云安全提供商OpenDNS正准备推出一款新的警报系统,可以在发现互联网上边界网关协议(BGP)出现安全事件时警告用户。
这一新工具名为“BGP Stream”(BGP流),由3月份被OpenDNS收购的网络和路由监测服务公司BGPmon收集的数据驱动。
BGP是一个外部路由协议,在保证互联网正常运作中扮演重要的角色。这一协议通过使不同网络感知到彼此的存在并在其间建立路由而降互联网上的各个网络连接起来。
目前,互联网上5万个不同自治系统间大约有50万条路由。路由改动相当常见,其中改动就可能隐藏有潜在的恶意活动。
2014年8月,戴尔报告称网络罪犯通过BGP劫持成功从采矿池中盗走了密码货币。攻击者利用伪造的BGP声明将交易从采矿者导引到他们控制的采矿池中。
BGP与互联网中断也有关联,包括了叙利亚在2012和2014年遭受的两次网络被切断事件。更近一些的涉BGP案例在上周曝光,意大利间谍软件制造商Hacking Team泄漏的文件揭示出该公司利用BGP劫持帮助意大利国家军事警察重获使用远程控制工具客户端的访问权。
BGPmon运作的一个由BGP探针、分类器和警报组成的网络使这家公司能够识别出涉及该路由协议的恶意劫持和中断。通过BGP Stream,安全研究人员、IT专业人士和普通大众都能收到此类事件的提醒。只要订阅该流服务,用户就能对可能影响数据流的潜在破坏性网络改动持续保持警醒。
BGP Stream很容易使用,因为它采用推特发送BGP事件警告。公司和研究人员只需通过一个客户端或网页浏览器,像访问其他推特账户一样访问BGP Stream的推特账户就能得到这些信息。这一信息流也可以通过推特API获得,开发者可以通过推特API关注推特账户并以编程方式将抽取账户更新。
“基本上,我们是在公共领域分享这一威胁信息了。信息安全产业的威胁信息分享还处于早期阶段,但类似的努力有望激发更多的厂商和研究人员承担此类项目。”
——丹·哈勃,OpenDNS首席技术官。
除了BGP警报,BGP Stream还将利用OpenDNS对DNS流量的深度可见性提醒用户有关分布式拒绝访问攻击(DDoS)的信息。
这款工具将在8月初哈勃和BGPmon创始人安德里·通克在拉斯维加斯黑帽安全大会上讲述BGPStream细节之后推出。
“由于BGP协议的本质,BGP路由中断或劫持会影响到整个网络的用户基础。出于潜在的邪恶目的而导致整个国家‘从互联网上消失’或公司所有外部网络流量被重路由的例子也是有那么几个的。我们相信,BGP Stream是针对此类大范围中断的首款公共警报系统。我们希望,不管是普通用户还是安全研究人员,都能用它跟上最新的中断或劫持。”