安全专家Stephen Dugan于2月27日在西雅图召开的“黑帽子安全简报”会议上发表讲话说,技术上先有鸡还是先有蛋的问题阻碍了替换边界网关协议的安全技术的开发。如果大多数路由器都采用这种协议的话,这种协议只能进行改善,因为采用安全的边界网关协议成本太高,企业不会接受。
他说,我们应该在这种系统遭受攻击之前开发新的技术。可是,在没有发生攻击之前,企业可能不愿意花这笔钱。
目前,担负大约13万个网络的网关功能的1.2万个路由器都采用边界网关协议。采用这种协议的路由器能够与相邻的设备通信,告诉那些设备路由器向那些网络发送数据效率最高。
然而,配置不当的路由器或者被黑客入侵的路由器会把自己说成是无关网络的最佳通道,从而造成网络混乱。这是因为使用边界网关协议的路由器绝对信任其互联网上的邻居,不需要任何数字身份识别。Dugan说,使用这种数字伪造身份,攻击者能够重新定向网络通信、窃取数据、制造信息“黑洞”和甚至伪装成另一台路由器。
他说,ISP公司的任何一个人都能做到这一点。我们必须停止使用这种信任别人的路由器。
这个安全问题并不是理论上的问题。1997年4月,佛吉尼亚州一家小型ISP公司因为路由器配置错误就发生过这类问题。
甚至美国政府也已经关注路由器的弱点了。美国政府最近指出,域名系统和边界网关协议是需要保证安全的重要技术。
