Wired: "Revelado el mayor agujero de seguridad de Internet"
Nota del editor: ¿Dos fallos críticos en protocolos básicos de Internet en poco más de un mes? A este paso habrá que eliminar "Seguridad en Internet" del lema de este sitio...[Muchas gracias a Andy por el trabajo, y a todos y cada uno de los que me habiáis avisado por email.]
Fuente: Wired.
Editado y enviado por Andy.
Dos investigadores de seguridad informática han demostrado una técnica para interceptar tráfico en forma casi indetectable. La técnica, del tipo man-in-the-middle, utiliza el protocolo BGP para desviar tráfico en cualquier lugar del mundo hacia la estación de monitorización y luego lo envía (posiblemente modificado) hacia su destino.
Peter Zatko, uno de los investigadores, declaró: "Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande". Peter Zatko es un ex miembro del grupo L0pht y en 1998 testificó ante el congreso estadounidense diciendo que podría detener totalmente Internet en 30 minutos utilizando un ataque BGP similar. También instruyó a agencias de inteligencia sobre la posible utilización de BGP para monitorizar tráfico remoto sin necesidad de colaboración por parte de ningún ISP...
La técnica descrita intercepta el tráfico por dirección de destino, y no siempre es posible desviar tráfico que ocurre dentro de un mismo ISP. El protocolo BGP mantiene tablas de rutas para encontrar la más eficiente hacia un destino dado. Pero las rutas están basadas en las máscaras de red y la más restrictiva (la más específica) gana. Para interceptar el tráfico, todo lo que tiene que hacer un atacante es publicar un rango de IPs más pequeño que el que está publicado por su legítimo dueño. La publicación se propaga en minutos a todo el mundo y el atacante comenzará a recibir datos destinados a los rangos IPs publicados.
Si sólo se hiciera esto, sería muy fácilmente detectable ya que el tráfico "desaparecería" hacia otra red en vez de llegar a su destino. Esto es más o menos lo que pasó este año cuando un ISP de Pakistán desvió por error todo el tráfico de YouTube (en realidad el tráfico hacia YouTube) hacia direcciones inexistentes. Obviamente todo el mundo se dio cuenta.
Lo innovador de la técnica presentada es la capacidad de poder redirigir el tráfico hacia su destino final después de ser interceptado, algo que normalmente no sería posible ya que las tablas BGP harían que el tráfico volviese al atacante. Sin embargo, se utiliza otra capacidad del protocolo BGP llamada "AS path prepending", que permite seleccionar algunos routers para que no acepten la publicación BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tráfico por medio de éstos routers y llegará correctamente a destino.
Si los datos siempre llegan a destino correctamente, ¿quién va a notar algo?
En todo el proceso no se aprovecha ninguna vulnerabilidad, ningún fallo del protocolo, ningún error de software. Simplemente se saca provecho a la arquitectura BGP que está basada en la confianza mutua.
Anton Kapela, el otro investigador, dijo que los ISP pueden evitar este tipo de ataques utilizando filtros. El problema es que se requiere una gran cantidad de filtros y trabajar en coordinación con todos los otros ISPs. También tendría un alto costo de mantenimiento. Por todo esto, Kapela opina que una solución basada en filtrado no va a prosperar.
Otra solución propuesta se basa en la autenticación de los "dueños" de los bloques IPs. Una solución de éste tipo requeriría la utilización de certificados por parte de los ISPs. Sin embargo, aunque se evitaría el desvío de tráfico en el primer salto en una ruta, lo que evitaría desvíos accidentales como el de Pakistán, este esquema no evitaría el desvío del segundo o tercer salto en una ruta.
Stephen Kent y sus colegas de BBN Technologies, han desarrollado Secure BGP (SBGP), que requiere que cada router BGP firme digitalmente todas sus rutas publicadas con una clave privada. Esto evitaría totalmente el desvío malintencionado de tráfico, pero lamentablemente los routers actuales no tienen ni la memoria ni la capacidad de procesamiento para generar y validar firmas, por lo que una implementación masiva de SBGP requeriría el cambio a gran escala de todos los routers involucrados, algo que ni los ISP ni los fabricantes de routers se ven motivados a hacer por ahora.
