17 апреля 2020 года компания Cloudflare сообщила в корпоративном блоге, что она запустила портал "Is BGP safe yet" для проверки различных провайдеров на возможность применения в их сетях атак типа BGP hijack. Этот сервис создан для привлечения внимания к ставшим последнее время актуальным проблемам с утечками некорректных BGP-маршрутов.
В настоящее время портал Is BGP safe yet корректно отображает результаты тестирования с положительным ответом, если оборудование операторов связи поддерживает механизм авторизации BGP-анонсов на основе RPKI.
Сейчас только три провайдера получили в этом сервисе статус «Безопасный» — два транзитных (Telia и ТЕЕ) и один облачный (Cloudflare).
Статус «Частично безопасный» имеют три транзитных оператора (GTT, TATA, PCCW), а также провайдеры AT&T и Amazon.
Этот список операторов связи постоянно пополняется, а данные по проекту Is BGP safe yet выложены на GitHub.
RPKI (Resource Public Key Infrastructure) — иерархическая система открытых ключей для обеспечения безопасности глобальной маршрутизации. В упрощенном виде можно представить архитектуру RPKI как распределенную базу данных, записи которой можно криптографически проверить.
Многие провайдеры только рассматривают внедрение RPKI. Однако этот механизм уже внедряется даже в сетях крупных компаний, например, в «Яндексе» RPKI начали внедрять в сентябре 2019.
nibb13
Всё хорошо, конечно. Но как hijacker получит валидный SSL сертификат для доменного имени поддельного хоста?
dvrpd
Анонсирует на себя подсеть, в которой находится резолвящийся по этому доменному имени IP-адрес, поднимет у себя HTTP-сервер и запросит у условного Let's Encrypt сертификат с проверкой по HTTP. Этот самый Let's Encrypt, впрочем, либо уже ввёл, либо собирается вводить защиту от этого в виде проверки из нескольких не связанных между собой локаций.
nibb13
Ага, то есть всё упирается в вопрос доверия issuer'у и в веру в то, что у него «всё схвачено» в вопросах безопасности. Спасибо, вроде бы понял.