Atopan un grave fallo de seguridade na Internet
xoves, 28 de agosto do 2008
- Alex Pilosov e Tony Kapela demostrando a vulnerabilidade atopada durante unha conferencia en Las Vegas
Que houbese un fallo
nos sistemas de DNS que sosteñen a Internet poderÃa ser algo grave se non o
anunciasen cando xa existÃan un parche para arranxalo, pero agora 2
investigadores demostraron unha nova técnica que permite interceptar tráfico de
Internet aproveitando certas caracterÃsticas do protocolo de enrutado BGP, que
curiosamente non son un fallo en si mesmo, senón que aproveitan na confianza
que teñen os sistemas de enrutado entre si, polo que poderiamos
estar ante a maior vulnerabilidade da Internet atopada ata o momento.
Alex Pilosov (de Pilosoft) e Anton Tony
Kapela (de 5Nines Data) son os expertos que detectaron este fallo de seguridade
que só poderá explotarse dende routers BGP (normalmente en provedores de acceso
á Rede ou en empresas de enormes dimensións) e poderÃa empregarse para espionaxe (pois
servirÃa para redirixir o tráfico para un usuario a outro).
Kapela insistiu en que «non hai
vulnerabilidades, nin erros de protocolo, nin problemas de software», senón
que o problema está na confianza na que se basea a arquitectura BGP, que fai
doado que os sistemas que intercambian paquetes de datos coñezan os camiños
máis rápidos polos que levar a información ao seu destino dialogando cos routers
veciños.
Este problema de seguridade poderÃa compararse ao secuestro de rangos de
enderezos IP, coma o que aconteceu hai poucos meses cando un operador PaquistanÃ
suplantou o IP de YouTube, o que deixou ao portal de vÃdeos inaccesible durante
horas, aÃnda que no caso que nos ocupa as repercusións poderÃan ser
indetectables para o usuario final (aÃnda que os expertos en redes si poderÃan
advertir estas prácticas).
A manipulación do encamiñamento BGP poderÃa evitarse mediante filtros ou con
técnicas de autentificación, polo que hai que agardar que as empresas
responsables tomen medidas ao respecto antes de que se comece a aproveitar esta
vulnerabilidade da Internet con escuras intencións.