Auf der wissenschaftlichen Tagung „Usenix Security 2022“ und der Industrietagung „Blackhat USA 2022“ stellte das Forscherteam rund um ATHENE-Wissenschaftlerin Prof. Dr. Haya Shulman seine Erkenntnisse zur Aushebelung des grundlegenden Mechanismus zur Absicherung des Internet-Verkehrs der internationalen Fachöffentlichkeit vor.
Welche Erkenntnisse hat das Forscherteam erlangt?
ATHENE ist das größte Forschungszentrum für Cybersicherheit in Europa. Die veröffentlichten Erkenntnisse entstanden in Zusammenarbeit der ATHENE-mitwirkenden Goethe-Universität Frankfurt am Main, dem Fraunhofer-Institut für Sichere Informationstechnologie und der Technischen Universität Darmstadt. Gemeinsam fand das Forscherteam einen Weg, wie der RPKI-Mechanismus gebrochen werden kann. Dieser Mechanismus ist die Absicherung des Internet-Verkehrs, da der eigentlich verhindert, dass Cyberkriminelle oder auch staatliche Angreifer den Internet-Verkehr umlenken. Die Umleitung des Internet-Verkehrs stellt dabei keine Seltenheit dar. Immer wieder kommt es zur Umleitung durch Fehlkonfigurationen, aber beispielsweise auch zu Spionagezwecken. Der Angriff, diesen Mechanismus auszuhebeln, wurde von den Forschern „Stalloris“ getauft. Mit der Attacke können die Angreifer den Sicherheitsmechanismus knacken, ohne, dass die betroffenen Netzbetreiber dies überhaupt feststellen. Nach Angaben des Forscherteams waren Anfang letzten Jahres alle führenden Produkte, welche von Netzen zur Überprüfung der RPKI-Zertifikate eingesetzt werden, angreifbar.
Was genau ist der RPKI-Mechanismus?
RPKI steht für Resource Public Key Infrastructure. Es handelt sich um einen Baustein in der Border Gateway Protocol-Sicherheit, die das zentrale Routing-Protokoll für die Verbindung unterschiedlicher Netzwerke darstellt. Jeder, der ein Präfix (Netz) hochfahren möchte, erhält von der zuständigen Regional Internet Registry eine AS-Nummer. Ohne den RPKI-Mechanismus kann ein Netz IP-Adressblöcke im Internet beanspruchen, die ihm nicht gehören. Der Mechanismus soll demnach zur Netzwerk-Sicherheit beitragen. Hierfür werden digital signierte Zertifikate verwendet. Die Zertifikate bestätigen, dass ein bestimmter IP-Adressblock rechtmäßig zu dem angegebenen Netz (Präfix) gehört.
Wie kann RPKI umgangen werden?
Das Team rund um Prof. Dr. Shulman stellte fest, dass hinter den Angriffen meist Prefix-Hijacks (Präfix-Piraterie) steckt. Die Cyberkriminellen beanspruchen bei dieser Vorgehensweise einen Router, welcher ihnen nicht zugewiesen ist. Bei der Attacke kommt ihnen ein Designproblem des Internets zu. Denn die Festlegung, welche IP-Adresse zu welchem Präfix (Netz) gehört, ist nicht abgesichert. Nur knapp 40 Prozent der IP-Adressblöcke verfügen überhaupt über ein RPKI-Zertifikat – nur 27 Prozent der Netze prüfen diese Zertifikate auch. Darüber hinaus fand das Forscherteam heraus, dass auch RPKI selbst eine Designschwachstelle aufweist. Findet ein Netz für einen IP-Adressblock kein Zertifikat, geht es davon aus, dass gar kein Zertifikat existiert. Das Netz ignoriert nun den RPKI-Mechanismus für die entsprechenden IP-Adressblöcke einfach, um den fließenden Datenverkehr im Internet nicht zu unterbrechen. Durch diese Schwachstelle basierte die Routing-Entscheidung wieder lediglich auf ungesicherten Informationen. Diese Designschwachstellen nutzen die Cyberkriminellen aus, wodurch der RPKI-Mechanismus ausgehebelt werden kann. Von dieser Attacke bekommt nicht einmal das betroffene Netz etwas mit. Die Voraussetzung für den „Stalloris“-Angriff ist, die Kontrolle eines RPKI Public Points durch den Angreifer. Nach Angaben der Forscher stellt dies allerdings keine besondere Herausforderung dar. Alle Hersteller wurden bereits über die Problematik informiert.
Hinterlasse jetzt einen Kommentar