Revelan el mayor agujero de seguridad de Internet (otro más)

Publicado el 27-8-2008 a las 19:01 por ZooTV

Dos investigadores de seguridad informática, han demostrado una nueva técnica para interceptar (en forma furtiva) el tráfico de Internet a una escala que, se presume, no estaría disponible para el usuario común sino que para grandes organismos de inteligencia.

La técnica utiliza el protocolo BGP para desviar el tráfico de Internet en cualquier lugar del mundo hacia una estación de monitorización, para luego ser enviado (una vez que se ha modificado) hacia su destino final.

El protocolo BGP mantiene las tablas de rutas que permiten encontrar la más eficiente hacia un destino determinado. Estas rutas se basan en las máscaras de red y la más restrictiva (o la más específica) gana.

Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico “desaparecería” sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).

Para solucionar este “inconveniente”, el atacante debe utilizar otra capacidad del protocolo BGP denominada “AS path prepending“, la que permite seleccionar algunos routers para que no acepten la publicación BGP hecha por el atacante, logrando que mantengan las tablas BGP originales. Por medio de éstos routers puede enviar el tráfico para que llegue a su destino “original”.

Lo grave del hecho es que en todo el proceso no se aprovecha ninguna vulnerabilidad, fallo del protocolo o error del software; sino que se saca provecho de la arquitectura BGP, que se basa en la confianza mutua.

Según palabras de Peter Zatko (uno de los investigadores), “Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande“. Mientras que Anton Kapela, el otro investigador, señaló que los ISP pueden evitar estos ataques utilizando filtros, pero el problema es que se requiere de una gran cantidad de filtros y que los ISPs deberían trabajar en coordinación.

Peter Zatko perteneció al grupo L0pht y ya en 1998 testificó ante el congreso norteamericano, señalando que era capaz de detener Internet en sólo 30 minutos, utilizando un ataque similar al descrito.

Y ahora, quién podrá defendernos?

Link: The Internet’s Biggest Security Hole (Wired)

Publicado por ZooTV el 27 de August 2008 en la categoría Internet con los tags IP, Protocolo BGP, Seguridad, Tráfico Internet, Vulnerabilidad. Tiene 62 comentarios.

62 Comentarios

Revelan el mayor agujero de seguridad de Internet (otro más)

Deja tu Comentario ↓

Desaprobar Aprobar 15Jin Mishima dijo el 27-8-2008 a las 19:07:

y la solución????
en realidad es preocupante, sobre todo lo que indica comercio online.

Desaprobar Aprobar 38EnAnO dijo el 27-8-2008 a las 19:08:

Chicos, ¿tienen los subtítulos para esto?

Desaprobar Aprobar 3filex dijo el 27-8-2008 a las 19:08:

Esto amenaza cada vez mas a los usuarios en la privacidad si se hace tal cosa.

Desaprobar Aprobar -2Hugo dijo el 27-8-2008 a las 19:08:

Hola, publico la siguiente noticia de interés nacional:

http://www.terra.com.mx/articulo.aspx?articuloId=724847&ref=1

Saludos,
Hugo.

Desaprobar Aprobar -7Rampaganmekabk dijo el 27-8-2008 a las 19:08:

OMFG

Desaprobar Aprobar -4DaniloGhost dijo el 27-8-2008 a las 19:18:

De vuelta al papel??? Desforestacion?? Calentamiento global?? extincion??
:S…. que pesimista

Y la implementacion de esto a IP V6 no mejora nada de ese “problema” o arquitectura??

Desaprobar Aprobar 0C. dijo el 27-8-2008 a las 19:20:

O sea que cuando aceptamos confiadamente certificados digitales estamos en peligro…mmm…nada bueno

Desaprobar Aprobar 3Rodrigo Guerrero dijo el 27-8-2008 a las 19:21:

gente… juntemos miedo…

Desaprobar Aprobar 12Gustav dijo el 27-8-2008 a las 19:21:

Señores, recomiendo a todo Uds. a desconectar/apagar sus computadores y Celulares. Volvamos a los años 50, a un ritmo mas tranquilo y con mayor privacidad.

Hace rato que No se puede vivir tranquilo, es un asco.

Desaprobar Aprobar 4Mal Genio dijo el 27-8-2008 a las 19:22:

Entocnes, nos estaríamos yendo a una caverna a vivir con los gusanos porque esto se acaba señores…

¿ISP’s colaborando coordinadamente?

¿Acaso nadie más ve algo difícil en eso?

Desaprobar Aprobar -4MasterCracker3D dijo el 27-8-2008 a las 19:39:

Tengo algo que agregar, no es necesario suplantar todo internet sino que la red objetivo un ejemplo durante la noche, al rescate esta SSL, pero con un ataque de tiempo se podría suplantar el certificado digital.
Saludos.

Desaprobar Aprobar -22Ciberman dijo el 27-8-2008 a las 19:42:

Apaguemos todo y vamonos para principios del siglo XX. No nos queda otra.

