这个27年前的互联网协议让数据任由劫持,搞定它就可以搞定整个互联网
三张餐巾协议
那是在1989年,当两名工程师在共进午餐的时候,互联网的扩展日益严重,一些问题已经变得可怕起来,曾经是计算机科学家眼中新奇事物的网络,如今已膨胀成庞然大物,越来越逼近互联网最基本协议中那堵坚硬的数学壁垒。
随着系统崩溃的预期隐约出现,两人开始在被番茄酱弄脏的餐巾背面粗略梳理解决方案火花,一张写不下又接着画上了第二张、第三张。这被发明人昵称为“三张餐巾协议”的东西,将迅速引发互联网革命。尽管还有挥之不去的问题,工程师们将自己弄出的东西视为一种临时的快速修补,一旦出现更好的选择便立马更换的那种。
27年后,智能手机占领人类世界,黑客活动泛滥成灾。但“三张餐巾协议”依然在导引着全球网络上的长距离通信流量——尽管关键安全问题的警告逐年紧张。三张餐巾协议虽然只是一个临时弥补方案,但却成丝毫没有看到被替换的迹象。
发明人之一雅科夫·雷西特说:“短期解决方案很容易伴随我们很长时间,长久解决方案几乎从不会出现。这是我的经验总结。”
雅科夫·雷西特
将我们沉浸在视听消费世界中时,互联网看起来设计得跟赛车一样优雅。但其实它更像是科学怪人弗兰肯斯坦拼出来的怪物而不是法拉利,更接近一堆临时部件拼凑成的大杂烩——因为至少还能用,所以苟延残喘。
其后果每时每刻都在网络空间中上演,黑客们利用老旧的防护脆弱的系统来诈骗、盗取、监视以前根本不敢想的广大领域。他们利用的漏洞,从技术上说都是众所周知的古早漏洞,仅仅因为业界喜欢追着问题修复而不是直接替换掉腐朽东西的爱好而存活。
专精路由安全的计算机科学家兰迪·布什说:“来到互联网,你就来到了黑客城。长期以来,所有这些东西都缺乏正式的规范,就是一堆修修补补的油漆和腻子。”
这就是“三张餐巾协议”的故事,更正式的叫法是“边界网关协议”,或BGP。
存在重大安全隐患的BGP
在最基本层次上,BGP帮助路由器决定怎么将大量数据在组成互联网的连接巨网中传送。可能的路径千千万,有的又慢又曲折,有的快速而直接,BGP干的,就是为路由器挑一条路走提供信息——甚至在没有互联网完整地图也没有导引流量的交警存在的情况下。
依赖单个网络持续共享可用数据连接信息的BGP的诞生,帮助互联网不断膨胀成了今天这个全球性网络。但BGP也让大量数据流任人劫持,只要有所需的技术和接入点就行。
造成这种情况的主要原因在于,BGP与互联网上很多关键系统一样,是自动信任用户的——小网络上可行,但全球性的网络就根本是在坐等攻击了。
帮助路由器决定怎样在互联网上发送数据的规则。网络依赖于BGP消息的传输,来决定数据包在亿万可能路径中到达指定目的地的最佳路径。BGP中存在重大安全缺陷,有待其升级版协议BGPSEC的修复。
劫持已经成了专家都难以解释的网络日常:丹佛市两台计算机之间的通信怎么就绕道走了7000英里之外的冰岛路线?巴基斯坦一家公司是怎么让YouTube崩溃的?为什么五角大楼敏感数据会流经北京?
