A solução para as fraquezas do BGP tem seus próprios problemas grandes e assustadores, descobrem os especialistas
O protocolo Resource Public Key Infrastructure (RPKI) tem “vulnerabilidades de software, especificações inconsistentes e desafios operacionais”, de acordo com um artigo pré-impressão de um trio de pesquisadores alemães.
O RPKI foi projetado para corrigir problemas causados pelo fato de que o Border Gateway Protocol (BGP) – o protocolo que gerencia as rotas que o tráfego pode percorrer na Internet – não era seguro por design. O protocolo mais recente, teoricamente, corrige isso adicionando Validação de Origem de Rota (ROV) e Autorização de Origem de Rota (ROA) – técnicas que permitem aos operadores de rede verificar se as rotas anunciadas são autênticas e representam anúncios BGP precisos.
No início de setembro, a Casa Branca incluiu o RPKI em seu Roteiro para melhorar a segurança do roteamento da Internet – uma iniciativa que o diretor cibernético nacional dos EUA, Harry Coker Jr., disse que “mitigaria uma vulnerabilidade de longa data e levaria a uma Internet mais segura que é vital para a nossa segurança nacional e a prosperidade económica de todos os americanos”.
E o resto de nós também, dado que um impacto de um ataque ao BGP poderia ser o redirecionamento do tráfego do endereço real de um site para outro que hospede malware.
Mas de acordo com uma pré-impressão papel [PDF] por Haya Schulmann e Niklas Vogel do Centro Nacional de Pesquisa para Segurança Cibernética Aplicada da Alemanha e Goethe-Universität Frankfurt, e Michael Waidner do Centro e TU Darmstadt, o RPKI está longe de ser perfeito.
Schulmann e Vogel resumiram o artigo em um publicar no blog do Asia Pacific Network Information Center:
A dupla está otimista de que os diversos pacotes que compõem o RPKI serão melhorados. Mas, por enquanto, eles temem que seja “atraente para os invasores, com a relativa abundância de vulnerabilidades que têm consequências potencialmente devastadoras para a validação do RPKI e podem até abrir um backdoor na rede local que executa o componente de software vulnerável”.
Isso não é apenas uma teoria. O artigo descreve um ataque de execução remota de código que os autores descobriram durante suas pesquisas.
Eles também temem ataques à cadeia de suprimentos que incorporem backdoors em componentes RPKI de código aberto.
Uma vantagem salvadora é que os pesquisadores descobriram que muitos operadores lutam para manter seu código RPKI corrigido, pois faltam meios automatizados para fazê-lo – portanto, um ataque à cadeia de suprimentos pode demorar um pouco para ter algum efeito. É claro que a correção lenta também significa que alguns usuários podem não ter corrigido falhas perigosas: o trio calcula que 41,2% daqueles que usam RPKI “estão vulneráveis a pelo menos um ataque divulgado há muito tempo”.
Mas eles também temem que o RPKI possa não ser bem dimensionado e que a falta de ferramentas de automação signifique a possibilidade de configurações incorretas. Se isso acontecer, os benefícios do protocolo – disponibilizar informações verificáveis sobre as rotas – serão difíceis de concretizar.
O artigo avalia o RPKI como “longe de estar totalmente maduro” e os autores perguntam: “A Casa Branca pressionou pela adoção de uma tecnologia imatura, potencialmente causando mais danos do que benefícios?”
A resposta deles provavelmente é não, porque todas as tecnologias da Internet foram implantadas antes de serem aperfeiçoadas – até mesmo o BGP – mas foram testadas em batalha e aprimoradas ao longo do tempo.
Os autores, portanto, sugerem usar seu artigo como uma lista de tarefas para aqueles que trabalham com RPKI.
“O roteiro da Casa Branca é um grande salto para o RPKI e, portanto, também para o roteamento da Internet, para realmente amadurecer e atender às expectativas de segurança, confiabilidade e escalabilidade para implantações em nível de produção na Internet global”, concluem os autores. ®