تدفع لجنة الاتصالات الفيدرالية (FCC) مزودي خدمة الإنترنت لإصلاح العيوب الأمنية في توجيه الإنترنت

اختطاف BGP —

الرئيس: معالجة عيوب BGP “ستساعد في جعل توجيه الإنترنت لدينا أكثر أمانًا.”

تريد لجنة الاتصالات الفيدرالية التحقق من أن مزودي خدمات الإنترنت يقومون بتعزيز شبكاتهم ضد الهجمات التي تستغل نقاط الضعف في بروتوكول بوابة الحدود (BGP).

لجنة الاتصالات الفيدرالية (FCC) اليوم تمت الموافقة عليه بالإجماع إشعار بوضع القواعد المقترحة التي تتطلب من مزودي خدمات الإنترنت إعداد تقارير سرية “بالتفاصيل”.[ing] التقدم الذي أحرزوه وخططهم لتنفيذ إجراءات أمان BGP التي تستخدم البنية التحتية للمفتاح العام للموارد (RPKI)، وهي عنصر حاسم في أمان BGP.”

وقالت رئيسة لجنة الاتصالات الفيدرالية جيسيكا روزنورسيل: “اليوم، نبدأ في وضع قواعد للمساعدة في جعل توجيه الإنترنت الخاص بنا أكثر أمانًا”. “نقترح أن يقوم جميع مقدمي خدمة الوصول إلى الإنترنت واسع النطاق بإعداد وتحديث خطط إدارة المخاطر الأمنية السرية لـ BGP. وتصف هذه الخطط وتشهد على جهودهم لاتباع أفضل الممارسات الحالية فيما يتعلق بتفويضات أصل المسار والتحقق من صحة أصل المسار باستخدام المفتاح العام للمورد البنية التحتية بالإضافة إلى ذلك، نقترح تقديم تقارير ربع سنوية لأكبر مقدمي الخدمات للتأكد من أننا نحرز تقدمًا في معالجة هذه الثغرة الأمنية المعروفة.

وقالت لجنة الاتصالات الفيدرالية (FCC) إن التصميم الأولي لبرنامج BGP الذي لا يزال منتشرًا على نطاق واسع اليوم “لا يتضمن ميزات أمان جوهرية لضمان الثقة في المعلومات التي يتم الاعتماد عليها لتبادل حركة المرور بين الشبكات المُدارة بشكل مستقل على الإنترنت”. يمكن للقراصنة “تزوير معلومات إمكانية الوصول إلى BGP عمدًا لإعادة توجيه حركة المرور” في عمليات اختطاف BGP التي “يمكن أن تكشف المعلومات الشخصية للأمريكيين؛ وتمكين السرقة والابتزاز والتجسس على مستوى الدولة؛ وتعطيل الخدمات التي تعتمد عليها قطاعات البنية التحتية العامة أو الحيوية”. قالت لجنة الاتصالات الفيدرالية.

في حادثة 2022، استخدم المتسللون اختطاف BGP للسيطرة على أكثر من 250 عنوان IP تستخدمه أمازون لخدمتها السحابية. يقال إن المتسللين سرقوا ما قيمته 235000 دولار من العملات المشفرة.

أ مسودة يوضح الاقتراح الذي تم إصداره قبل اجتماع اليوم أن “RPKI يساعد على خلق الثقة في معلومات إمكانية الوصول من خلال تمكين الارتباطات التي يمكن التحقق منها بالتشفير بين كتل عناوين IP محددة، أو أرقام النظام الذاتي (ASNs)، و”أصحاب” موارد أرقام الإنترنت هذه.”

قواعد أكثر صرامة لأكبر مزودي خدمات الإنترنت

ستتلقى لجنة الاتصالات الفيدرالية (FCC) التعليقات العامة على وضع القواعد المقترحة لمدة 45 يومًا بعد نشرها في السجل الفيدرالي، ويمكنها الانتهاء من اللوائح في الأشهر المقبلة. وقالت لجنة الاتصالات الفيدرالية إنه بموجب الاقتراح، يجب على مزودي خدمة الإنترنت “إعداد وتحديث خطط إدارة المخاطر الأمنية السرية لـ BGP سنويًا على الأقل”.

سيتعين على أكبر تسعة مزودي خدمات النطاق العريض أيضًا “تقديم خطط BGP الخاصة بهم بشكل سري إلى المفوضية بالإضافة إلى تقديم بيانات ربع سنوية متاحة للجمهور والتي من شأنها أن تسمح للمفوضية بقياس التقدم المحرز في تنفيذ التدابير الأمنية القائمة على RPKI وتقييم مدى معقولية وقالت لجنة الاتصالات الفيدرالية (FCC) إن خطط BGP. ستتضمن التقارير ربع السنوية بيانات عن العائد على الأصول[[ترخيص أصل الطريق]التسجيلات.

وقالت المسودة إن متطلبات الإبلاغ الأكثر صرامة ستنطبق على AT&T وAltice وCharter وComcast وCox وLumen (المعروفة أيضًا باسم CenturyLink) وT-Mobile وTDS (بما في ذلك شركة US Cellular التابعة) وVerizon. “من المرجح أن ينشئ هؤلاء المزودون المهمون مسارات تغطي نسبة كبيرة من مساحة عنوان IP في الولايات المتحدة وسيلعبون أدوارًا حاسمة لضمان التنفيذ الفعال لـ ROV [Route Origin Validation] “التصفية” ، جاء في مسودة الاقتراح.

سيتم السماح لمقدمي الخدمات الكبار بالتوقف عن تقديم الخطط السنوية بمجرد “أن يشهدوا أنهم يحتفظون بعائدات الاستثمار التي تغطي ما لا يقل عن 90 بالمائة من المسارات التي تم إنشاؤها لبادئات عناوين IP الخاضعة لسيطرتهم.” قد يُطلب من موفري خدمة الإنترنت الأصغر تقديم خططهم على أساس كل حالة على حدة. وقالت لجنة الاتصالات الفيدرالية: “لن يُطلب من موفري خدمات النطاق العريض الصغار تقديم خططهم إلى اللجنة، بل إتاحتها للمفوضية عند الطلب”.

مجموعة ضغط الكابلات NCTA – جمعية الإنترنت والتلفزيون جادل أن “القواعد التوجيهية ليست مطلوبة في هذا المجال” لكنها قالت إنها تدعم “اقتراح لجنة الاتصالات الفيدرالية (FCC) لإلغاء متطلبات الإبلاغ السنوية عن RPKI لمزود خدمة الإنترنت بمجرد أن تشهد على تغطية 90 بالمائة من مسارات حركة المرور على الإنترنت الأصلية باستخدام ROAs.” وحثت NCTA لجنة الاتصالات الفيدرالية (FCC) أيضًا على إلغاء متطلبات تقديم البيانات ربع السنوية لمزودي خدمات الإنترنت التي تصل إلى علامة 90 بالمائة.