Embed Size (px)
Citation preview
1
Aflytning af fibernet | Aflytning af fibernet
Aflytning af fibernet
3
Aflytning af fibernet | Aflytning af fibernet
Denne artikel vurderer, på baggrund af offentligt kendte artikler og materiale, om fibernet er, per arkitektur og teknologi, sikret mod aflytning.Deloittes vurdering er, at der er en misforstået holdning til at fibernet er sikrere end andre medie, såsom kobber eller trådløse teknologier. Fibernettet er sårbart overfor aflytning ved brug af velkendte teknikker så som Man-in-The-Middle, re-routing, protokolsårbarheder og sårbarheder i softwaren der ligger i de enheder, der er opsat i netværk.
Derudover er der er en opfattelse af, at fibernettet er langt bedre beskyttet mod fysisk indgriben og opsætning af aflyt-
ningsudstyr. Dette er en misforståelse, og fibernettet er mindst lige så sårbart over for fysisk aflytning som traditionel kobber.
Angribere kan benytte forskellige meto-der, men på nuværende tidspunkt er de billigste angreb at finde ved brugen af optiske splitters eller clipon couplers til bøjning af fiberen, således at signalet kan føres i flere retninger og derved skabe mulighed for at tappe sig ind på net-værkstrafik forbeholdt andre.
Fiber tapping
4
Aflytning af fibernet | Aflytning af fibernetværk
Aflytning af fibernetværk På nuværende tidspunkt udgør fibernet-værk en stor del af internetinfrastruktu-ren. Fibernetværket har store fordele, når det kommer til leverance af stabilt, hurtigt og skalerbart netværk. Mange internetudbydere er enten direkte eller indirekte forbundet til et fibernetværk. Dette gør sig gældende, idet backbone-udbydere har investeret i fiberteknolo-gien for bedre at kunne akkommodere det stigende krav til høje hastigheder og digital trafik.
Ud over internetudbydere er fibernet-værk også blevet gjort tilgængeligt for er-hverv og privatpersoner. Der er således i Danmark og mange andre lande blevet lagt optiske fiberkabler ned i jorden for at kunne formidle denne løsning.
Det er gældende for mange lande inklu-siv Danmark, at udrulningen af fiberkab-ler blev foretaget allerede i slutningen af 1990’erne. På daværende tidspunkt var udfordringerne i forhold til informations-sikkerhed anderledes, end de er i dag.
Udviklingen har gjort, at store mængder af data i dag transmitteres digitalt, inde-holdende alt fra personfølsomme data til finansielle transaktioner og forretnings-hemmeligheder.
Aflytning er et gammelt princip, der er foregået på mange måder. Dette doku-ment beskriver nogle af de generelle me-toder til aflytning af datatrafik samt spe-cifikke aflytningsmetoder til fibernetværk. Aflytning er ikke længere noget, der er forbeholdt efterretningstjenester eller myndigheder, men er blevet et værktøj, som kriminelle eller personer med ond hensigt kan benytte for at opnå deres slutmål. Der findes forskellige tilgange og sårbarheder for alle typer af trans-missionsmedier; nogle af disse er tilpas generiske til, at de principielt kan benyt-tes uafhængigt af den valgte teknologi. Deloitte medtager de generelle metoder til aflytning af netværk, idet fibernetværk også kan være sårbare over for denne type af angreb.
Figur 1: Et simplificeret netværk, hvor angribere eller myndigheder kan sætte aflytning i værk
5
Aflytning af fibernet | Generiske afl ytnings metoder
Generiske afl ytningsmetoder For at opsnappe data vil en angriber kun-ne benytte sig af forskellige metoder, der uafhængigt af teknologi vil kunne give uautoriseret adgang til datatransmissio-ner. Et netværk består som minimum af to enheder, der er forbundet, enten via kabler eller trådløs teknologi.
I dag er enheder, der er forbundet til in-ternettet, sammensat af mange forskel-lige teknologier, der spænder fra kob-berkabler, koaksial kabler, fiber/optiske kabler til trådløs teknologi såsom satellit/radiosignaler, mikrobølger med mere. For at facilitere alt dette har internetud-bydere investeret i forskellig hardware til håndtering af datatrafikken, således at den når sine endepunkter uden tab af integritet. Derudover er der blevet etableret standardnetværksprotokoller til håndtering af de ruter, som datatrafikken skal tage for at nå fra punkt A til B.
