08-28-2008, 02:30 AM
Dos investigadores de seguridad han demostrado una nueva técnica para furtivamente interceptar el tráfico de Internet en una escala que previamente se presumía solo posible a los organismos de inteligencia y seguridad nacional.
La táctica explota el protocolo de enrutamiento de Internet BGP (Border Gateway Protocol) para permitir a un atacante controlar subrepticiamente el tráfico de Internet sin encriptar en cualquier parte del mundo, e incluso modificarlo antes de que llegue a destino.
"Es un gran problema. Es al menos tan grande como el problema del DNS, si no más grande", dijo Peiter "Mudge" Zatko, experto en seguridad y ex miembro del grupo de hacking L0PHT, que testificó ante el Congreso en 1998 que podría reducir la Internet en 30 minutos utilizando un ataque BGP similar, y divulgó en privado a agentes del gobierno cómo explotar BGP para escuchar las comunicaciones.
La nueva investigación asegura que cualquiera con un router BGP, que suele ser un dispositivo común en los proveedores de Internet o las grandes empresas, podría interceptar los datos que se enviasen a determinada dirección IP o incluso a un grupo de direcciones.
Este método, permitiría el espionaje corporativo, el espionaje entre naciones o las intervenciones de las agencias de seguridad para poder interceptar datos en Internet sin que fuera necesaria la colaboración de los ISP.
Lo peor del caso denunciado por los expertos Anton Kapela de la compañía 5NinesData y Alex Pilosov de Pilosof en la conferencia de seguridad DefCon, es que este tipo de ataque no se aprovecha de un error de software o una vulnerabilidad determinada, si no que se trata del propio mecanismo de interconexión incluido en el funcionamiento del protocolo BGP.
El problema del BGP es que su funcionamiento está basado en la confianza. Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el camino más corto para que los datos lleguen a su destino. El BGP asume que el router está seleccionando la mejor ruta para los datos y que nunca le va a engañar; y precisamente, esta premisa es la que se puede manipular para engañar al sistema fácilmente.
Así es como funciona. Cuando un usuario introduce un nombre de sitio web en su navegador o hace clic en "enviar" para lanzar un mensaje de correo electrónico, un servidor DNS produce una dirección IP para el destino. Un router perteneciente a un usuario del proveedor de acceso a Internet entonces consulta una tabla BGP sobre la mejor ruta.
Esta tabla está construida de anuncios, emitidos por proveedores de servicios de Internet y otras redes - también conocidos como Sistemas Autónomos, o ASes - declara el rango de direcciones IP, o prefijos IP, a los que se va a entregar tráfico. La tabla de enrutamiento busca la dirección IP de destino entre los prefijos.
Si dos ASes entregan la dirección, gana el prefijo más específico.
Por ejemplo, uno puede anunciar que ofrece a un grupo de 90.000 direcciones IP, mientras que otro ofrece a un subconjunto de 24.000 de esas direcciones.
Si la dirección IP de destino está dentro de los dos anuncios, BGP enviará datos a la más estrecha, o más específica.
Para interceptar los datos, el espía anunciar un rango de direcciones IP objetivo más estrecho que las publicadas en otras redes.
El ataque se llama (hijack) secuestro de IP y, no es nuevo. La diferencia es que éste método, no rompe nada, no se delata. Como ocurrió a principios de este año, cuando Pakistán Telecom inadvertidamente secuestró el tráfico de YouTube tráfico de todo el mundo. El tráfico llegó a un callejón sin salida en Pakistán, era evidente para todo el mundo tratando de visitar YouTube que algo estaba mal.
La innovación de Pilosov es que transmite los datos interceptados en silencio al destino real, por lo que no se produce corte.
Los expertos aseguran que este tipo de ataque puede evitarse con la colaboración de las operadoras si empiezan a utilizar un sistema de filtros que permitiesen distinguir la manipulación de los datos. Esto supone un trabajo bastante arduo para los ISP, que según denuncia Kapela, no han hecho nada para solucionarlo aún.
