http://p4.qhimg.com/t01765829dcfcb7f171.jpg

BGP(边界网关协议)路由监测公司―qrator,在2015年黑帽大会上发表了一篇题为“BGP劫持打破HTTP。”的文章。多多少少我会尽量更多的讲述一下文章内容,但首先让我们建立起对BGP的基础了解。

BGP即边界网关协议是用来控制信息流量在互联网流动的,是全球服务器提供商(SP)和本地服务器提供商给用户们提供的。信息流动是一个巨大的路由表。例如,一个服务器提供商可以在他自己拥有的网络123.456.789.0上做广告,并且所有的那个网络的通信数据会被发送到该服务器提供商。

路由变化是有多方面原因的,当发生变化时,所有发生的变化都会通过BGP发送到所有的服务器提供商那里。每时每刻,错误一旦发生,就有人可能宣称(或指出)他们并没有真正拥有一个属于他们的网络,如果所犯的错误过大的话,世界上大部分的通信数据流量都将会流向错误的方向。


你所有的网络都属于我们

当中国电信突然公布它的网络击败了美国政府和军方的网络域时,我们都对此无比好奇,于是委员会被指派调查该事件:

"在2010年的4月8日,中国电信公布,错误的网络通信路径导致美国和一些其他国家的的网络通信流量穿过了中国的服务器,大约有18分钟的时间。世界各地的其他服务器迅速采用了这些路径,通过定位在中国的服务器,路由了所有流向互联网目的地的通信流量的15%。这一事件影响了人们访问美国政府(''.gov”)和军事(''.mil”)部分网站….."

在某些情况下,一个路径被一个邪恶的帮派或者执法部门故意错误的展示,这就是所谓的BGP劫持。劫持者公布受害者的网络中的一个子集,并且一旦路径被占据,他们将开始接收流向那个特定网络的通信数据。布鲁斯·施耐尔(Bruce Schneier)在自己的博客中写到,“国家安全局(NSA)是不会做这种可能性基本为零的事的。”

多年来已经有固定的BGP的安全维护设计,但这些设计几乎都没有实现。BGP在未来的几年内依然不是安全的。


劫持TLS证书

根据qrator公司的白皮书上所写,通过适时的BGP劫持,攻击者可以发出自己由真正的证书颁发机构颁发的真实的TLS证书。攻击者可能会公布说他们拥有目标域名,并且为该域名请求一个由证书颁发机构颁发的证书。

申请一个基本的TLS证书,证书颁发机构(CA)会要求申请人证明他们是相关域名的拥有者。有许多方法能够用于提供这个证明,其中最常见是让申请人在其域名的一个URL上post特定的内容。当一个域名暂时被劫持,攻击者可以在post其内容,那么在几分钟内,申请人将会收到一个验证域名的证书。

这听起来不错,不是吗?Qrator公司白皮书上提出一种实用的方法来得到合法的TLS证书,既而没有破解密码,也没有社工,或者网络渗透。


你是否应该担心通过BGP劫持HTTP?

我们必须清楚,事实上无论是公开或是私下传播,我从来没有听说过在不发达的未开化地区有任何关于BGP劫持反对证书认证机构的报道。为了避免恐慌开始,对类似事件的发生有如下缓解方法:

第一,扩展验证(EV)处理证书失效问题,具体的比如像BGP劫持这类事件。考虑到EV作为证书请求的双因素认证,EV需要额外的验证,包括在一个合格的信息源提供的接触细节的基础上的业务联系。攻击者必须向第三方承诺做额外的BGP劫持。

第二,一些证书认证机构还使用来自世界各地的多个客户来做他们的域名控制验证。“一个尽职尽责的认证中心(CA)会有在世界各地的验证客户端,以此减轻对任何一个路由被损害的程度。Ryan Hurst,一个拥有15年在认证中心工作经验的老将,他说“多数客户将达成一个共识”。使用多个客户端虽然不会停止本地BGP的目标域名劫持,但它会挫败劫持的证书验证本身。

第三,对一个特定的证书颁发机构进行插入识别域名也是颇有成效的。那就是说,如果我的域名example.com具有颁发的证书,全球认证,然后任何其他的认证机构在考虑该这些被插入识别的域名中的一个颁发一个证书之前,会做额外的努力。

证书透明化计划(CT)该项目正在努力实现一个全球的域名、证书以及域名颁发机构的识别库。该项目(CT)鼓励域名拥有者注册一个监控服务,如果另一个证书被发出,那么域名拥有者将会被通知。与此同时,只有EV的证书是被要求必须在CT 记录登记的。

还有一个新的通过服务器和浏览器来实现的,依靠插入头部文件来保护、防止欺诈性的证书,但这些头部文件还没有被广泛的使用。


不那么快(Not so fast)

如果qrator集团让“通过BGP劫持打破HTTP”的白皮书像小猫跑出袋子一样的轻松出现,那么我们可能会在未开化地区开始看到更多的虚假证书的出现。他们不会是EV的证书。但是,如果有这么一个项目——让加密的SSL证书免费并且让浏览器促使对SSL证书默认。我推测我们将看到更多的网站从DV迁移到EV。

让BGP变得更安全还有很长的路要走,但无论如何,随着HTTP插入可见化被越来越多的人采用,通过BGP劫持获得虚假证书的窗口将会被关闭。

文章原文链接:https://www.anquanke.com/post/id/82372