Белый Дом США во вторник заявил, что надеется укрепить слабую безопасность интернет-маршрутизации, в частности протокола Border Gateway Protocol (BGP).
BGP более или менее связывает узлы и автономные системы интернета между собой, каким мы его знаем сейчас. BGP используется для управления маршрутами, по которым ваш интернет-трафик проходит между сетями, известными как автономные системы или AS, которые вместе и составляют современный интернет. Как отмечено в Дорожной карте по повышению безопасности интернет-маршрутизации, опубликованной сегодня Управлением Национального директора по кибербезопасности Белого дома (ONCD), BGP не был разработан с учетом безопасности.
«В том виде, в котором он был изначально разработан и широко используется сегодня, BGP не обеспечивает адекватных функций безопасности и устойчивости для рисков, с которыми мы сталкиваемся в настоящее время», — говорится в отчете «Опасения по поводу фундаментальных уязвимостей высказываются уже более 25 лет».
В настоящее время BGP не проверяет, имеет ли удаленная сеть, объявляющая об изменении пути маршрута трафика, полномочия на это. BGP также не проверяет подлинность сообщений, которыми обмениваются автономные системы и сети, и не проверяет, нарушают ли объявления маршрутизации политику маршрутизации между соседними сетями.
Результатом стала долгая история перехвата маршрутов BGP, такая как в 2008 году, когда Пакистан вмешался в трафик YouTube, или когда Россия использовала недостатки BGP в 2022 году, чтобы ограничить трафик Twitter.
«Перехваты маршрутов могут раскрыть личную информацию; сделать возможными угон криптовалюты, нелегальные банковские переводы и шпионаж на государственном уровне; нарушить критически важные для безопасности транзакции; и нарушить критически важные инфраструктурные операции», — говорится в отчете. «Хотя большинство инцидентов BGP являются случайными, иначе называемые Route Leaks, беспокойство по поводу нарушителей правил маршрутизации подняло эту проблему до уровня приоритета национальной безопасности».
В июне Министерство юстиции США и Министерство обороны США написали письмо в Федеральную комиссию по связи (FCC) относительно решения агентства по связи изучить безопасную интернет-маршрутизацию. Подтверждая необходимость устранения рисков BGP, DoJ и DoD указали на то, как China Telecom Americas (CTA) рассылали по сети ошибочную и недостоверную информацию о маршрутизации трафика в 2010, 2015, 2016, 2017, 2018 и 2019 годах для отправки американского сетевого трафика в обход через Китай. У CTA была отозвана лицензия FCC в 2021 году.
Для снижения этих рисков доступна криптографическая схема аутентификации: инфраструктура открытых ключей ресурсов (RPKI), которая включает проверку происхождения маршрута (ROV) и авторизацию происхождения маршрута (ROA). Но этот механизм безопасности не является надежным и не используется повсеместно.
В Европе, согласно дорожной карте Белого Дома США, около 70 процентов маршрутов BGP опубликовали ROA и являются действительными для ROV. В других местах внедрение защиты гораздо ниже. В США этот показатель составляет всего 39 процентов, поскольку IP-пространство, контролируемое Американским реестром интернет-номеров (ARIN), больше и старше, чем в Европе или Азии, а также потому, что само правительство США отстает от частного сектора в принятии RPKI.
Дорожная карта ONCD направлена на ускорение внедрения RPKI в государственном и частном секторах США.
«Интернет-безопасность слишком важна, чтобы её игнорировать, поэтому федеральное правительство подаёт всем пример, добиваясь быстрого увеличения принятия мер безопасности BGP нашими агентствами», — заявил в своем заявлении национальный директор по кибербезопасности Белого Дома США Гарри Кокер-младший.
Руководитель FCC Джессика Розенворсель заявила, что дорожная карта дополняет предыдущие правила телекоммуникационного агентства, требующие от поставщиков интернет-услуг подготовить план управления рисками, который касается безопасности BGP, а для крупных телекоммуникационных компаний — публиковать публичные квартальные отчеты об утечках маршрутов и сетевых инцидентах.
