వార్తలు

A solução para as fraquezas do BGP tem seus próprios problemas grandes e assustadores, descobrem os especialistas

O protocolo Resource Public Key Infrastructure (RPKI) tem “vulnerabilidades de software, especificações inconsistentes e desafios operacionais”, de acordo com um artigo pré-impressão de um trio de pesquisadores alemães.

O RPKI foi projetado para corrigir problemas causados ​​pelo fato de que o Border Gateway Protocol (BGP) – o protocolo que gerencia as rotas que o tráfego pode percorrer na Internet – não era seguro por design. O protocolo mais recente, teoricamente, corrige isso adicionando Validação de Origem de Rota (ROV) e Autorização de Origem de Rota (ROA) – técnicas que permitem aos operadores de rede verificar se as rotas anunciadas são autênticas e representam anúncios BGP precisos.

No início de setembro, a Casa Branca incluiu o RPKI em seu Roteiro para melhorar a segurança do roteamento da Internet – uma iniciativa que o diretor cibernético nacional dos EUA, Harry Coker Jr., disse que “mitigaria uma vulnerabilidade de longa data e levaria a uma Internet mais segura que é vital para a nossa segurança nacional e a prosperidade económica de todos os americanos”.

E o resto de nós também, dado que um impacto de um ataque ao BGP poderia ser o redirecionamento do tráfego do endereço real de um site para outro que hospede malware.

Mas de acordo com uma pré-impressão papel [PDF] por Haya Schulmann e Niklas Vogel do Centro Nacional de Pesquisa para Segurança Cibernética Aplicada da Alemanha e Goethe-Universität Frankfurt, e Michael Waidner do Centro e TU Darmstadt, o RPKI está longe de ser perfeito.

Schulmann e Vogel resumiram o artigo em um publicar no blog do Asia Pacific Network Information Center:

A dupla está otimista de que os diversos pacotes que compõem o RPKI serão melhorados. Mas, por enquanto, eles temem que seja “atraente para os invasores, com a relativa abundância de vulnerabilidades que têm consequências potencialmente devastadoras para a validação do RPKI e podem até abrir um backdoor na rede local que executa o componente de software vulnerável”.

Isso não é apenas uma teoria. O artigo descreve um ataque de execução remota de código que os autores descobriram durante suas pesquisas.

Eles também temem ataques à cadeia de suprimentos que incorporem backdoors em componentes RPKI de código aberto.

Uma vantagem salvadora é que os pesquisadores descobriram que muitos operadores lutam para manter seu código RPKI corrigido, pois faltam meios automatizados para fazê-lo – portanto, um ataque à cadeia de suprimentos pode demorar um pouco para ter algum efeito. É claro que a correção lenta também significa que alguns usuários podem não ter corrigido falhas perigosas: o trio calcula que 41,2% daqueles que usam RPKI “estão vulneráveis ​​a pelo menos um ataque divulgado há muito tempo”.

Mas eles também temem que o RPKI possa não ser bem dimensionado e que a falta de ferramentas de automação signifique a possibilidade de configurações incorretas. Se isso acontecer, os benefícios do protocolo – disponibilizar informações verificáveis ​​sobre as rotas – serão difíceis de concretizar.

O artigo avalia o RPKI como “longe de estar totalmente maduro” e os autores perguntam: “A Casa Branca pressionou pela adoção de uma tecnologia imatura, potencialmente causando mais danos do que benefícios?”

A resposta deles provavelmente é não, porque todas as tecnologias da Internet foram implantadas antes de serem aperfeiçoadas – até mesmo o BGP – mas foram testadas em batalha e aprimoradas ao longo do tempo.

Os autores, portanto, sugerem usar seu artigo como uma lista de tarefas para aqueles que trabalham com RPKI.

“O roteiro da Casa Branca é um grande salto para o RPKI e, portanto, também para o roteamento da Internet, para realmente amadurecer e atender às expectativas de segurança, confiabilidade e escalabilidade para implantações em nível de produção na Internet global”, concluem os autores. ®

Source

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button