Het border gateway-protocol, een van de belangrijkste protocollen van het internet dat is gebaseerd op vertrouwen, wordt sinds dit jaar actief misbruikt voor het uitvoeren van man-in-the-middle-aanvallen. Dat stellen onderzoekers van Renesys, dat ip-verkeer monitort.
Het misbruiken van het border gateway-protocol voor het uitvoeren van man-in-the-middle-aanvallen is in theorie al veel langer mogelijk, maar dit jaar is het bgp voor het eerst op grote schaal gebruikt voor het onderscheppen van internetverkeer. Dat schrijft Renesys, dat voor zijn klanten het internetverkeer monitort. Volgens het bedrijf zijn er dit jaar op meer dan zestig dagen in totaal 1500 individuele ip-blocks gekaapt, voor perioden die varieerden van minuten tot dagen. Mogelijk zijn ook Nederlanders slachtoffer geworden, zo blijkt uit een kaart die Renesys heeft gepubliceerd.
Het bgp is een belangrijke pilaar van internet: het zorgt ervoor dat verschillende netwerken met elkaar verbinding kunnen maken, door aan te geven volgens welke route een bepaald ip-netwerk kan worden bereikt. Providers hebben daartoe bgp-routers die informatie over bereikbaarheid over tcp uitwisselen. Het bgp stamt nog uit de begindagen van Arpanet, de voorloper van internet, en hoewel het protocol meerdere keren is aangepast, is het nog steeds gebaseerd op vertrouwen. Bgp-routers nemen route-informatie zonder verdere verificatie van elkaar over.
Het op vertrouwen gebaseerde model was in de tijd van het kleinschalige Arpanet geen probleem, maar vandaag de dag kan het voor grote verstoringen zorgen. Dat gebeurde in het verleden bijvoorbeeld toen Pakistan YouTube wilde blokkeren, en de nationale internetprovider bgp gebruikte om het internetverkeer naar YouTube te blokkeren. Die wijziging werd opgemerkt en opgepakt door andere bgp-routers, waardoor al het internetverkeer naar ip-adressen van YouTube in feite naar Pakistan ging en de site feitelijk onbereikbaar werd.
Pakistan kaapte het wereldwijde YouTube-verkeer onbewust, maar dit jaar is er een aantal aanvallen geweest die wijzen op kwadere bedoelingen, stelt Renesys. Zo heeft een provider in Wit-Rusland, over het algemeen gezien als een dictatuur, via bgp internetverkeer uit onder meer de Verenigde Staten, Zuid-Korea, Duitsland en Tsjechië onderschept. Daarbij ging het om internetverkeer van onder meer overheden en financiële instellingen. Internetverkeer werd omgeleid naar Minsk, waarna het weer naar de originele bron werd verstuurd. Door de omweg via Minsk zou het land internetverkeer kunnen onderscheppen en analyseren.
In een ander voorbeeld onderschepten providers uit IJsland internetverkeer. In één voorbeeld werd verkeer tussen twee locaties in dezelfde stad, Denver, dankzij het border gateway-protocol omgeleid via IJsland. Volgens de provider ging het om een softwarefout; als dat echt zo is, is dat een ernstige bug, stelt Renesys.
Overigens zijn bgp-fouten en -hacks eenvoudig op te sporen: iemand kan zelf een traceroute uitvoeren om te kijken of het internetverkeer een logische route volgt. Eerder stelde een werkgroep voor om een systeem te gebruiken vergelijkbaar met ssl, waarbij bgp-routes worden ondertekend, zodat internetverkeer niet zomaar een andere route kan nemen.