La grieta aparentemente irreparable en la columna vertebral de Internet

Es inquietantemente fácil atacar la columna vertebral de Internet para bloquear el acceso a un importante servicio en línea como YouTube, o para interceptar comunicaciones en línea a gran escala.





Eso dicen los investigadores de seguridad que intentan animar a su industria a hacer algo con respecto a las debilidades de larga data en el protocolo que resuelve cómo enrutar datos a través de las diferentes redes que componen Internet. Casi toda la infraestructura que ejecuta ese protocolo ni siquiera utiliza una tecnología de seguridad básica que haría mucho más difícil bloquear o interceptar datos.

La tecnología está disponible, el problema es que no la estamos usando, dijo Wim Remes, gerente de servicios estratégicos de la empresa de seguridad Rapid7, en una charla en el Conferencia de seguridad Black Hat en Las Vegas el miércoles. Hay una probabilidad limitada de estos ataques, pero el impacto una vez que ocurren es enorme.

La debilidad radica en el protocolo de puerta de enlace fronteriza, o BGP. Los grandes enrutadores operados por proveedores de servicios de Internet y las principales corporaciones usan BGP para descubrir cómo obtener datos entre diferentes lugares. Cada uno de estos enrutadores principales recurre a otros como él mismo (operados por otras empresas) en busca de la información que necesita para enviar datos de manera más eficiente a su destino. Las empresas que operan los enrutadores eligen manualmente en qué otros enrutadores confiarán los suyos.



Desafortunadamente, BGP no tiene mecanismos de seguridad incorporados que permitan a los enrutadores verificar la información que reciben o la identidad de los enrutadores que la proporcionan. Pueden suceder cosas muy malas cuando los enrutadores difunden información incorrecta sobre cómo enrutar datos, intencionalmente o no.

Ese problema se conoce desde hace décadas. Fue la base de la afirmación del grupo de piratas informáticos L0pht en 1998 ante el Congreso de que podían acabar con Internet en 30 minutos. Pero los incidentes que han revelado las fallas de BGP han incitado a algunas empresas de seguridad a tomarlo más en serio.

En 2013, la empresa de seguridad Renesys observó varios casos en los que el tráfico web de EE. inexplicablemente desviado a través de Bielorrusia e Islandia , en lo que pudo haber sido un ataque de hombre en el medio diseñado para interceptar datos de manera encubierta. En junio de este año, un ISP de Malasia configuró incorrectamente sus enrutadores e hizo que el tráfico de todo el mundo convergiera en su red, lo que provocó horas de interrupciones o un rendimiento lento para servicios como Snapchat, Skype y Google. Artyom Gavrichenkov, investigador de la empresa de seguridad. Qrator , mostró en Black Hat cómo se puede manipular BGP para obtener un certificado de seguridad en nombre de un sitio web en particular sin permiso, lo que permite suplantarlo y descifrar el tráfico seguro.



Remes de Rapid7 dice que las empresas que ejecutan la infraestructura BGP no se toman los riesgos de tales problemas lo suficientemente en serio. Se puede usar una tecnología llamada RPKI para brindar a los enrutadores una forma de verificar que la información que reciben de otros es válida. Pero solo 16 de los sitios más visitados del mundo lo han implementado, y Facebook es el único sitio entre los 10 principales que lo ha hecho, dijo.

Andree Toonk, gerente de ingeniería de redes en OpenDNS, una empresa de seguridad adquirida recientemente por Cisco Systems, dice que incluso la adopción generalizada de RPKI solo contribuiría de alguna manera a abordar los peligros de BGP porque es posible evitarlo. Resuelve el 90 por ciento del problema, pero no es infalible, dijo.

En su propia charla en Black Hat el jueves, Toonk planeó describir un sistema de sondas que instaló en todo el mundo para rastrear la actividad de los enrutadores BGP. OpenDNS lanzará una especie de sistema de alerta pública que transmitirá cambios preocupantes en las rutas de datos a través de Twitter .



esconder