Internet insegura desde las entrañas: Ahora le toca al BGP

Gabolonte Blasfemus

image Otro golpe más a la seguridad de los pilares básicos de Internet; tal vez este año lo recordemos como el año que hackearon Internet, en serio.

Primero fue un protocolo tan vital como el DNS el que permitía dejar indefensa a toda la red, y ahora se trata de BGP, uno de los protocolos base de permiten interconectar y rutear el tráfico entre todas las redes, específicamente entre lo que se conoce como Autonomous System (AS), rangos de red bajo el control de uno o un grupo de operadores específicos y con una claramente definida política de ruteo. En pocas palabras, BGP se encarga de mantener una tabla de ruteo que permite a las distintas redes, como la de un ISP, Google, u otras corporaciones con redes propias, saber a que otra red deben enviar sus paquetes para que lleguen de la mejor manera posible a determinado destino. Lo malo de este sistema, es que BGP permite anunciarse sin ningún tipo de verificación, y la información de ruteo, falsa o no, se distribuye en minutos alrededor de todo el mundo.

Esto permite a un atacante enviar por BGP información falsa, que otras redes tomen como la ruta más directa para llegar a determinada red, y de esta forma logra redireccionar todo el tráfico hacia las IPs que controla. Esto ya era conocido de antes, y uno de los mejores ejemplos del resultado de este envenenamiento de la tablas BGP se dio cuando Pakistan, en un intento por bloquear el acceso a YouTube por parte de sus ciudadanos, consiguió que el sitio fuese inaccesible para casi toda la Internet. Esto se debe justamente a que al rutear los paquetes a la IP del atacante, éste no tenía forma de redirigir los paquetes a destino, por lo que la interrupción de datos era más que notoria y el ataque perdía efecto más allá de la mera denegación de servicio.

Pero ahora, los investigadores Anton "Tony" Kapela y Alex Pilosov agregaron el elemento que faltaba para armar el cóctel. Mediante el uso de una característica de BGP llamada AS path prepending, puede ponerse en una "lista negra" a ciertos routers que por ende no recibirán la falsa información de ruteo enviada por el atacante a todo Internet. De esta manera, luego de espiar y o adulterar los paquetes de datos a su antojo, estos son enviados de vuelta a su destino original a través de uno de estos routers sin adulterar, con lo que nadie nota nada extraño. El ataque tiene sus limitaciones, por ejemplo sólo puede interceptarse una sola dirección del tráfico por ataque, y además sólo funciona para los paquetes que tienen que viajar entre redes; no serviría por ejemplo, para espiar o adulterar tráfico enviado entre dos hosts dentro del mismo ISP. Pero aún así, su efectividad es devastadora, ya que, sin utilizar ninguna vulnerabilidad, explotando tan sólo las funciones del protocolo en sí, se consigue interceptar el tráfico sin posibilidad alguna de que pueda notarse el problema. Los expertos anuncian que para poder detectarlo, los administradores de redes de cada ISP deberían estar vigilando constantemente las tablas de ruteo BGP y tener mucha experiencia y conocimiento como para detectar algo, tarea faraónica si además se tiene en cuenta que en un sólo día que haya algún problema con Internet, pueden llegar a haber entre 200 y 400 modificaciones de las rutas BGP.

El resto de las soluciones parecen igual de inviables. Una sería establecer filtros en el protocolo, pero su alto y costoso mantenimiento evitaría que cualquier ISP se moleste en usarlo, además quienes no lo usen estarían partiendo la Internet a la mitad con los que sí. La otra opción, es utilizar SBGP, una versión mejorada de BGP que incluye certificados digitales para que cada información sea firmada por el router emisor, pero que de momento requiere una capacidad de procesamiento y de software para laque no están pensados los routers de hoy en día, lo cual también obligaría a la inviable locura de reemplazar cada router que exista en Internet.

Según palabras de los descubridores del ataque, "Los ISPs estuvieron conteniendo el aliento, esperando que nadie descubra esto y lo explote", y señalan que la única forma en la que puede llegar a encontrarse una solución es que los clientes reclamen y obliguen a sus ISPs a protegerlos y darles seguridad. Algo que también veo completamente inviable, por supuesto.

Vía Kriptópolis | Wired.


3 Responses to “Internet insegura desde las entrañas: Ahora le toca al BGP”

  • Guillermo despachó:

    Esa imagen es de Los Simpsons?


    Usando Internet Explorer Internet Explorer 7.0 en Windows Windows XP
  • Gabolonte Blasfemus despachó:

    Fija que sí Guillermo, aunque no recuerdo haber visto el capítulo…


    Usando Opera Opera 8.65 en Microsoft PocketPC Microsoft PocketPC
  • Marcos despachó:

    Excelente resumen de la situación. La verdad es que la solución al problema es complicada, porque a estas alturas es imposible sustituir BGP por otro protocolo de enrutamiento, y por lo que he leido el control y verificación de las rutas que cada ISP anuncia sería algo muy costoso.

    Veremos si el problema es tan grave como para tomar las medidas necesarias, o todo quedará en el olvido, excepto para los espías de la red.

    Creo que cada vez va a ser más necesario encriptar la información que viaja por la red… o es eso lo que nos quieren hacer creer, para finalmente hacerlo y conseguir por fin un control de la red? ;)


    Usando Mozilla Firefox Mozilla Firefox 3.0.1 en Windows Windows XP