对于这些问题,技术上就可以解决,但全都归结到了一个事实:BGP在信誉系统(honor system)上运行,让数据以奇怪的方式在神秘人的控制下全球流动。
对BGP固有风险的警告自该协议诞生之初就存在了。哥伦比亚大学计算机科学家史蒂夫·贝罗文说:“路由安全是个问题,从概念上就很容易看穿。但从工程上解决那是相当的难。”
雷西特,这位曾在前苏联玩过地下摇滚的移民,称他与共同发明人科克·劳菲德,在1989年1月一个工程会议午餐中写下BGP雏形时,“安全问题根本没上桌”。
那是一个黑客行为非常少见,黑客人数也甚为稀少的时代。劳菲德回忆道:“互联网早期,让程序跑起来才是主要目标。根本没概念人们还会用这个干坏事。安全在当时不是什么大问题。”
科克·劳菲德
现在的大问题,是互联网出故障的可能性。疯狂扩张中的停顿可能会伤害到网络用户,以及提供设备及服务的公司的利润。雷西特当时在蓝色巨人IBM工作,劳菲德是为了硬件制造商思科公司的元老级员工。
劳菲德说:“我们需要卖出路由器,有着强烈的经济动机来让这场盛宴持续下去。当雅科夫和我拿出解决方案,而且看起来似乎能用,人们很乐于接受——因为没有别的选择。”
其他路由协议开发工作也在进行。BGP胜出是因为它够简单,能解决眼前的问题,且被证明足以应付互联网领土不断翻倍情况下的数据流通。全球网络都接纳了该协议,给了它一个稳固的超然地位。
一旦技术被广泛部署,就几乎不可能被取代,因为很多用户,包括技术公司付费用户,都依赖于它们,不愿意再花钱购买新的硬件或软件。其结果,可能是过时技术的稳步发展,往上叠加了一层又一层。就好像今天最重要的银行金库,建立在稻草和泥土构成的地基上一样。
巴基斯坦人搞崩YouTube
充斥着不安全感的网上世界里,BGP的问题是最令人迷惑的。想知道为什么?网络性能研究公司Dyn的道格·梅多利可以告诉你。他的工作就是研究互联网这个不断颠覆人类认知的人造物上发生的惊异事件。
他和他的同事每天发送4.5亿的 trace route 指令来跟踪互联网流量路由,尝试解开这一团乱麻。他将这些松散的 trace route 数据集,比作揭示更大能量波动的片尘抖动。
某天,梅多利想搞清为什么有些中国互联网流量会途经白俄罗斯。又某天,本应传送到英国原子武器研究机构(AWE)的流量诡异地流经了乌克兰。梅多利觉得,两起案例可能都是失误的结果,但没办法确定是不是真的意外错误。
梅多利说:“这种事经常发生。一切皆有可能。”梅多利是一名退役空军军官,短发干练,方形眼镜透着睿智。
互联网流量的突发绕行,即便是无意的,也有可能给整个网络带来大麻烦。最著名的事件发生在2008年2月,当时巴基斯坦政府判定某段描述先知穆罕穆德的视频应被和谐,于是一家巴基斯坦互联网提供商就试图封禁YouTube。
不过,具体执行的时候出了岔子,该公司将其BGP消息错误配置到了整个互联网。结果就是,YouTube的全球流量几乎全部都被发送到了巴基斯坦。数据重压搞崩了服务器,YouTube因此宕机2小时。
但BGP的更大问题,是故意劫持的可能性。
2014年2月到5月间,一名黑客通过一系列短暂劫持,成功控制了流向多个互联网公司的流量,包括亚马逊和阿里巴巴。他的目的是为了偷取比特币。Dell SecureWorks 报告,这起黑客事件被发现时,价值83000美元的比特币已经消失了——从被劫持的互联网流量中神秘溜走。
专家称,此类重定向会在网络中留下证据,Dyn之类的分析服务可以进行追踪,但技术很高明的攻击者能够在操纵BGP时隐藏自己的身份。而且即便劫持的源头很明显,辨明其动机目的也很困难。
2010年4月美国军方流量神秘流经中国18分钟事件,就是BGP不安全性长期历史中被研究得最仔细的一起,但专家们依然对其是否故意争论不休。事件源于中国电信发出了一条BGP消息,称可向全球万千网络提供最好的路由,包括美国的16000个。