Leer más:
Revealed: The Internet's Biggest Security Hole
More on BGP Attacks -- Updated
Los slides usados en DEFCON 16.
La táctica explota el protocolo de enrutamiento de Internet BGP (Border Gateway Protocol) para permitir a un atacante controlar subrepticiamente el tráfico de Internet sin encriptar en cualquier parte del mundo, e incluso modificarlo antes de que llegue a destino.
"Es un gran problema. Es al menos tan grande como el problema del DNS, si no más grande", dijo Peiter "Mudge" Zatko, experto en seguridad y ex miembro del grupo de hacking L0PHT, que testificó ante el Congreso en 1998 que podría reducir la Internet en 30 minutos utilizando un ataque BGP similar, y divulgó en privado a agentes del gobierno cómo explotar BGP para escuchar las comunicaciones.
La nueva investigación asegura que cualquiera con un router BGP, que suele ser un dispositivo común en los proveedores de Internet o las grandes empresas, podría interceptar los datos que se enviasen a determinada dirección IP o incluso a un grupo de direcciones.
Este método, permitiría el espionaje corporativo, el espionaje entre naciones o las intervenciones de las agencias de seguridad para poder interceptar datos en Internet sin que fuera necesaria la colaboración de los ISP.
Lo peor del caso denunciado por los expertos Anton Kapela de la compañía 5NinesData y Alex Pilosov de Pilosof en la conferencia de seguridad DefCon, es que este tipo de ataque no se aprovecha de un error de software o una vulnerabilidad determinada, si no que se trata del propio mecanismo de interconexión incluido en el funcionamiento del protocolo BGP.
El problema del BGP es que su funcionamiento está basado en la confianza. Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el camino más corto para que los datos lleguen a su destino. El BGP asume que el router está seleccionando la mejor ruta para los datos y que nunca le va a engañar; y precisamente, esta premisa es la que se puede manipular para engañar al sistema fácilmente.
Así es como funciona. Cuando un usuario introduce un nombre de sitio web en su navegador o hace clic en "enviar" para lanzar un mensaje de correo electrónico, un servidor DNS produce una dirección IP para el destino. Un router perteneciente a un usuario del proveedor de acceso a Internet entonces consulta una tabla BGP sobre la mejor ruta.
Esta tabla está construida de anuncios, emitidos por proveedores de servicios de Internet y otras redes - también conocidos como Sistemas Autónomos, o ASes - declara el rango de direcciones IP, o prefijos IP, a los que se va a entregar tráfico. La tabla de enrutamiento busca la dirección IP de destino entre los prefijos.
Si dos ASes entregan la dirección, gana el prefijo más específico.
Por ejemplo, uno puede anunciar que ofrece a un grupo de 90.000 direcciones IP, mientras que otro ofrece a un subconjunto de 24.000 de esas direcciones.
Si la dirección IP de destino está dentro de los dos anuncios, BGP enviará datos a la más estrecha, o más específica.
Para interceptar los datos, el espía anunciar un rango de direcciones IP objetivo más estrecho que las publicadas en otras redes.
El ataque se llama (hijack) secuestro de IP y, no es nuevo. La diferencia es que éste método, no rompe nada, no se delata. Como ocurrió a principios de este año, cuando Pakistán Telecom inadvertidamente secuestró el tráfico de YouTube tráfico de todo el mundo. El tráfico llegó a un callejón sin salida en Pakistán, era evidente para todo el mundo tratando de visitar YouTube que algo estaba mal.
La innovación de Pilosov es que transmite los datos interceptados en silencio al destino real, por lo que no se produce corte.
Los expertos aseguran que este tipo de ataque puede evitarse con la colaboración de las operadoras si empiezan a utilizar un sistema de filtros que permitiesen distinguir la manipulación de los datos. Esto supone un trabajo bastante arduo para los ISP, que según denuncia Kapela, no han hecho nada para solucionarlo aún.
Leer más:
Revealed: The Internet's Biggest Security Hole
More on BGP Attacks -- Updated
Los slides usados en DEFCON 16.
