Proteção de Roteamento de Tráfego da Internet Quebrado, Reivindicações de Estudo • O Registro

Um mecanismo de segurança da Internet chamado Resource Public Key Infrastructure (RPKI), projetado para proteger o roteamento do tráfego de dados, foi comprometido, de acordo com especialistas em segurança do Centro Nacional Alemão de Pesquisa para Segurança Cibernética Aplicada.

Isso significa que se você esperava que o RPKI impedisse os espiões do estado e os operadores desonestos de redirecionar as conexões das pessoas para bisbilhotá-las ou interrompê-las, você pode ficar desapontado: nos disseram, isso pode ser contornado.

Para quem não sabe, a internet é uma rede de redes conectadas. Essas redes usam o Border Gateway Protocol (BGP) em última análise, cria um gráfico de roteamento da Internet para que, quando você tentar se conectar a algo, seus pacotes sejam enviados pelo canal certo para o lugar certo.Mais especificamente, a Internet consiste em redes chamadas Sistemas Autônomos (ASes) anunciar Seus prefixos de endereço IP são conectados por meio de roteadores usando BGP a redes adjacentes, novamente construindo esse mapa de rotas.

Os ASs maliciosos podem mentir para seus vizinhos sobre prefixos de endereço que não possuem.Por exemplo, em 28 de março de 2022, o provedor de telecomunicações russo RTComm.ru lançou anunciar Um dos prefixos de rede do Twitter, supostamente para interceptar o tráfego do Twitter ou pelo menos redirecioná-lo para um sumidouro, impedindo o acesso à rede social.

A RPKI espera evitar o sequestro de prefixo vinculando endereços IP a ASs usando assinaturas digitais chamadas ROAs (Route Origin Authorizations). Apenas cerca de 40% dos blocos de endereços IP possuem certificados RPKI e apenas cerca de 27% dos blocos de endereços IP os verificaram, De acordo com Atena.

No entanto, onde é implantado, o RPKI fornece ao AS a capacidade de validar os anúncios de prefixo IP de outros AS. Usando ROV (Route Origin Validation), os roteadores BGP podem classificar as rotas como válidas ou inválidas. Mas quando o ROV não está disponível no ponto de publicação da rede, o roteador BGP considera a rota desconhecida e o RPKI não é usado para decisões de roteamento.

Os pesquisadores do ATHENE dizem que essa escolha de design – priorizando a acessibilidade da rede sobre a segurança – representa uma fonte de vulnerabilidade.

existir Pesquisar [PDF] Na conferência de segurança Usenix e Black Hat no início deste ano, Tomas Hlavacek, Philipp Jeitner, Donika Mirdita, Haya Shulman e Michael Waidner descreveram um ataque chamado “Stalloris”.

O ataque requer controle adversário de pontos de distribuição de RPKI (roteadores ou redes) ao alcance de adversários em nível estadual e outros criminosos sofisticados. As fontes adversárias de RKPI são configuradas para responder às solicitações o mais lentamente possível e fazer com que as vítimas busquem informações em pontos de publicação controlados. Como o nome sugere, esta técnica interrompe o processo de verificação de roteamento de rede e eventualmente desabilita o RPKI para que não ocorra nenhuma verificação de roteamento de rede.

“[W]Em seu artigo, os pesquisadores explicam que combinar Stalloris com um ataque de perda de pacotes fora do caminho de baixa taxa em apenas uma iteração é suficiente para eliminar a verificação de RPKI. “A ideia por trás do nosso ataque Stalloris é criar um caminho de autorização profundo que permita que as partes confiáveis [validating ROAs for the victim] Abra conexões RRDP (RPKI Repository Incremental Protocol) para vários pontos de publicação controlados pelo adversário. “

Suponha que um invasor deseje fazer com que o AS1 aceite anúncios BGP sequestrados para o AS2, a técnica envolve a identificação parte confiável AS1 e os resolvedores de DNS envolvidos. Ele também precisa identificar o repositório público (ponto de publicação) que fornece informações de RKPI ao AS2.

Com a terceira parte confiável do AS1 e o ponto de publicação do AS2 conhecidos, o invasor bloqueia a comunicação da terceira parte confiável com o repositório RKPI do AS2. Isso deve ser repetido para remover o registro de cache do cache do resolvedor de DNS.

Esse ataque de baixa taxa é combinado com um ataque Stalloris projetado para degradar o desempenho da terceira parte confiável para reduzir o número de iterações de ataque de baixa taxa para desabilitar a proteção RKPI.

Usando rajadas de baixa taxa sincronizadas com consultas de terceiros confiáveis ​​para encontrar pontos de publicação de RPKI, um invasor pode excluir efetivamente as proteções de RPKI, forçando a rede de destino a tomar decisões de roteamento com base em informações não verificadas.

Veja o artigo mencionado acima para obter detalhes técnicos completos; estamos apenas resumindo aqui, para que você saiba que este é um ataque não trivial para bisbilhoteiros bem posicionados e com bons recursos. Pense nisso como um desafio de design interessante a ser superado, ou algum tipo de ataque que pode ser possível no futuro.

“Em nossas medições, descobrimos que 47% dos sites de publicação eram vulneráveis ​​a ataques de downgrade de limite de taxa”, disse o jornal. “Isso é equivalente a 60 por cento do espaço de endereço IPv4 protegido por RPKI na Internet.”

No início de 2021, todos os produtos populares que a rede usa para validar certificados RPKI são vulneráveis, disseram os pesquisadores, e notificaram os fabricantes de produtos sobre o ataque. Presumivelmente, algumas das mitigações propostas pelos pesquisadores – limitar as cadeias de delegação, repensar como lidar com rotas “desconhecidas”, etc. – já foram implementadas pelos fabricantes de equipamentos de rede.

Mas Athena não tem certeza de até que ponto suas recomendações serão implementadas. “Ainda não medimos quantos atualizaram seus sistemas”, disse um porta-voz em um e-mail. “Estamos cientes dos desenvolvedores que integram patches em softwares de terceiros (exceto o software RIPE NCC que não é mais mantido) para evitar ataques”.

O Google pelo menos diz que implementou defesas. “O Google tem salvaguardas para proteger nossa infraestrutura RPKI dessa ameaça”, disse um porta-voz registro.

Mas sobre 60% dos blocos IP não possuem RPKI, o seqüestro de roteamento de rede ainda é um risco. ®

ZeroToHero

ZeroToHero

Leave a Reply

Your email address will not be published.