Aflytning af datatrafikken kan inddeles i følgende hovedkategorier:
• Digital aflytning • Fysisk aflytning
Angribere og myndigheder benytter forskellige strategier til aflytningen, både fysisk og digitalt. Deloitte vil opridse gængse strategier og metoder og vil i de følgende afsnit beskrive, hvorledes integ-riteten og fortroligheden kan kompromit-teres ved hjælp af disse teknikker.
Figur 1 illustrerer et simplificeret net-værk, hvor angribere eller myndigheder kan sætte aflytning i værk.
Illustrationen er meget simplificeret, men tjener til at påvise, at angribere kan kompromittere forskellige områder for at få adgang til datatrafik. De kan kom-promittere de enheder, der varetager håndteringen, de kan benytte sig af svag-heder i netværksprotokoller, som derved giver adgang til datatrafik. Derudover kan angribere fysisk koble sig på de kabler, hvorigennem trafikken sendes.
Digital aflytning Digital aflytning opnås ved at kompromit-tere de enheder, der varetager afsendel-se, videresendelse eller modtagelse af datatrafik.
Sniffing/Signal interception
For at implementere digital sniffing eller signal interception benytter angribere software, der giver adgang til rå data-trafik. Der findes allerede gængse soft-warepakker, som kan opsnappe al trafik, der bliver sendt på den ledning, som angriberens enhed er tilsluttet, og lagre
dette i et format, der kan inspiceres og analyseres. Eksempelvis Wireshark er et velkendt produkt, der tillader brugen af Raw Sockets og har en ekstensiv liste af dissekeringsmoduler, der giver adgang til netværkstrafikken på en struktureret måde.
I dag benyttes ofte switches i netværs-opsætninger, som styrer trafikken på en måde, så en enhed, der er forbundet til den ene port i switchen, ikke har adgang til den trafik, der kører til en anden en-hed, tilsluttet en anden port.
6
Aflytning af fibernet | Generiske afl ytnings metoder
Dette kan dog omgås ved enten at be-nytte en af de billige små computer en-heder såsom en Raspberry Pi, og sætte denne enhed foran switchen, således at trafikken bliver taget, inden switchen kan fordele trafikken korrekt. Mange af disse enheder er på størrelse med en pakke chokolade og har virkelig god regnekraft. Dertil skal det noteres, at sådanne enhe-der kommer med operativ system, samt et stort antal input/output muligheder.
Angribere kan i nogle tilfælde også benytte sig af Address Resolution Pro-tocol (ARP) spoofing, hvor et stykke software sender uhensigtsmæssigt mange MAC-adresser til switchen. Dette medfører i ældre eller billige switches, at dennes ARP-tabel bliver for stor til håndteringen af dedikeret fremsendel-se til specifikke porte. Switches, der er påvirket af denne sårbarhed, slår over i HUB mode, hvilket betyder, at alle enhe-der, der er forbundet til switchen, kan se hinandens trafik.
Derudover kan angribere med adgang til det lokale netværk benytte sig af Man-In-The-Middle-angreb såsom MAC poi-soning, hvor angriberen overtager rollen som gateway for en enhed og samtidig overtager rollen som enheden over for gatewayen.
Re-routing
Dette angreb kan benyttes af individer med indsigt i IP routing. Denne type an-greb kræver, at angribere kan bryde ind i routere og ændre på konfigurationen, således at datatrafikken sendes gennem andre ruter end dem, der originalt var sat op fra udbyderens side. Derved kan angriberen opnå adgang til data, som sendes over netværket, og inspicere den opsnappede trafik. Tilbage i 2007 var det muligt at manipulere routingtabellerne på routere opsat til privat brug gennem Java Script eller ActiveX Scripting på ond-sindede hjemmesider.
Hardware exploitation
Teknisk dygtige angribere finder sårbar-heder i den firmware, som netværks-udstyrsproducenterne laver og sender med ud på deres enheder. Sådanne sårbarheder giver angribere adgang til at kunne styre netværksenheder såsom switches og routere og derved muligheden for at bestemme, hvor den trafik, der sendes gennem disse enhe-der, skal transporteres hen.
