BGP hijacking, i confini di Internet sono insicuri

28 Agosto 2008 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebIl rischio di DNS spoofing - anche noto come “bug del DNS” - scoperto da Dan Kaminsky? E’ solo l’inizio: le fondamenta di Internet sono morbida gelatina nelle mani degli hacker più capaci, e le dimostrazioni sulla profonda insicurezza delle infrastrutture telematiche mondiali si moltiplicano senza soluzione di continuità. Ultimo in ordine di tempo arriva il promemoria di una falla nota da tempo, che investe i sistemi del Border Gateway Protocol (BGP) e che, al contrario del bug del DNS, non verrà adeguatamente affrontata ancora per lungo tempo.

Come nel caso dei DNS, al protocollo BGP viene delegata l’esecuzione di un compito vitale per il normale funzionamento di Internet, nella fattispecie l’individuazione dei percorsi più brevi che il traffico di rete deve compiere per raggiungere l’indirizzo IP di destinazione. I server BGP hanno in archivio una tabella degli IP disponibili, che consultano ad ogni richiesta di routing alla ricerca dei range di indirizzi meno popolati.

Al meeting di hacker Defcon tenutosi questo agosto, i due ricercatori di sicurezza Alex Pilosov e Tony Kapela hanno dimostrato come sia possibile intromettersi nelle comunicazioni tra i provider e i server BGP dirottando, per mezzo di un attacco di tipo “man in the middle”, il traffico verso network diversi da quelli legittimi. Il problema, in questo caso come nel caso del bug scoperto da Kaminsky, sta nel rapporto di fiducia che si instaura di “default” tra i protocolli basilari della rete, un principio valido forse negli anni ‘70 (quando è stata messo a punto l’infrastruttura di Internet) ma che dimostra tutta la sua inadeguatezza alla realtà attuale.

La possibilità di traffic hijacking sui sistemi BGP è nota da tempo, addirittura da oltre 10 anni, e ne sono a conoscenza anche le agenzie governative e il parlamento statunitensi. L’approccio di Pilosov e Kapela è innovativo perché non si basa su alcun “trucco” o hack di sorta: l’attacco dei due ricercatori si limita a utilizzare le infrastrutture esistenti per fare quello per cui sono progettate, vale a dire trasferire i pacchetti di dati da un punto all’altro della connessione per la strada più breve possibile.

The Matrix - system failure

Per evitare il rischio di una paralisi generalizzata della rete, l’unica soluzione indicata dagli esperti che hanno studiato la faccenda è quella di un intervento di peso dei provider, a cui spetterebbe il compito di monitorare e filtrare in maniera aggressiva i range di indirizzi IP, assieme alla creazione di un meccanismo di autenticazione a chiave pubblica per i vari intermediari coinvolti nell’interrogazione dei sistemi di routing del traffico di rete.

Un intervento che necessita di denaro e risorse ingenti, che tarda già da 10 anni e che non si prevede verrà concretizzato nell’immediato futuro. Le fondamenta di Internet sono insicure, ma questo evidentemente non è sufficiente per smuovere società (i provider di cui sopra) il cui unico obiettivo è diventato quello di massimizzare i ricavi vendendo connessioni che promettono tanto ma mantengono molto poco.

Nel frattempo, almeno per quanto riguarda il bug DNS, i rischi si trasformano in minacce concrete e le falle fondamentali della Rete vengono sfruttate da criminali e malintenzionati: gli utenti di China Netcom, uno dei maggiori ISP cinesi, sono stati nei giorni scorsi rediretti su pagine malevole progettate per sfruttare note vulnerabilità in RealPlayer, Adobe Flash e Microsoft Snapshot Viewer. I cracker hanno nel caso specifico sfruttato il ben noto meccanismo con cui molti provider dirigono i tentativi di accesso a URL digitati incorrettamente verso pagine di ricerca personalizzate.

P.S. Visto che l’immagine allegata all’articolo non è male e il “vecchio” Matrix fa sempre buon brodo, segnalo per chi fosse interessato a scaricarla senza watermark l’indirizzo da cui l’ho prelevata io (link diretto). Enjoy ;-)

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta