Un par de hackers investigadores acaban de revelar la vulnerabilidad mas grande de Internet, una conocida desde hace una década por al menos uno de los investigadores y por agencias de inteligencia de los EEUU, y apenas hecha pública esta semana.

La vulnerabilidad está en el BGP (Border Gateway Protocol), el cual es el protocolo intrínseco de ruteo en Internet.

Lo que el ataque logra es poder monitorear cualquier tipo de tráfico no-cifrado en Internet, en cualquier parte del mundo, para espiar su contenido, e inclusive poder modificar los paquetes de información que viajan por Internet, todo sin poder ser detectados.

Esto se cree es un problema potencialmente mayor que el problema de DNS con el Internet del cual reportamos hace un mes atrás.

Lo alarmante del caso es que este problema no es un error de programación, o un error del protocolo, sino mas bien algo inherente en el diseño del protocolo BGP del cual el Internet depende.

El problema tiene sus raíces en el hecho de que en sus primeros días, se asumía que todo nodo (punto de conexión) en Internet podía ser confiado, pero ese no es el caso hoy día, y la razón por la cual el problema es tan grave.

Algo mas o menos alentador es que esto solo puede interceptar datos hacia un destino, no desde un destino, sin embargo, aun así es mas que suficiente para hacer todo tipo de daños.

De la manera que este ataque funciona es la siguiente: Cuando uno trata de comunicarse por primera vez con un equipo remoto en Internet, tu máquina local debe saber la ruta a tomar para enviar esos paquetes. El protocolo BGP se encarga de eso, siendo la parte clave (y vulnerable) del algoritmo el hecho de que siempre elije la ruta mas específica a donde van los paquetes.

Es decir, BGP le pregunta a todos los proveedores de Internet remotos, que cuáles de ellos llevan tráfico al destino deseado, y ellos responden con un número que indica el grado de proximidad que se encuentran del destino final.

El ataque entonces es bastante sencillo: Simplemente poner un router en Internet que siempre responde con un número lo mas bajo posible, es decir, que indice que está cercano del destino final, aun no lo esté, con el solo propósito de que quien haya preguntado envíe tráfico por este router, y en el momento que el tráfico empieza a fluir por este router es trivial capturar los paquetes, analizarlos, y/o modificarlos.

Si eres un técnico que sabe de estas cosas, pensarás que esto es lo mismo que un IP Hijack (Secuestro de IP), pero no lo es, porque en el caso de un IP Hyjack es posible saber quién está secuestrando una dirección IP remota, ya que el tráfico termina con el router culpable, mientras que con esta técnica el tráfico se reenvía a su destino de manera sigilosa.

Por el momento, hay soluciones que pueden prevenir esto y que se pueden implementar al nivel de los ISP (proveedores de conectividad a Internet), pero no son implementadas por los ISPs porque requeriría que los demás ISP sepan los detalles técnicos de las redes de los otros ISPs, cosa que por lo general no están dispuestos a compartir.

La otra opción es un nuevo protocolo que han desarrollado llamado Secure BGP, pero que según los hackers esto tiene la gran desventaja de que la gran mayoría de routers actuales en Internet, aun uno los actualizara con nuevo software, no tienen el poder de procesamiento ni la memoria necesaria para cifrar datos en tiempo real y tornar el protocolo seguro.

Noten curiosamente que desde hace al menos una década, entidades como la National Security Agency (NSA) de los EEUU, así como otras entidades mas, han sabido de esta técnica, la cual justo ahora llama la atención de los medios debido a estos hackers que demostraron el ataque en vivo en la conferencia DefCon 2008, en donde controlaron el tráfico de Internet entre una conexión entre New York y Las Vegas.

En mi opinión, esta es otra buena opción para que todos migremos a IPv6 lo antes posible, ya que aparte de darnos cantidades prácticamente ilimitadas de direcciones IP (las de IPv4 se nos agotarán en cualquier momento), además por defecto cifra todos los datos desde una fuente a un destino, haciendo este tipo de ataques, imprácticos (aunque no quiero decir "imposibles").

Fuente de la noticia

Previamente en eliax:

Direcciones IP v4 de Internet a agotarse para el 2010 (Mayo 2007)

IPv6 añadido a los "DNS raíces" de ICANN (Febrero 2008)

Alerta máxima en seguridad en Internet con DNS, cómo protegerte (Julio 2008)

autor: josé elías