Fysiske netværksenheder kører system software, som ofte har sårbarheder på linje med styresystemer. Derfor bliver der med jævne mellemrum udrullet pat-ches og opdateringer til denne software af de producenter, der tager sikkerhed alvorligt.
Disse udbedringer kommer som firmwareopgraderinger, der rulles ud til enheden. Der er dog også mange ek-sempler på enheder, der ikke længere understøttes af producenter, men stadig er i brug, samt eksempler på enheder, der aldrig bliver opdateret.
Dertil kommer konfigurationen og vedli-geholdelsen af netværksenheder. Mor-derne netværksudstyr kan indstilles og konfigureres til mange forskellige formål. Sådanne opsætninger og vedligehol-delse varetages normalt af certificerede teknikere, men menneskelige fejl er hyppigt årsag til brud på fortroligheden og integriteten af data. Firewall-, router- og switch konfigurationer skal løbende vedligeholdes, og jo større, desto mere administrativt arbejde pålægges dem, der udfører konfigurationsændringer. En simpel fejl i en firewall eller en net-værks enhed, kan medføre, at angribere eksempelvis vil kunne sende data andre steder hen end oprindeligt tiltænkt.
7
Aflytning af fibernet | Generiske afl ytnings metoder
Fysisk aflytning Fysisk kompromittering af fibernetværk anses generelt som værende en svær øvelse, selvom dette ikke er tilfældet. Det er relativt let og relativt billigt at instal-lere en fysisk aflytningsenhed, når først adgangen til fiberkablet er anskaffet. Det amerikanske forsvar blev allerede i 1980 forelagt, hvorledes fiber kan aflyttes med fysiske enheder1.
Det har gennem tiden været en dyr øvel-se at anskaffe sig udstyr til fysisk aflytning af fibernetværk; dette har dog ændret sig drastisk over den seneste årrække grundet den teknologiske udvikling og reducering af omkostningen ved anskaf-felse af udstyr.
Når det kommer til aflytningen af fiber-netværk, handler det i bund og grund om at kunne opsnappe lyskilden i til-strækkelig grad til at kunne oversætte den til binær data og samtidig lade lys nok passere til, at den aflyttede ledning ikke udviser tab af data.
Der er to punkter, hvor aflytning vil kun-ne påsættes effektivt:
• Ved de udtag, der faciliterer forbin-delsen til fiberen, såsom skabe, sam-lingspunkter eller udgangene hos aftageren
• På selve lyslederkablet.
Der har allerede været udført forskning i muligheden for at foretage aflytning af fibernetværk. Helt tilbage fra 1980 er der blevet foretaget fortrolige undersøgelser af muligheden for at foretage fysiske ændringer på en fiberledning og derved opnå adgang til den datastrøm, der sen-des på kablet.2
Udtagene (Entry/Exit points)
Alle forbindelser kræver, at der er et startpunkt, hvor trafikken initieres, og et slutpunkt, hvor forbindelsen stand-ser. Det er dog i dag således, at net-
værksstrukturen er meget kompleks, og der findes flere forskellige ind - og udgangspunkter. Netværksudbyderen har eksempelvis investeret i meget ef-fektiv hardware, som kan samle store mængder fiberforbindelser og sende trafikken videre ud på andre typer net-værk eller videre på andre fiberforbin-delser. Dette gør, at internetudbydere er eftertragte de mål, hvis en angriber ville sætte ind med aflytning af data. Dog har langt de fleste internetudbydere samtidig investeret i eller lejet sig ind på en infrastruktur, der har en række tiltag for at sikre forbindelsen i forhold til fysisk adgang til routere eller krydsfelter.
Endepunkterne skal derimod beskyttes af aftageren af tjenesten selv. Dette betyder, at fysisk sikring af adgang til udgangen af fiberen skal varetages af aftageren, og afhængigt af økonomi og aftagertype vil der være endepunkter, som angribere vil have let ved at komme til. Hertil kommer, at man for relativt små penge kan investere i hardware, der alle-rede understøtter aflytning af både fiber-net, kobber og koaksialkabler3. Disse er lavet med den hensigt at skabe klarhed over trafikken i netværket for at kunne beskytte sig mod misbrug af netværkets brugere. En angriber kan hurtigt tage en sådan enhed og koble eksempelvis en Raspberry Pi på, der kan sende data ud igen. Dette kan enten sendes ved brug af den forbindelse, der aflyttes, men mere skjult ved hjælp af det mobile net-værk. Priserne ved dette overstiger ikke 15.000 kr. Afhængig af, hvilke mål en angriber ville vælge, er dette en relativt lille investering i forhold til den værdi, der kan trækkes ud.