因为缺乏验证中国电信这条BGP消息真实性的机制,全球路由器都开始将数据发往中国,受影响路由器包括位于地球另一面的美国军方——陆军、海军、空军、海军陆战队,统统中招。
那条BGP消息被修正了,Dyn和其他研究公司的结论是:这更像是一个意外。但那十分明显的劫持容易度,以及防止复发的有效防护措施的缺乏,还是引起你了美国官方的警惕。
政府可利拥该战术来分析军队数据,找出口令、加密通信等等。或者,甚至可以干脆拷贝下所有数据留待以后慢慢分析。专家警告,BGP劫持就像黑客界的兴奋剂,可使数据盗窃增幅到难以想象的规模。
另一个隐患
BGP还潜藏有另一个危险的可能性,梅多利称之为“反乌托邦可能性”:或许在国际冲突迈向网络空间的时刻,某些网络有意宣称控制了互联网上不属于它们的区段。
这种举动会混淆世界上的路由器,不得不在面对同样的互联网地址时在几个相互冲突的主张中选择。整个网络,无法鉴别真伪,被撕裂成各自为政的领地。
这将成为互联网版本的“核战”——难以想象,但确实存在技术可能性的仇恨升级,至少在相对和平的年代难以想象。互联网作为无缝全球性网络运作的影响是不可逆的。
“传承?或许。阻挡互联网发展?想都别想。”
ARPANET:美国国防部高级研究计划局(ARPA)研发了互联网的前身ARPANET。1969年建立,最终连接了超过100所大学和军事机构,今日互联网的先驱。
深陷泥潭,群鳄环绕
BGP的缔造者不是快速上马粗略概念再在现实世界测试中不断修正的第一人。速度、敏捷和实用主义是早期互联网开发的标志,驱动了互联网的指数级增长及其胜过竞争技术的能力,其他竞争技术相对更正式,也更笨重。
大卫·克拉克,监管互联网协议发展多年的麻省理工学院科学家,在1992年广被引用的一次演讲中形成了这个想法,称:“国王、总统、投票,我们统统拒绝。我们相信粗略的共识和能运行的代码”——也就是能管用的解决方案广受欢迎。
互联网用户飞速增长终将引发安全威胁——越来越多的用户中还包括了与70、80年代首批拥抱现代计算机网络技术的学院派科学家动机不同的人,但该思潮可不总是鼓励为了安全威胁而做长远打算。
雷西特和劳菲德创建BGP的时候,就已经出现了几起严重事件。但凌虐当今网络世界的那种经常性的高风险的黑客活动,尚未开始。网络战这种想法,当时仅仅存在于科幻小说中。
但网络工程师面对的问题,就相当现实而紧迫了。ARPANET将在20年内被关停。其他主要网络也在“循环”的深渊中挣扎,数据一圈圈转来转去,在完全消失之前耗空计算资源。
但最大的问题,还是互联网规模的严格数学极限——写进BGP前身“外部网关协议(EGP)”中的上限。该协议只能处理限定数额的网络地址,甚至仅超出1个地址都会造成系统掉线。
退休网络研究员诺尔·齐阿帕说:“每个人都深陷泥潭,只想着快点脱离困境。他们没时间面向长远了。”
BGP是个及时的改进,让互联网得以继续膨胀,为后来的WWW铺平道路。雷西特和劳菲德,还有其他一些人,还在惊讶于他们的发明竟能撑如此之久。他们曾想过BGP能搞定数千可能路径的寻径问题,但现在,可能路径已是他们当年预想的百倍。
雷西特说:“这未来,已经超出了我们最狂野的想象。”
IP地址表示特定互联网连接的独特数字码。就像物理街道地址一样,IP地址对投递数据包到该去的地方非常重要。
没有地图的网络
互联网是由网络组成的网络,每个网络都有物理的、现实世界的表征——存放在北京、上海之类地方数据中心一排排机架中的服务器。各个网络还有由各自控制下的IP地址块构建的线上房地产,标志着他们在网络空间的地盘。
