FCC patronu Sınır Geçidi Protokolünü güvence altına almak istiyor
İnternet'in Sınır Ağ Geçidi Protokolü (BGP) yönlendirme tabloları manipülasyona karşı savunmasızdır. “BGP ele geçirme”, trafiği kötü niyetli bir şekilde yönlendirir, alt üst eder veya durma noktasına getirir. Ayrıca aksaklıklara neden olan hatalı girişler de bulunmaktadır. ABD düzenleyici otoritesi FCC'nin başkanı Jessica Rosenworcel, artık ABD'li geniş bant sağlayıcılarını en azından yanlış rotalara karşı önlem almaya mecbur etmek istiyor.
Reklamcılık
Bu amaçla Kaynak Ortak Anahtar Altyapısı (RPKI) kullanılır. Yalnızca RPKI kullanıma sunulduğunda, kasıtlı BGP korsanlığına karşı daha iyi koruma sağlayan bir sonraki güvenlik önlemi BGPsec yürürlüğe girebilir. Rosenworcel, FCC'deki dört meslektaşını, kurumun ABD geniş bant sağlayıcılarının veri rotalarını RPKI ile güvence altına almasını gerektirdiği konusunda ikna etmek istiyor.
Ülkenin en büyük dokuz İSS'sinin de rapor sunması gerekecek: RPKI'yi uygulama planlarını özetleyen gizli bir raporun yanı sıra uygulama planının makul olup olmadığını da gösterecek üç aylık kamu ilerleme raporları. Bunu haklı çıkarmak için Rosenworcel, ABD istihbarat teşkilatlarından gelen belirtilmemiş güvenlik uyarılarının yanı sıra 2022'deki FCC soruşturmasının ve geçen yaz yapılan Sınır Geçidi Protokolü Güvenlik Çalıştayının sonuçlarına atıfta bulunuyor.
Ağ tarafsızlığının kaldırılması nedeniyle gecikme
Güvenli olmayan veri yollarının sorunu uzun zamandır bilinmektedir. BGP 1989'da tanıtıldığında uzmanlar, İnternet'teki trafiğin kolaylıkla yeniden yönlendirilebileceğini, böylece saldırganların trafiği görmesine, değiştirmesine veya tamamen ortadan kaldırmasına olanak tanıyacağını belirtmişti. Uzun süre çok az şey oldu. Yaklaşık 20 yıl önce, yönlendirme sisteminin kriptografik güvenliği nihayet RPKI ve BGPsec kullanılarak tasarlandı. Ancak özellikle Rusya'dan gelen devlet saldırganları İnternet altyapısına saldırmaya devam etse de giriş yavaş oluyor.
Ancak FCC'nin neden sadece şimdi harekete geçtiğini açıklamak kolay: Donald Trump'ın ABD Başkanı olarak görev süresinin bitiminden kısa bir süre önce FCC, internet düzenlemesi konusundaki sorumluluğunu geri çekti. FCC'deki Cumhuriyetçi çoğunluk ağ tarafsızlığını bu şekilde ortadan kaldırmayı başardı. Demokrat Joe Biden'ın göreve gelmesinin ardından da ABD Parlamentosu'ndaki Cumhuriyetçiler, Demokratların yeni FC komiseri doldurmasını uzun süre engelledi.
Sadece birkaç hafta önce FCC, İnternet servis sağlayıcılarını düzenleme ve ağ tarafsızlığını yeniden sağlama sorumluluğunu yeniden alabildi. Bu, Haziran ayı sonunda yürürlüğe girecek. Buna göre, artık İnternet düzenlemesinin daha ileri boyutlarını ele almak mantıklıdır.
BGP ve RPKI
BG protokolü (RFC 1105), ağları arasında iletilen veri paketleri için en iyi rotayı (otonom sistemler (AS)) belirleyebilecekleri temel alınarak yönlendiriciler arasındaki bilgi alışverişini belirtir. Sınır yönlendiricileri, yönlendirme tablolarındaki en iyi yolları kaydeder. Sınır Geçidi Protokolü, insanların internette hâlâ birbirlerine güvendiği bir dönemden gelmesinden dolayı sıkıntı çekiyor. Herkesin herhangi bir rotayı duyurmasına izin verilir; otomatik kontroller yoktur.
Önek ele geçirme olarak adlandırılan bu yöntemde, bir saldırgan kurbanlarının öneklerini kendisininmiş gibi aktarır. Örneğin, saldıran ağ, kurbanın ağından daha spesifik adreslerin reklamını yapabilir veya belirli IP adresi bloklarına kısayol sağladığını iddia edebilir. RPKI'sı olmayan yönlendiricilerin buna inanması gerekir.
RPKI (RFC 6840 artı 40'ın üzerinde diğer RFC) ile Rota Köken Yetkilendirmeleri (ROA), otonom bir sistemin hangi IP öneklerinden sorumlu olduğunu belirlemek için kullanılabilir. Aniden diğer IP öneklerini duyurursa bir alarmı tetikler. Bunun öncelikli amacı rotaları duyururken sık karşılaşılan hataları önlemektir. Belki de bunun en ünlü örneği YouTube trafiğinin Pakistan Telekom'a yönlendirilmesidir.
BGPsec geleceğin bir hayalidir
Teorik olarak, 2017'den bu yana kasıtlı BGP korsanlığına karşı da bir silah var: BGPsec (RFC 8204). Ağ üzerinden yönlendirme bilgilerini korur. Amaç, yalnızca bir rota duyurusunun kaynağının gerçekliğini kontrol etmek yerine, yol boyunca herhangi bir manipülasyonun gerçekleşmemesini sağlamaktır. Bununla birlikte, bu yalnızca ilk olarak RPKI'nin kullanıma sunulması ve ikinci olarak tüm ağ operatörlerinin aynı anda BGPsec'e geçmesi ve böylece imzasız bilgilerin göz ardı edilmesi durumunda yardımcı olacaktır. Böyle bir değişiklik ufukta görünmüyor çünkü birçok yönlendiricinin değiştirilmesini gerektirecek ve ağ operatörlerinin her yönlendirme atlaması için gerekli olan tüm BGPsec anahtarlarını yönetmeleri için önemli miktarda ek çalışma gerektirecektir.
BGPsec ayrıca kriptografik sertifikaları verenlere güvenilmesini gerektirir. Ancak bu organların devletin kontrolünde olması durumunda pek bir şey kazanılamaz. Manipülasyonların çoğu, yozlaşmış ülkelerdeki failler ve hatta kendi çıkarlarını gözeten devlet aktörleri tarafından gerçekleştiriliyor. Ayrıca saldırılarına meşruluk görünümü veren sertifikalar da verebilirler.
Önerilen editoryal içerik
İzniniz üzerine harici bir YouTube videosu (Google Ireland Limited) buraya yüklenecektir.
Her zaman YouTube videosunu yükle
Şimdi YouTube videosunu indirin
FCC Sınır Geçidi Protokolü Güvenlik Çalıştayı, 31 Temmuz 2023
(ds)
Haberin Sonu