For at illustrere et eksempel på, hvordan en angriber ville kunne opnå en aflytning af entry/exit points, er følgende eksem-pel illustreret på baggrund af kendskab til eksisterende angreb på andre typer af netværk/enheder:
8
Aflytning af fibernet | Generiske afl ytnings metoder
”En angriber udgiver sig for at være tek-niker fra udbyderen, som skal installere/opdatere hardware. Angriberen tilgår derefter entry-/exitpunktet (skabene) og installerer ondsindet hardware.”
Dette kan skjules i tilføjede elinstallati-onsskjulere og vil først blive opdaget, når en teknikker med viden om opsætningen gennemgår installationen.
Lyslederkablet
Selve kablet er også sårbart overfor angreb. En angriber, der kan få adgang til fiberkablerne, kan ved hjælp af nogle simple teknikker aflytte al den trafik, der løber igennem kablet. Det er en alminde-lig overbevisning, at lysledernetværket/fibernettet er langt mere sikkert end traditionel kobber eller trådløs teknologi, men dette er ikke tilfældet.
Aflytning kan opnås på forskellig vis, her-under:
• Bøjning af fiber • Optisk opdeling
Der findes andre metoder til aflytning af fibernetværk såsom lystabskobling, som er meget svær at udføre i praksis, og V-rilleudskæring, som kan give adgang til noget af det lys, der sendes gennem fiberen. Disse er dog ikke særligt prakti-ske og vil derfor ikke beskrives nærmere i denne artikel.
Adgangen til fiberkabler kan ved første øjekast synes besværlig, men alene i Danmark er der kilometervis af fiberled-ning, der er gravet ned i jorden, som kan tilgås, hvis en angriber får kendskab til placeringen. Der findes dækningskort, som kan guide angribere til placeringen af disse kabler som vist i figur 2.
Figur 2: Eksempel på dækningskort, som kan guide angribere til placeringen af fiber optiske kabler
9
Aflytning af fibernet | Generiske afl ytnings metoder
Organiserede cyberkriminelle kunne potentielt udføre målrettede kampagner med det formål at opnå viden om den helt præcise placering af let tilgængeligt fiber.
Bøjning af fiber
Her skrælles kablet ned til selv e fibe-rens dækkende materiale, idet der er en maksimal bøjningsgrad på fiberen, indtil lys kan indhentes fra kablet. Hvis kablet bøjes til eller over denne grænse, lækker lys ud af kablet, som derved kan indsam-les. Nogle fibertyper begynder at lække lys allerede ved en bøjningsradius på mindre end 6,5 – 7,5 centimeter - med undtagelse af specialiserede typer4. Den-ne metode er kan benyttes for relativt få midler5.
Bøjning af fiberen kan potentielt foregå u-opdaget, idet der ikke er udfald på signalet når fiberen bøjes. Figur 4 viser en mekanisme der kan bøje fiberen og trække signalet ud i 2 retninger. Et sådan angreb kan udføres flere forskellige ste-der hvor fibernetværket er placeret.
Optisk opdeling
Denne metode støjer ved udførslen, idet der benyttes en optisk opdelingsmeka-nisme i form af en klemme, der skærer ind i kablet og indsætter egen fiber, som sender lyset fra hovedfiberen ud til en af angriberen styret enhed. Et sådant an-greb vil kunne være u-opdaget i lang tid, idet der kan opstå et kortvarigt udfald på signalet, når fiberen klippes6. En optisk kløver er i dag ikke længere forbeholdt store virksomheder eller en teknologi
Figur 3: Bøjet kabel
Figur 4:Clipon Coupler
10
Aflytning af fibernet | Generiske afl ytnings metoder
med meget store omkostninger. Derfor anser Deloitte trusselsbilledet for fysiske angreb på fibernetværk som værende ændret signifikant over den sidste årræk-ke7. Dertil skal det noteres, at det fiber-netværk, som er lagt i Danmark, er blevet lagt over en lang periode, og det er ikke alle kabler, der er blevet opdateret med teknologier, der gør opdagelsen af fysi-ske angreb lettere for organisationer, der drifter disse netværk.
Et scenarie, der involverer noget Social Engineering, ville være:
”En angriber indkøber fibernet udbyder-logoer i stort format og klistrer disse på en lejet hvid/gul/orange mv. varevogn. Herefter lejes der asfaltbrydende maski-
nel og grave maskinel i et byggemarked. Der investeres i en gul vest med reflek-ser samt en gul hjelm, afspærringskegler og bånd. Herefter kører angriberen ud til en lokation, hvor der løber fiberledning, og der graves ned til kablet. Herefter påsættes den optiske splitter, og der trækkes et fiberkabel til et afsides sted, hvor dette kan bliver tilgået ved senere lejlighed. Herefter kan angriberen køre til og fra det opkoblede kabel og foretage aflytning eller investere i mere udstyr, der kan indhente data automatisk. ”
Her får angriberen adgang til at kunne opsnappe al trafikken og vil derfor kunne aflytte eksempelvis telefonsamtaler, tilgå ikke krypteret MPLS, stjæle passwords og foretage andre ondsindede handlinger8.
Figur 5: FBT splitter 8 veje fra Kina
Figur 6: Enhed til at kløve fiber
11
Aflytning af fibernet | Kendte eksempler på brud af integriteten og for troligheden
Kendte eksempler på brud af integriteten og for trolighedenDer har været eksempler på fysisk in-stallation af aflytningsenheder på fiber-netværk. Disse understøtter det faktum, at fibernetværk ikke er beskyttet mod aflytning i sig selv. Nogle af disse eksem-pler var af en sådan størrelse, at man med rette bør fokusere på sikkerheden omkring data, der sendes gennem fiber-kabler.
Tilbage i 2000 blev tre hoved trunk linjer i Deutsche Telekom angrebet med succes i Frankfurt Lufthavn9. Derudover blev Ve-rizons fibernetværk aflyttet med en ulov-
ligt opsat enhed i 2003. Der har yderlige-re været internationale hændelser, der har afsløret, at det hollandske og tyske politi har været udsat for spionage i form af aflytning, og det samme gør sig gæld-ende for farmakologiske virksomhed er i England og Frankrig.
Dertil kommer spekulationer i statsspon-serede projekter såsom den amerikan-ske ubåd, ”Jimmy Carter”, der angiveligt skulle været blevet ombygget til det for-mål at kunne opsætte aflytning af tran-satlantiske fiberkabler10.
Trusselsbillede og præventive tiltag Grundet det voksende behov for bånd-bredde for virksomheder er udrulnin-gen af fibernetværket vokset med stor hastighed, og produktet tilbydes i dag til overkommelige priser til både private og virksomheder. Virksomheder har i dag ikke den store indsigt i den fysiske eller organisationsmæssige konfiguration af optiske netværk. Der er mange udbyde-re af fibernet, som ikke selv ejer fiber, men lejer sig ind for at kunne tilbyde denne ydelse. Dette medfører, at der ikke er fuld kontrol med data og hvilke ruter denne måtte tage, når først den er afsendt og bliver transporteret på det fysiske netværk. Eksempelvis kan visse fiberkabler føre data igennem andre lande, afhængig af opsætningen på in-frastrukturen. Det voksende udbud og mængden af installationer hos private
såvel som hos virksomheder, kombineret med den faldende pris på teknologien, placerer truslen for angreb på fibernet-værket i en høj kategori. Det er nu muligt for privatpersoner at foretage ”konstruk-tive” ændringer på egne installationer, og derved øges tilgængeligheden for even-tuelle angribere. Dertil vurderes organi-seret cyberkriminalitet som en voksende industri med store tekniske færdigheder og økonomiske ressourcer. Der findes en række fysiske tiltag, som organisationer, der drifter fibernetværk, kan foretage for at kunne opdage, om der bliver forsøgt fysisk eller digital aflytning af deres net-værk. Den digitale aflytning er i dag alle-rede kendt og forbedres, hvorimod den fysiske kræver, at ældre installationer og kabler opdateres, hvilket må anses som en betragtelig omkostning.
