Un attacco all’infrastruttura centrale di Internet per intercettare il traffico Web su scala massiccia è più facile del previsto.
di Tom Simonite
Attaccare la spina dorsale di Internet per bloccare l’accesso a servizi online principali come YouTube o intercettare comunicazioni online è pericolosamente facile.
Questo è il monito lanciato dai ricercatori che operano nel campo della sicurezza online nel tentativo di spronare l’industria a reagire ai punti deboli che da anni affliggono il protocollo responsabile dell’indirizzamento dei dati attraverso le diverse reti che formano Internet. Quasi la totalità dell’infrastruttura che gestisce questo protocollo non dispone neppure delle tecnologie di sicurezza più basilari che potrebbero rendere più difficile bloccare o intercettare dati.
“La tecnologia c’è – il problema è che non la stiamo utilizzando”, ha detto Wim Remes, direttore dei servizi strategici presso la società di sicurezza informatica Rapid7, durante una sessione della conferenza Black Hat di Las Vegas.
“Esiste una probabilità ridotta che attacchi simili vengano perpetrati, ma l’impatto anche di un solo attacco sarebbe enorme”.
Il punto debole giace nel Border Gateway Protocol, o BGP. I grandi router operati dagli operatori di rete e dalle principali corporazioni utilizzano il BGP per determinare il modo in cui trasferire dati da un punto a un altro. Ciascuno di questi router si rivolge ad altri dello stesso tipo – operati da altre società – per ottenere le informazioni necessarie al fine di consegnare i dati nella maniera più efficiente. Gli operatori dei router selezionano manualmente su quali altri router fare affidamento.
Sfortunatamente, il BGP non dispone di meccanismi di sicurezza tali da permettere ai router di verificare le informazioni in arrivo o le identità dei router che le stanno trasmettendo. Nel caso in cui i router dovessero ricevere informazioni sbagliate su come indirizzare i dati in uscita, le conseguenze potrebbero essere gravi.
Il problema è risaputo da decenni. Proprio sulla base di questo problema, nel 1998, il gruppo di hacker L0pht aveva dichiarato al Congresso che avrebbe potuto bloccare l’Internet in 30 minuti. Una serie di incidenti che hanno evidenziato i difetti nel BGP ha però spronato alcune società di sicurezza a prendere sul serio il problema.
Nel 2013, la società di sicurezza Renesys ha osservato diverse occasioni in cui il traffico statunitense in rete era stato inspiegabilmente reindirizzato da Bielorussia e Islanda, secondo quello che pareva essere un attacco “man in the middle” pensato per intercettare dati sotto copertura Nel giugno di quest’anno, un ISP malese ha configurato erroneamente i propri router e causato un riflusso di traffico da tutte le parti del mondo sulla propria rete, portando a ore di interruzione o a un calo di prestazioni di servizi quali Snapchat, Skype e Google. Durante la conferenza Black Hat, Artyom Gavrichenkov, un ricercatore della società di sicurezza Orator, ha dimostrato come il BGP potrebbe essere manipolato per ottenere senza autorizzazione un certificato di sicurezza a nome di un particolare sito, permettendo così di impersonare il sito in questione e decifrare il traffico protetto.
Remes, di Rapid7, sostiene che le società responsabili della gestione dell’infrastruttura BGP non stiano prendendo seriamente i rischi dietro questi problemi. Una tecnologia denominata RPKI potrebbe essere implementata per dare ai router la possibilità di verificare che le informazioni in entrata siano valide. Solo 16 dei siti più visitati al mondo, però, lo hanno implementato, e Facebook è l’unico sito nella top 10 ad averlo fatto, ha detto Remes.
Andree Toonk, direttore della progettazione reti per la OpenDNS, una società di sicurezza che è stata recentemente acquisita dalla Cysco Systems, dice che anche la tecnologia RPKI è solamente una soluzione parziale, perché esistono modi per aggirarla. “Risolve il 90 percento del problema, ma non è infallibile”.
Durante la sua presentazione di ieri al Black Hat, Toonk ha pianificato la descrizione di un sistema di sonde allestite in giro per il mondo al fine di monitorare l’attività dei router BGP. La OpenDNS potrebbe presto avviare una sorta di sistema d’allerta via Twitter con cui segnalare modifiche preoccupanti nei percorsi intrapresi dai dati.
(MO)
