Интернет защищён от перехвата маршрутов. Кроме случаев, когда DNS не защищён. А DNS не защищён почти везде
NewsMakerСпециалисты предупредили о риске масштабных перехватов трафика из-за ошибок в инфраструктуре реестров.
Интернет может считать себя защищенным от перехвата маршрутов , но новое исследование показывает, что защита может рухнуть из-за банальных проблем в инфраструктуре. Ученые выяснили , что почти половина точек публикации инфраструктуры открытых ключей RPKI уязвимы для подмены DNS (система доменных имён), а подавляющее большинство зависят от серверов имен без полноценной маршрутизационной защиты.
Работа была представлена на симпозиуме NDSS 2026. Авторы проанализировали, как программное обеспечение проверки RPKI получает данные из точек публикации и какие слабые места возникают на этом пути.
RPKI считается ключевым механизмом защиты от перехвата префиксов в протоколе пограничной маршрутизации. Владельцы адресных блоков публикуют криптографически подписанные объекты, которые подтверждают, какая автономная система имеет право анонсировать тот или иной префикс. Но для того, чтобы эта защита сработала, валидаторы должны регулярно скачивать данные из специальных репозиториев. И здесь начинается самое интересное.
Исследователи обнаружили 64 точки публикации. Из них 31, то есть 48,4%, имеют хотя бы одну зону на пути разрешения доменного имени без защиты DNSSEC. Это означает, что злоумышленник может подменить ответ DNS и направить валидатор к поддельному серверу. В ряде случаев проблема связана с использованием сторонних поставщиков DNS без включенной криптографической подписи зон. В двух случаях уязвимость возникла из-за перенаправления через CNAME на внешние домены без DNSSEC.
Интернет может считать себя защищенным от перехвата маршрутов , но новое исследование показывает, что защита может рухнуть из-за банальных проблем в инфраструктуре. Ученые выяснили , что почти половина точек публикации инфраструктуры открытых ключей RPKI уязвимы для подмены DNS (система доменных имён), а подавляющее большинство зависят от серверов имен без полноценной маршрутизационной защиты.
Работа была представлена на симпозиуме NDSS 2026. Авторы проанализировали, как программное обеспечение проверки RPKI получает данные из точек публикации и какие слабые места возникают на этом пути.
RPKI считается ключевым механизмом защиты от перехвата префиксов в протоколе пограничной маршрутизации. Владельцы адресных блоков публикуют криптографически подписанные объекты, которые подтверждают, какая автономная система имеет право анонсировать тот или иной префикс. Но для того, чтобы эта защита сработала, валидаторы должны регулярно скачивать данные из специальных репозиториев. И здесь начинается самое интересное.
Исследователи обнаружили 64 точки публикации. Из них 31, то есть 48,4%, имеют хотя бы одну зону на пути разрешения доменного имени без защиты DNSSEC. Это означает, что злоумышленник может подменить ответ DNS и направить валидатор к поддельному серверу. В ряде случаев проблема связана с использованием сторонних поставщиков DNS без включенной криптографической подписи зон. В двух случаях уязвимость возникла из-за перенаправления через CNAME на внешние домены без DNSSEC.