12
Aflytning af fibernet | Trusselsbillede og præventive tiltag
Den nye forordning om data beskyttelse fra EU lægger yderligere fokus på sik-ringen af data, også data i transit. Som virksomhed kan man ikke sikre sig på udbyderen og dennes evne til at beskyt-te data. Der er aftageren selv, der vil stå med det endelige ansvar for om data bliver lækket.
Da det er virkelig vanskeligt at sikre sig mod aflytning, er der ikke mange tiltag, som vil være en garanti for fortrolighe-den og integriteten af data, der transpor-teres på fibernetværk. Der findes tiltag, som kan overvåge den fysiske integritet af kabler ved brug af elektriske ledere, der løber i fiberkablernes ydre beskyt-telsesskal, som - hvis brudt - vil afsløre kabelbrud. Der findes også fiberkabler, der løber oven på de databærende fibre, hvor der i det øverste lag kun sendes monitorerende data; multimodefiberin-stallationer kan overvåge, om der bliver ændret tilstrækkeligt i signalet til, at det skifter modus med mere. Mange af disse metoder kræver som påpeget ændringer i infrastrukturen, og sådanne ændringer er ofte forbundet med store omkostnin-ger. Yderligere er det op til den drivende organisation at foretage disse ændringer.
Som aftager af en fibertjeneste har man ikke mange muligheder for at sikre for-
troligheden og integriteten af data. Dog vil Deloitte nævne kryptering som en metode, der kan benyttes. Kryptering beskytter i sig selv ikke mod aflytningen af datatrafik, men den trafik, der bliver opsnappet, vil være ubrugelig for angri-bere, hvis en stærk kryptering uden sår-barheder bliver anvendt.
Det er Deloittes vurdering, at den mest effektive kryptering skal anvendes på de protokoller, der er tættest på den fysiske transmission. Såkaldte Layer 2 (netværksprotokollaget såsom Optisk CDMA, MPLS) kan beskyttes ved brug af dedikerede hardwareenheder mellem endepunkter. Dette vil vanskeliggøre aflytningen af data i en sådan grad, at det bliver et enormt ressource krævende projekt at aflytte data.
Der findes allerede Layer 3-kryptering, såsom HTTPS, TLS med mere, men den-ne kan være krævende ift. de enheder, der indgår i netværkstransmissioner, især hvis der er et behov for store mængder af enheder, idet krypteringen skal initieres unikt for hver eneste opret-tede forbindelse.
Slutnoter
1 http://www.thefoa.org/tech/ref/appln/tap-fiber.html2 http://fac.ksu.edu.sa/sites/default/files/06149809-Optical_Fiber_Tapping_Methods__and_Precautions.pdf http://www.thefoa.org/tech/ref/appln/tap-fiber.html https://www.blackhat.com/presentations/bh-federal-03/bh-fed-03-gross-up.pdf https://www.joshruppe.com/fiber-optic-tapping-tapping-setup/ https://www.anixter.com/content/dam/Suppliers/viavi/White%20Paper/Understanding%20Fibre%20Op-tic%20Network%20Tapping.pdf https://www.dropbox.com/s/fexmecnnb6gg6y6/KevinMitnick_EmailHack.mp4?dl=0 3 https://www.ixiacom.com/products/network-taps-regenerators-and-aggregators http://www.viavisolutions.com/en-us/products/observer-taps-optical4 http://fac.ksu.edu.sa/sites/default/files/06149809-Optical_Fiber_Tapping_Methods__and_Precautions.pdf5 http://fac.ksu.edu.sa/sites/default/files/06149809-Optical_Fiber_Tapping_Methods__and_Precautions.pdf https://www.joshruppe.com/fiber-optic-tapping-tapping-setup/6 http://fac.ksu.edu.sa/sites/default/files/06149809-Optical_Fiber_Tapping_Methods__and_Precautions.pdf7 https://www.blackhat.com/presentations/bh-federal-03/bh-fed-03-gross-up.pdf8 https://www.youtube.com/watch?v=bnzeyBK3kAY9 http://fac.ksu.edu.sa/sites/default/files/06149809-Optical_Fiber_Tapping_Methods__and_Precautions.pdf10 http://www.thefoa.org/tech/ref/appln/tap-fiber.html
13
Deloitte Touche Tohmatsu Limited
© 2017 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited
