Глобальный интернет на честном слове. Ученые нашли способ вырубить связь в целых странах
NewsMakerОбнаружены критические уязвимости в глобальной системе защиты интернет-трафика RPKI.
Иерархическая система открытых ключей (Resource Public Key Infrastructure, RPKI) давно считается ключевым механизмом защиты интернета от перехвата маршрутов , однако новое исследование показывает, что и в этой системе есть уязвимости. Специалисты выяснили, что даже при наличии корректных записей RPKI значительная часть инфраструктуры, от которой зависит их загрузка, остается уязвимой.
Авторы работы , представленной на симпозиуме NDSS 2026, проанализировали, насколько надежно устроен процесс получения данных RPKI так называемыми проверяющими узлами, которые загружают и проверяют криптографические разрешения на объявление маршрутов.
RPKI создавали как способ защитить глобальную маршрутизацию от перехвата префиксов в протоколе пограничной маршрутизации . Владельцы адресов публикуют криптографически подписанные разрешения, которые связывают IP-префикс с допустимой автономной системой. Эти объекты хранятся в специальных репозиториях, называемых точками публикации. Проверяющее программное обеспечение регулярно обращается к ним, загружает данные и на их основе решает, какие маршруты считать легитимными.
Однако перед тем, как загрузить файлы, система должна найти их через систему доменных имен. И вот здесь начинаются проблемы. Авторы изучили 64 точки публикации и выяснили, что 31 из них, то есть почти половина, имеют хотя бы одну зону без защиты DNSSEC на пути разрешения доменного имени. Это означает, что злоумышленник может подменить ответ системы доменных имен и направить проверяющий узел на вредоносный сервер вместо настоящего репозитория.
Иерархическая система открытых ключей (Resource Public Key Infrastructure, RPKI) давно считается ключевым механизмом защиты интернета от перехвата маршрутов , однако новое исследование показывает, что и в этой системе есть уязвимости. Специалисты выяснили, что даже при наличии корректных записей RPKI значительная часть инфраструктуры, от которой зависит их загрузка, остается уязвимой.
Авторы работы , представленной на симпозиуме NDSS 2026, проанализировали, насколько надежно устроен процесс получения данных RPKI так называемыми проверяющими узлами, которые загружают и проверяют криптографические разрешения на объявление маршрутов.
RPKI создавали как способ защитить глобальную маршрутизацию от перехвата префиксов в протоколе пограничной маршрутизации . Владельцы адресов публикуют криптографически подписанные разрешения, которые связывают IP-префикс с допустимой автономной системой. Эти объекты хранятся в специальных репозиториях, называемых точками публикации. Проверяющее программное обеспечение регулярно обращается к ним, загружает данные и на их основе решает, какие маршруты считать легитимными.
Однако перед тем, как загрузить файлы, система должна найти их через систему доменных имен. И вот здесь начинаются проблемы. Авторы изучили 64 точки публикации и выяснили, что 31 из них, то есть почти половина, имеют хотя бы одну зону без защиты DNSSEC на пути разрешения доменного имени. Это означает, что злоумышленник может подменить ответ системы доменных имен и направить проверяющий узел на вредоносный сервер вместо настоящего репозитория.