最大型的网络,由威瑞森和AT&T等电信巨头运营的那些,通常都承载着最重的数据负载。他们是网络空间中的航空公司,有能力通过光纤进行快速长距离流量传送,再交付给更小型的网络。小型网络,比如一所大学的计算机系统或一家本地互联网提供商,则更像是社区小道,通常负责送流量最后一程,投递到个人计算机或智能手机之类其他设备。
网络众多,大小不一,缺乏单一实体进行流量导引——这种架构的结果,就是一张巨大的连接网络,两点间发送数据的通路选择无限之多。BGP帮助路由器从中挑出一条,尽管网络总在变化,热门路径经常被流量阻塞。
问题是:没!有!地!图!采用BGP的路由器,基于它们在网络空间中的邻居提供的信息做出路由选择,它们的邻居也是从自己的邻居那里找来的信息,以此类推。只要BGP“广告”消息中包含的信息是准确的,这种方式就可行。
任何错误信息都能几乎即时在互联网上扩散,因为根本没有对发出这些“广告”的路由器的诚实性甚至身份的验证机制。重复发送错误信息的网络可能会被注意到,其他网络的运营者可以尝试用“过滤”技术封锁此类麻烦制造者。但这种防护通常很容易被击破。
这么明显的问题,在如今这种更加安全敏感的社会中是不会被容忍的。劳菲德说:“如果有人拿出一份没考虑到欺骗的设计,那绝对会被打回去重做。”
无论起因是故意欺骗还是意外事故,结果都是一样的:互联网流量被转移,通常偏差出几千英里。有时候最终还能拐上通往正确目的地的道路,只是有点传输延迟。有时候,数据是被黑客偷走了。有时候,就像遇到了网络空间中的百慕大三角似的,流量就那么神秘消失了。
难以替换
尽管在创建BGP的时候雷西特和劳菲德没有关注这一危险,至少有另外一名网络工程师确实很担忧。拉迪亚·帕尔曼,因另一个重要网络协议的发明而被尊称为“互联网之母”的女性,在1988年——雷西特和劳菲德拿出BGP的前一年,写了一份预言性的MIT博士论文。她预测,基于网络空间中邻近节点诚实性和准确度的协议,注定是不安全的。
她和其他几名批评家更中意给路由器绘制主要连接地图的选项——类似全球空中交通图的网络空间版。帕尔曼还倾向于使用密码学来验证网络的身份,限制潜在的欺骗,控制过失造成的破坏。
但BGP势不可挡。“人们一旦惯于使用,就特别难以替换了。”帕尔曼说道。她对研究其他更好解决方案的工程师们没能快速推出成品感到失望。“很不幸,其他研究小组没有感受到紧迫性。BGP那帮人首先部署了起来。”
雷西特和其他人一直在改进BGP,在1994年实现了该协议的最终版本。数据劫持已经开始发生,对更安全替代品的需求开始显现,但数年的工作都没能产出任何一个能取代BGP的产品。
与雷西特一起改良BGP的工程师托尼·李说:“所有这些提案都未能实现。”
对BGP固有安全风险的关注,在2001年911恐怖袭击之后开始上升。互联网创立最主要的架构师,计算机科学家温顿·赛弗,连同另一名网络先锋史蒂芬·肯特,敦促联邦政府采取行动。他们在白宫旁的艾森豪威尔办公厅,面见了小布什总统的网络安全特别顾问理查德·克拉克。
克拉克很快召集行业高管展开商讨,希望能拿出具体行动方案,但他们没能感受到赛弗和肯特的那种紧迫感。历经多年,进展寥寥。
肯特回忆道:“他们基本上就是在说,‘不是什么大问题’。我们尝试了,人们不买账啊。”
克拉克在最近的访谈中称,他对科技行业的傲慢冷漠回应毫不惊讶。他在早前几年就被波士顿著名黑客组织L0pht秘密告知了BGP的风险性,该黑客组织曾尖锐警告联邦官方互联网超级不安全。
这使得克拉克向其他白宫官员和业内巨头传达了对BGP的担忧。在他2008年出的书《政府让你们失望了》中,他描述了与某业内高管的会谈场景:当克拉克追问BGP风险时,这位高管甚至请他将该协议的名称写到纸上。
克拉克在书中记叙了该高管的话:“我感觉从未听闻过这个东西。不过既然你说存在有影响到我们路由器的漏洞,我会去核实一下的。”
克拉克在书中表达了自己的惊讶:生产使用了BGP的产品,并因此获利数十亿元的大公司的高管,竟然没听说BGP?克拉克并未在书中暴露该高管的名字。
不过,在《华盛顿邮报》的一次采访中,克拉克透露称那次会面的对象是约翰·钱伯斯——当时全球最值钱公司思科公司的首席执行官。思科同时也是用BGP通信的路由器市场上具统治地位的公司。
思科对此未发表任何评论。
1989年,雅科夫·雷西特和科克·劳菲德在3张餐巾上起草出了在互联网上路由数据的方案。昵称“3张餐巾协议”,官方名称边界网关协议(BGP)的东西,原本只是为了救急,却至今仍在导引着网络空间中的数据流动。雷西特对这些草图的重造可在此看出。
没人愿意为安全买单
业界怀疑论根植于安全无益业务这一想法。没人喜欢被黑,但公司在法律上无须为此担责。相反,防护措施却有成本相伴,比如功能受限、性能拖慢、配件或软件价格上涨等等,没人喜欢承受这些开销。
前网络硬件制造商3Com创始人罗伯特·梅特卡夫就曾说,尝试了诸如内置加密之类附加安全功能的产品的公司,发现在有其他更便宜更好用的选择的情况下,客户对这些附加了安全功能的产品没什么兴趣。
“没人想买安全版。我们做了,也卖了,但无人问津。”
2010年4月美国军方流量途径北京之后,修复BGP的步伐就加快了。主要推动力来自于国土安全部(DHS),2010-2014年间投入了800万美元,用于开发和部署安全BGP技术。“这是我们在加强每个人都在使用的核心互联网服务整体安全上所做出的持续努力中的一部分。”DHS发言人称。
迈向更好BGP安全的第一步,是网络安全密钥新系统,能在网络空间中验证路由器身份,明确日常负责处理哪些网络的流量导引工作。
一旦此类系统就位,巴基斯坦互联网提供商收获所有YouTube流量的事就难以发生了。路由器将直接忽略错误的BGP消息,得出这些消息有误不用理会的结论。
但让网络运营者参与进来已被证明很难。很多已经应用过滤技术来限制对错误BGP消息的暴露面。该方法只能提供部分防护,但比使用密钥要简单得多。很多网络运营者对采取进一步措施,比如采用安全的新路由协议BGPSEC代替BGP,十分冷漠。
很多网络工程师称,即便经历了1/4个世纪遭遇了无数的劫持,BGP依然值得称颂——因为其成功远大于失败。它帮助互联网成为真正全球性的、无缝的、改变世界的通信技术,没有任何超越一切的机构能够规定谁能用怎么用。
这种对互联网而言比任何一个协议都更基本的分散决策方式,还意味着安全改善需要由网络、站点运营者、用户做出的很多个人行为。每一个都得衡量改变的价值,然后选择继续还是放弃。
现已退休的雷西特说:“做安全就会有相应的代价。问题在于:谁来支付?除非网络运营者能看出安全收益通常都会比支出要大,否则他们不会做任何动作。”
劳菲德也是个怀疑论者。“如果安全的缺失会对业务造成巨大损失,很多人都会对问题的修复感兴趣的。在这一点上,人们会扫清障碍,保持比坏人领先一步。”
实现新BGP安全措施的热心程度,全球各地是不一样的。在欧洲和中东,约9%的网络已经迈出了采纳密钥在网络空间中标识自身的第一步。拉丁美洲做得更好,24%的网络采纳了密钥。北美洲和非洲做得差得多,只有不到1%。全球总体来看,包括亚洲,约为5%。
目标自然是100%。没人知道这一过程会要多久。
波士顿大学计算机科学副教授,专研路由安全问题的沙朗·戈德伯格说:“看到5%这个数字你可能会发笑,但你知道需要做多少工作才走到这一步吗?”
对于完全部署要花多久的问题,她坦率地说:“5年,10年,还是20年,我不知道。”
目前为止——在帕尔曼、贝罗文、肯特、克拉克和其他很多人多年警告之后,或许最有说服力的统计数据,就是加密网络密钥新系统保护下的互联网流量百分比:0。
本文转自d1net(转载)
