近期，科技圈可是一點都不太平啊，10多天以前就曾曝出了 Android 存在一個名為 Stagefright 的安全漏洞，這兩天又有蘋果 OS X 系統(tǒng)遭遇固件病毒 Thunderstrike 2 的威脅。而安全人員今天曝出的漏洞則是關系到每一個網民，因為我們已經離不開互聯(lián)網了。

這個漏洞可以讓黑客輕而易舉地攻擊互聯(lián)網的核心架構，以阻止用戶訪問如 YouTube 這樣的主要互聯(lián)網服務（注：我們訪問不了并不是因為被攻擊了），或者大規(guī)模地攔截在線通信。

安全研究人員希望以此能夠喚醒整個行業(yè)，為這個協(xié)議中存在已久的問題做出一些改善。幾乎所有運行了這個協(xié)議的互聯(lián)網基礎設施甚至連基本的安全技術都沒有使用，將使它更容易被黑客所利用。

周三，安全公司 Rapid7 的戰(zhàn)略服務經理 Wim Remes 在拉斯維加斯舉辦的 Black Hat 安全大會上表示，“利用這個協(xié)議進行攻擊的概率雖然有限，但一旦發(fā)生就會產生巨大的影響。”

這個弱點在于邊界網關協(xié)議，或者稱之為 BGP?；ヂ?lián)網服務提供商和大型企業(yè)的大型路由器要用BGP，以便弄清楚如何在異地之間獲得數(shù)據。不幸的是，BGP并沒有內置安全機制，讓路由器驗證所收到的信息，以及提供信息的路由器的身份。因此當路由器散播不正確的路由數(shù)據時，無論是有意還是無意，都有可能產生非常糟糕事情。

這個問題已經存在了十幾年。在1998年，黑客組織 L0pht 就聲稱他們可以在30分鐘內拿下互聯(lián)網。BGP 的漏洞事件引起了一些安全公司的認真對待，當然也有一些公司并沒有在意這個漏洞。

在2013年，安全公司 Renesys 觀察到的幾個實例中，美國經由白俄羅斯和冰島的互聯(lián)網流量在遭受攻擊后發(fā)生了莫名其妙地改變，攻擊者旨在暗中攔截數(shù)據。今年六月，馬來西亞的 ISP 錯誤地配置了路由器，造成世界各地的流量匯聚到了它的網絡上，從而導致了服務發(fā)生數(shù)小時的中斷，這些服務包括了 Snapchat、Skype 和 Google 搜索。

安全公司 Qrator 的研究人員 Artyom Gavrichenkov 在 Black Hat 上展示了如何在未經許可的情況下，操縱 BGP 以獲得特定網站的安全證書，從而可以冒充它并解密安全流量。

Remes 表示，運行了 BGP 基礎設施的公司都沒有對這個問題會引起的風險產生足夠重視。一項名為 RPKI 的技術可以讓路由器驗證所收到的信息。但是，只有16個全球訪問最頻繁的站點有配置這個技術，而Facebook是排名前10位中唯一一個采用了這個技術的網站。

OpenDNS 的網絡工程部經理 Andree Toonk 表示，即使廣泛采用了 RPKI 也只是在一定程度上解決了 BGP 所產生的危險，它能解決大部分問題，但它并非萬無一失?，F(xiàn)在看來，這個問題還沒解決。

via technologyreview

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。