, 20:51 // Читатель aa написал:
опечатка – особенности BPG -> BGP.
трафик уводится не со всей АС, а с подсети.
2. 20th April 2010, 21:53 // Читатель sashket написал:
Вот ещё про Гугл: http://www.3dnews.ru/news/v_rezultate_kiberataki_bila_ukradena_parolnaya_sistema_google/
3. 21st April 2010, 02:01 // Читатель Alexey V написал:
Полагаю, что это сделать трудно, т.к.
1) все-таки сессия аутентификации шифруется всегда в гугле, но подделанным сайтом этого можно избежать
2) получив трафик gmail нужно его еще обработать – полагаю, что это не так-то просто и не незаметно – он просто должен быть огромен!
3) можно получить трафик, но его нужно потом все-таки отправить в gmail для “правильной” обработки – а тут возникнут проблемы петель маршрутизации, если этот провайдер не подключен “непосредственно” к гуглу. И даже если подключен – у гугла не один путь в интернет от своей фермы.
В общем, DoS так устроить можно, а вот именно “перехват” – проблематично.
Это основывается на поверхностном знании BGP
4. 21st April 2010, 13:38 // Читатель фыв написал:
А разве https (включенный по умолчанию на гмыле) не спасает от таких финтов?
В моем понимании когда я захожу на сайт по https нормальный браузер проверяет сертификат, а в дальнейшем весь трафик шифруется им же и перехват ничего не даст. Разве не так?
Другое дело, что у гугла есть куча сервисов помимо почты и на все – один аккаунт, возможно дыра где-то в другом месте.
5. 23rd April 2010, 20:36 // Александр Венедюхин:
Ну так и? Вот верно, что можно избежать.
Верно. Просто берёте сколько нужно ящиков из этого “огромного потока” – и все дела.
Не возникнет там никаких петель. Петли здесь вообще ни при чём – “лишние” записи об узлах изымаются из описания маршрута атакующим. Вообще, эта атака со скрытным перехватом трафика известна несколько лет – и работает. Более того, не обязательно перехватывать скрытно, можно и просто так увести, ну останутся какие-то следы, да – и что? Этот второй вариант вообще несколько раз довольно громко был продемонстрирован, см. нашумевший пример с блокированием Youtube.
Да нет, для того, чтобы анонсировать маршрут в AS Google – не нужно быть к нему “подключенным непосредственно”. Маршрутизация уж так устроена.
Ну хоть бы, допустим, десять у него “путей в Интернет” – это не относится к делу. Суть атаки не в количестве путей, а в манипуляции несколькими новыми, “дефектными” маршрутами, создаваемым специально.
А, ну если так, тогда ладно.
6. 24th April 2010, 02:51 // Читатель Бомж из Южного Туши… написал:
Вопрос и к автору и к комментаторам:
нашёл ли кто-нибудь из вас что-то более информативное по этой теме, чем известный топик на Хабре с 500+ комментариями?
Просто я, ввиду того, что Gmail у меня – основная почта, прочесал и наш и западный интернет, но ничего вразумительного не обнаружил.
Гугл тоже как-то непонятно молчит.
7. 27th April 2010, 05:00 // Читатель Alexey V написал:
2) Трафик gmail – гигабайты в час. Чтобы атака прошла незаметной, нужно “фильтровать” трафик – брать то, что нужно, остальное пропускать через себя и отправлять дальше на гугл. На это нужны серьезные мощности.
3) Анонсировав подсетку, например, 74.125.87.0/24, можно направить трафик на себя. Но опять же, чтобы атака оставалась незамеченной до поры до времени хотя бы простыми пользователями нужно весь трафик направить на легитимный сервер. Если сеть перехватчика не подключена непосредственно к гуглу, то, получая трафик, она должна будет его отправить все-так и в гугл. Когда трафик выйдет за пределы автономной системы перехватчика к другому провайдеру, он должен будет тут же вернуться обратно, т.к. он анонсирован тем, от кого пришел – вот тебе и петля маршрутизации.
8. 27th April 2010, 15:46 // Александр Венедюхин:
Вот тут Вы ошибаетесь. В автономку гугла возможны другие пути, которые атакующий подбирает заранее. По ним и отправляется трафик.
9. 5th May 2010, 11:45 // Читатель Слава написал:
—То есть, выходит, что пароли у них увести сложно. Как же были вскрыты аккаунты?
Это всё зависит только от порядочности ISP, который, только если не захочет, то и не будет перехватывать пароли пользователей.
Ни о какой безопасности и речи нет, поскольку всё зависит только от порядочности ISP. И только.
10. 5th May 2010, 11:49 // Читатель Слава написал:
Все эти фокусы по шифрованию паролей совершенно бессмыслены для ISP…
11. 10th May 2010, 16:40 // Александр Венедюхин:
Нет, SSL вполне обеспечивает секретность “от ISP”.