Google, Facebook, Apple y Microsoft todas fueran afectadas por un error internacional BGP.
El
trafico que se envia y recibe de Google, Facebook, Apple y Microsoft
fue redirigida brevemente a traves de un ISP ruso, bajo circunstancias
denominadas como sospechosas a nivel internacional.
El
inexplicable hecho se da alrededor del BGP (Border Gateway Protocol),
ha sido la novedad en plantear preguntas sobre la seguridad y
fiabilidad de las comunicaciones que son enviadas por la red mundial.
BGP
encamina a larga esacla grandes cantidades de trafico a lo largo de los
backbones de internet, ISP's. A pesar de la informacion que este
protocolo maneja, la seguridad de BGP esta basada en la confianza de las
palabras. Los eventos de este 13 de Diciembre llegan 8 meses luego de
que una larga
cadena
de datos perteneciente a Mastercard, Visa and mas de una docena de
otros servicios financieros hayan sido reencaminados a traves de una
telecom de control gubernamental Rusa, tambien bajo sospechosas
circunstancias.
De
acuerdo a un blog publicado el pasado 13, por una empresa de monitoreo
de internet BGPMon, el incidente duro un total de 6 minutos y afecto 80
bloques de direcciones separadas. Empezo a las 4:43 UTC continuo por 3
minutos, mientras tanto un segundo monitoreo Qrator Labs, aseguro pudo
haber demorado por 2 horas, a pesar de esto el numero de bloques de
direcciones burladas varia entre 40 y 80.
No fue tan solo otro error BGP
Mientras
que los eventos de enrutamiento BGP son con frecuencia el resultado de
errores humanos mas que de intentos maliciosos, los investigadores de
BGPMon dijeron que hubieron serios cambios durante el incidente.
Primero:
el trafico redireccionado pertenece a alguna de las compañias mas
grandes Google, Facebook, Apple y Microsoft, ademas de otras como
Twitch, NTT Comunications, and Riot Games. Ademas que de los objetivos
seleccionados, los IPs fueron divididos en bloques mas pequeños y mas
especificos que los anunciados por los afectados, esto como evidencia
que le reenrutamiento fue intencional. "Algunos de estos prefijos normalmente no existen, es decir, había un Google /16 (esperado) y de repente uno más específico / 24 (bloque más pequeño)", escribió el investigador de BGPMon Andree Toonk en un correo electrónico. "Google no anunció ese bloque, por lo que alguien inventó eso. Normalmente, con los errores de configuración de BGP, no vemos nuevos prefijos".
Las empresas reciben direcciones IPv4 en bloques cuyos tamaños se miden por el número que sigue a la barra inclinada. Cuanto menor sea el número después de la barra, se incluirán más direcciones. Un bloque A / 16 tiene aproximadamente 64,000 direcciones utilizables, mientras que un / 24 tiene solo 254. En las tablas de enrutamiento BGP, los bloques más pequeños y más específicos generalmente tienen preferencia sobre los bloques más grandes. Las rutas recientemente anunciadas con tamaños de bloque más pequeños también tienen más posibilidades de ser recogidas por otras redes troncales de Internet y por los ISP, ya que la ruta es más atractiva.
El redireccionamiento fue el resultado de un llamado sistema autónomo ubicado en Rusia que agrega entradas a las tablas de BGP alegando que era el origen legítimo de los 80 prefijos afectados. En poco tiempo, una variedad de sistemas autónomos comenzó a cumplir con la solicitud. Esto causó grandes cantidades de tráfico enviado y recibido por las compañías afectadas para pasar a través del AS 39523 ruso antes de ser enviado a su destino final. Los ISP que eligieron la nueva ruta incluyeron PJSC MegaFon, Hurricane Electric, Zayo, Nordunet y Telstra.
Quién es AS39523?
Poco se sabe actualmente sobre AS39523, el sistema autónomo no utilizado anteriormente que inició el secuestro. AS39523 no ha estado activo en años, a excepción de un breve incidente de BGP en agosto que también involucró a Google.
No está claro qué hicieron los ingenieros dentro de AS39523 con lo que podrían ser terabytes de datos que pasaron por sus servidores. En general, el tráfico de correo electrónico y web se cifra utilizando la seguridad de la capa de transporte u otros esquemas. Durante años, los investigadores han ideado formas de debilitar o romper por completo las protecciones de codificación o evitarlas. Para lograr esto, han usado ataques con nombres que incluyen Logjam y DROWN. Hasta la fecha, no hay casos conocidos de secuestradores de BGP que descifren con éxito el tráfico reencaminado, pero tampoco es posible descartar tales hazañas. Como mínimo, el proveedor ruso podría haber copiado los datos y los está almacenando en caso de que se descubra un nuevo ataque criptográfico en el futuro.
El evento del miércoles es solo el último ejemplo de cómo se ha abusado o mal configurado el BGP de Internet. El incidente mencionado anteriormente en abril, en el que el tráfico para Visa, MasterCard y otros servicios financieros pasó a través de un ISP ruso, también parece sospechoso. En 2013, los investigadores documentaron frecuentes secuestros BGP en una escala que nunca antes se había visto. En los últimos años no han faltado otros hackers BGP documentados que hayan ocurrido en la naturaleza.Example of a @facebook prefix briefly routed towards AS39523 DV-LINK-AShttps://t.co/hlKYgDEDRi https://t.co/c6tBDc8GKG— BGPmon.net (@bgpmon) 12 de diciembre de 2017
Para evitar futuros incidentes, los ISP y backbones tendrán que ser más estrictos de lo que son actualmente para confiar en las rutas recientemente anunciadas.
"Este secuestro resalta un problema común que surge debido a la falta de filtrado de ruta", dijo Alexander Amin, CEO de Qrator Labs. "Podemos culpar a AS39523 por el accidente. Pero sin los filtros adecuados en los límites de los proveedores intermedios de tránsito, estamos condenados a ver incidentes similares una y otra vez".
FUENTE:
https://arstechnica.com/information-technology/2017/12/suspicious-event-routes-traffic-for-big-name-sites-through-russia/
http://securityaffairs.co/wordpress/66838/hacking/bgp-hijacking-russia.html