Después de que se descubriera un importante error de seguridad en el DNS que demuestra la debilidad de Internet frente a los ataques de hackers, ahora sale a la luz uno mayor. Los datos que viajan por Internet pasan de un ordenador a otro sin intervención humana necesaria, siguiendo la "intuición" de los protocolos informáticos.
Dos investigadores de seguridad informática (Anton Kapela y Alex Pilosov) , han demostrado una nueva técnica para interceptar (en forma furtiva) el tráfico de Internet. La técnica utiliza el protocolo BGP para desviar el tráfico de Internet en cualquier lugar del mundo hacia una estación de monitorización, para luego ser enviado (una vez que se ha modificado) hacia su destino final.
El protocolo BGP mantiene las tablas de rutas que permiten encontrar la más eficiente hacia un destino determinado. Estas rutas se basan en las máscaras de red y la más restrictiva (o la más específica) gana.
Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico ?desaparecería? sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).
Los dos expertos creen que es fácil evitar la intrusión en los datos, pero que habría que sustituir las máquinas y modificar los protocoles actuales, por lo que se muestran de acuerdo en afirmar que cabe la posiblidad de que se produzca antes un caso grave.
Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico ?desaparecería? sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).
Los dos expertos creen que es fácil evitar la intrusión en los datos, pero que habría que sustituir las máquinas y modificar los protocoles actuales, por lo que se muestran de acuerdo en afirmar que cabe la posiblidad de que se produzca antes un caso grave.
No es un fallo
Lo peor del caso denunciado, es que este tipo de ataque no se aprovecha de un error de software o una vulnerabilidad determinada, si no que se utiliza un mecanismo incluido en el funcionamiento del protocolo BGP.
El problema del BGP es que su funcionamiento está basado en la confianza. Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el "camino" más corto para que los datos lleguen a su destino. El BGP asume que el router está seleccionando la mejor ruta para los datos y que nunca le va a "engañar; y precisamente, esta premisa es la que se puede manipular para que engañar al sistema fácilmente.
Los expertos aseguran que este tipo de ataque puede evitarse con la colaboración de las operadoras si empiezan a utilizar un sistema de filtros que permitiesen distinguir la manipulación de los datos. Esto supone un trabajo bastante arduo para los proveedores de acceso, que según denuncia Kapela, no han hecho nada para solucionarlo puesto que hasta el momento nadie se había dado cuenta del problema.
Lo peor del caso denunciado, es que este tipo de ataque no se aprovecha de un error de software o una vulnerabilidad determinada, si no que se utiliza un mecanismo incluido en el funcionamiento del protocolo BGP.
El problema del BGP es que su funcionamiento está basado en la confianza. Por ejemplo, para que un mensaje de correo electrónico de un cliente de Sprint en California llegue al buzón de un usuario de Telefónica en España, sus redes se comunican con un router BGP que indican cuál es el "camino" más corto para que los datos lleguen a su destino. El BGP asume que el router está seleccionando la mejor ruta para los datos y que nunca le va a "engañar; y precisamente, esta premisa es la que se puede manipular para que engañar al sistema fácilmente.
Los expertos aseguran que este tipo de ataque puede evitarse con la colaboración de las operadoras si empiezan a utilizar un sistema de filtros que permitiesen distinguir la manipulación de los datos. Esto supone un trabajo bastante arduo para los proveedores de acceso, que según denuncia Kapela, no han hecho nada para solucionarlo puesto que hasta el momento nadie se había dado cuenta del problema.
El País (27-08-2008)
Wired (27-08-2008)
Seguilaflecha.com (27-08-2008)
Sillicon News (28-08-2008)