- 4073 lecturas
Twitter
que buen chico!
BGP
DNS
con estos 2 unidos la que se puede liar!!
que buen chico!
Y la definición de grupos BGP en que quedó?
saludos.
MasterCracker3D
Por lo menos aún nos protege SSL (creo)
Saludos.
MasterCracker3D
Pues no
Al menos no en lo que respecta a la vulnerabilidad DNS.
En cuanto a esta, si los paquetes no van cifrados (es decir, 99.99999 % de los correos, por ejemplo) estamos jodidos.
No creas que no se encripta el envío de correos
Todas las plataformas de correos actuales soportan TLS oportunístico con certificados propios. Esto significa que al principio de la conexión SMTP se comprueba si ambas partes soportan TLS y en caso afirmativo se encripta la conexión antes de enviar los correos.
Esto hay que habilitarlo, generar e instalar el certificado, obviamente. Pero cualquier administrador de correo medianamente competente configura su servidor de esta manera.
Puedes verificar mensaje a mensaje si el mismo fué entregado utilizando TLS analizando los encabezados. Si se ha utilizado TLS, verás algo como lo siguiente:
Received: from enviador.de.correo ([1.2.3.4]) by receptor.de.correo over TLS secured channel with [Servidor] [version]; Wed, 27 Ago 2008 18:20:05 +0100
Saludos,
Andy
A Grosso Modo...
...
BGP Juanker: Hola soy el router BGP Juanker <1.2.3.4>
Internet: Hola 1.2.3.4
Internet: Oigan quien esta mas cerca de 213.149.236.75
BGP Nasa: Yo estoy un poco lejos.
BGP OpenDNS: También yo.
BGP LACNIC: Yo, Yo, Yo, Yo estoy cerca...
BGP Juanker: No, Yo estoy mas cerca que LACNIC.
Internet: Bueno entonces me conectare atravez de BGP Juanker en 1.2.3.4
...
No es tan facil, se te olvida:
Hola router, quiero establecer un peer contigo con mi AS...
Lo siento, no te tengo configurado, ADIOS!!!!!
Si esta configurado lo normales:
Hola, soy el as XXXXX y tenemos un peer establecido, ahora voy a propagar esta ruta,Lo siento
Lo siento, ese direccionamiento no es tuyo por lo que lo filtro...
En caso de que el peer ESTE MAL CONFIGURADO, sin filtros que impidan anunciar direccionamiento que no sea se una compañia:
Hola siy el AS XXXXX te anuncio esta IP
OK la redistribuyo
Cliente original --> eso va mal, menudo descenso de tráfico y no somos ccesibles de ciertos sitios, a ver:
looking glass traceroute a mi IP --> yy.yy.yy.yy
Ruta va hacia AS Origen XXXXX
A ver que compañia es estu AS origen (En Euroma Ripe.net) y después:
ISP o CARRIER que tiene un peer con el AS XXXXX filtre inmediatamente a su cliente que esta anunciando nuestro rango!!
Compañia que tiene el AS XXXXX o deja de anunciar nuestro rango o no vemos en los tribunales.....
Si solo haces eso, pues si
Si sólo anuncias una ruta y desvías tráfico, entonces alguien se dará cuenta y dirá "eso va mal, menudo descenso de tráfico", etc, etc.
Pero si el tráfico sigue llegando normalmente, ¿quién va a mirar algo?
Además, con AS path prepending pueden dejar tus routers intactos, por lo que no estoy del todo seguro que el looking glass te vaya a funcionar.
Entonces por eso nuestros amigos de EE.UU no decian nada del
Proyecto carnivore.
Saludos.
MasterCracker3D
No se merecen
He traducido la nota original lo mejor que he podido. Hay partes, especialmente del final, que me he saltado porque no me parecieron escenciales (y porque ya estaba algo cansado).
Con respecto a la noticia: VAYA MARRON!
Saludos,
Andy