Un agujero negro en la seguridad de Internet

Luego de conocerse el serio problema que aqueja a los servidores DNS, no es ninguna sorpresa encontrarnos con una noticia como esta: un exploit aprovecha las deficiencias del BGP (Border Gateway Protocol) y amenaza los cimientos de la red. En la DefCon 2008 (una conferencia anual de hackers) se demostró que el ataque funciona y es real. Según Peiter "Mudge" Zatko, este error se conoce hace 10 años y quedó probado cuando aseguró ante el Congreso de su país que podía tirar toda Internet usando un ataque similar. Ahora el problema es cómo arreglarlo antes de que alguien logre reproducirlo.

Alex Pilosov y Tony Kapela cuando hablaban del error en el BGP

Un enrutador grande funcionando como BGP

El agujero se aprovecha de que Internet, como la conocemos hoy en día, todavía se apoya en estructuras y protocolos creados en los setenta, cuando funcionaba como una red interuniversitaria. Esto supone, por ejemplo, que cada nodo de la red es confiable y que nadie querría "tirarla" a propósito. Es decir que esa Internet que todos usamos y amamos está basada en una infraestructura que, en gran parte, no fue actualizada con el paso del tiempo. Esto permite abusar de protocolos que están en lugar para permitir que la red siga funcionando. Este ataque en particular abusa de un protocolo llamado BGP (Border Gateway Protocol), que es el mismo que determina la mejor manera de hacer llegar los paquetes de información de un lugar a otro.
El protocolo trata de determinar cuál es el camino más rápido, recibiendo los anuncios de los enrutadores BGP de la red. Estos anuncios contienen datos técnicos pero, básicamente, informan a qué direcciones IP "entrega" dicho enrutador y "cuánto tarda" en hacerlo. El problema es que si nos hacemos con el control de un enrutador importante (o tenemos espacio en un servidor grande) podemos anunciar un rango de direcciones IP a las que entregar los paquetes antes que nadie. En el medio, ese paquete puede ser modificado, incluso antes de que llegue a su destino. Dicho mensaje se propagaría por todo el mundo en una media hora y, a este punto, seguramente empezaríamos a recibir todo el tráfico que está dirigido a esas direcciones que anunciamos.

Una laboratorio mediano con su correspondiente BGP

Hace un tiempo, un error en un servidor pakistaní hizo que todo el tráfico de Youtube.com fuese a parar a su red, creyendo que el mismo podía entregar el tráfico. Al no poder entregar el tráfico, lo descartó, haciendo que la página parezca fuera de línea por un tiempo. A diferencia del error, el ataque consistiría en “chupar el tráfico” pero no descartarlo, si no reenviarlo para que no se note que estamos recibiendo todo eso. De esta manera, no solo podríamos interceptar el tráfico, si no que podríamos "colocarnos en el medio" de prácticamente cualquier conexión.
Peiter "Mudge" Zatko, en 1998, testificó ante el Congreso estadounidense que podría "derribar Internet" en 30 minutos con un ataque de este tipo: "Hace 12 años que estoy haciendo todo el ruido que puedo para anunciar este error, pero nadie quiere escucharlo".
Además, el arreglo no sería simple: sin perderemos en detalles técnicos, baste decir que sin cambiar los enrutadores actuales se podría hacer poco más que emparcharlo temporalmente. Obviamente, los grandes proveedores de Internet no quieren cambiar equipo costoso sino es absolutamente necesario. Y ya que nosotros no les exigimos seguridad, los ISP no la tienen entre sus prioridades. ¿Quizás deberíamos empezar a exigir cambios en la infraestructura de nuestra amada Internet? ¿O quizás es hora de replantearnos términos tan básicos como seguridad informática? En todo caso, podríamos empezar por no confundir a nuestros queridos Hackers por los viles Crackers, que son los que podrían sacar mayor partido en este asunto.

(visto en Neoteo)