A poche settimane da una delle più grandi minacce per la rete Internet, scoperta da Dan Kaminsky, di cui abbiamo parlato, arriva dall’ultimo DefCon la dimostrazione di come sia possibile sfruttare il protocollo BGP (Border Gateway Protocol) per monitorare (“eavesdrop”) il traffico generato da un insieme di indirizzi IP.
I problemi legati al protocollo BGP non sono certamente una novità per gli esperti di sicurezza e suona sicuramente esagarata la definizione data da Wired nel presentare la minaccia come “The Internet’s Biggest Security Hole”.
IL BGP è un protocollo di rete e in particolare è un protocollo di instradamento (“routing”) con il compito principale di permettere il raggiungimento della nostra “destinazione”.
Quando un router riceve una richiesta, cerca il “miglior” percorso per raggiungere questa destinazione. Per fare questo, il router controlla la propria tabella BGP, in cui sono memorizzate tutte le informazioni sulle rotte. Il “miglior” percorso è quello che corrisponde il più vicino possibile all’indirizzo del router che in realtà cercando.
Facciamo un breve esempio: supponiamo che il router debba raggiungere la destinazione con indirizzo IP 82.76.44.98. Cercando nella propria tabella BGP, il router potrebbe trovare decine di router che sono connesse alla rete 82.x.x.x. Siccome il range è troppo ampio, il router sceglierà quel router che è connesso alla rete 82.255.x.x passando a questo il pacchetto di dati. A sua volta questo router cercherà nella propria tabella BPG il router a lui più vicino e così via, fino al raggiungimento della destinazione 82.76.44.98.
Questo processo si basa sulla fiducia: il router che ricerca informazioni nella propria tabella BGP non ha modo di verificare che quello che sceglie è effettivamente il percorso migliore. Può solo assumere che sia il migliore, perché assume che le informazioni che riceve siano valide.
Ciò che è stato evidenziato alla DefCon dal team composto da Anton Kapela e Alex Pilosov è come sia possibile (almeno teoricamente) approfittare della “fiducia” su cui è implementato il protocollo per effettuare dell’IP hijacking.
Ricollegandoci all’esempio sopra, un hacker che volesse monitorare il traffico verso l’IP 82.76.44.98 potrebbe “pubblicizzare” il proprio router come il miglior nodo per raggiungere questa destinazione.
È facile quindi capire come la minaccia risiede nella natura stessa del protocollo BGP: per questo motivo non si può parlare di “falla” o di “security hole” come fatto da Wired. Ma purtroppo per questo stesso motivo la minaccia sarà più duratura.
Anton Kapela e Alex Pilosov hanno dimostrato come sia difficile accorgersi di questo tipo di attacco.
Al tempo stesso la soluzione non può essere immediata: occorre infatti che tutti gli ISP del mondo si accordino su una soluzione che debba gioco forza prevedere un sistema di autenticazione.
Wired ha dedicato due articoli all’argomento (primo – secondo articolo), mentre chi fosse interessato alle slide di Anton Kapela e Alex Pilosov in cui viene presentata la minaccia possono essere scaricati in formato PDF oppure in formato ppt.