Off Topic: Salio la beta 2 de IE8

Desaprobar Aprobar 35Matias Halles dijo el 27-8-2008 a las 19:49:

Subtítulos

Internet funciona en base a la transmisión de pequeños paquetes de información que se forman en un extremo y se unen en el otro. Estos paquetes viajan por una ruta definida en función de la ruta más corta, pero usando parametros de localización de más grande a más pequeño. Por ejemplo cuando uno escribe una carta, la manda a Sudamérica, Chile, Región Metropolitana, Comuna, Dirección. Ahora imaginen, que una persona en la oficina donde separan el correo, pusiera una cesta que dice Chile y esta está más cerca que la oficial de Chile, pues las cartas irían a parar ahí. No es exactamente así, pero es parecido. La forma en como se van categorizando las rutas de los paquetes son en base a confianza, o sea que nadie se haga el pillo y ponga una de estas cestas.

Desaprobar Aprobar 0Hanns dijo el 27-8-2008 a las 20:36:

Interesante el articulo,
ademas que nos an otorgado un nuevo reto para crear otro protocolo de seguridad.

Desaprobar Aprobar 0Andrés dijo el 27-8-2008 a las 20:59:

El problema radica en que aceptar certificados digitales tan livianamente cómo lo hacemos acarrea peligros insospechados…¿qué se puede hacer?

Desaprobar Aprobar 10Sir Mauricius dijo el 27-8-2008 a las 21:03:

@Gustav
@Ciberman

Me recuerdan a mi difunto abuelo cuando decía “la vida antes era mejor”.
-”Antes, la gente no moria tanto de cancer como ahora” (claro, antes morian de brujerias o maleficios)
-”Antes, la vida era mas tranquila” (pero tenias que viajar mas de 12 horas para andar de Santiago a Conce)

Uds pueden ir a vivir a algún lugar del Amazonas, lo que es a mi, dejenme con el poco de tecnología que tengo.

Saludos!

Desaprobar Aprobar 7Francisco A. Redard dijo el 27-8-2008 a las 21:07:

Nótese que el error es “tener confianza”, jaja.

Ojalá que la educación y las “buenas costumbres” se cultivasen mejor, así el “tener confianza” no sería el error garrafal de un diseño. Y no, no quiero entrar en esa discusión

Pero qué importa tanto hacker por ahí que roba nuestros datos más íntimos, si hay Failbook? Donde todos ponemos nuestros datos (GRATIS) y alguien más usufructua de eso y lo aceptamos? Ah, perdón, aceptan.

Saludos!

Desaprobar Aprobar -29MrEdge dijo el 27-8-2008 a las 21:09:

Debería sentirme muy mal al no entender nada de lo que leí siendo que soy ingeniero en computación?
Debería estudiar todo de nuevo?
mejor dicho, debería haber estudiado para mis controles en la U?
buah… voy a shorar… :’(
por favor no voten negativo por mi post, porque les prometo que me deprimo a concho.

Desaprobar Aprobar -9Petrov! dijo el 27-8-2008 a las 21:12:

oemege!!! (OMG)..xD!

y que nos queda?..:S!

les aseguros que ellos saben la solucion a todo esto y M$ o Google pagaran un suma millonaria y luego la venderan y nos haran lesos..xD!

Desaprobar Aprobar 3Miang dijo el 27-8-2008 a las 21:39:

pal dick… quedaria la caga si un dia alguien interrumpe internet.. pero la caga, a nivel de las torres gemelas pa arriba

Desaprobar Aprobar 2Rodrigo dijo el 27-8-2008 a las 21:41:

Disculpen, me puse un poco paranoico, casi como estadounidense (la paranoia de The X Files “el gobierno nos oculta algo” no es casualidad…) ¿Es esto realmente un agujero? Lo digo pues “…no estaría disponible para el usuario común sino que para grandes organismos de inteligencia…” Me suena a vulnerabilidad conveniente del tipo NSA o similar. Aunque creo que he visto demasiadas series de conspiraciones…

Desaprobar Aprobar -21pedro luis dijo el 27-8-2008 a las 21:47:

no hay nada mejor que ir a comer una buena parihuela en MANCORA PERU restaurant ESPADA visiten la pag. vivamancora.com

Desaprobar Aprobar -1Carlos dijo el 27-8-2008 a las 21:48:

:O Interesante, pero peligroso
realmente esto afecta como menciono alguien antes todo lo que es
transacciones Online, esperemos que pronto se encuentre una solucion…

Desaprobar Aprobar 0Jp Bravo dijo el 27-8-2008 a las 21:54:

Antes había imaginado algo así, que se podrías capturar de alguna forma los paquetes de datos de la red (no de la forma típica de una red interna), pero nunca de esta manera, la verdad creo que es preocupante, ahora las empresas que desarrollan las arquitecturas de routers deberan afrontar estos nuevos desafios y mejorar sus productos, así como también los ISP mejorar su seguridad en eso tipos de protocolos.
Muy bueno el artículo.

Desaprobar Aprobar -3darky dijo el 27-8-2008 a las 21:59:

hghhhh may

Desaprobar Aprobar 3zabatman dijo el 27-8-2008 a las 22:01:

Yo habia escuchado algunos rumores de esto hace un tiempo, pero fue algo muy vago que no lo crei.

Espero que hayan soluciones para esto, utilizar otros protocolos, utilizar dispositivos “CISCO” jejeje

En todo caso segun la mayoria de los expertos nada es seguro, la seguridad en informatica basicamente no existe.

Saludos cordiales!.-

Desaprobar Aprobar 2Eduard dijo el 27-8-2008 a las 22:19:

Al final como en todas las cosas, hay que confiar en la buena fe de los ISPs y los Estados…

Desaprobar Aprobar 4nasho dijo el 27-8-2008 a las 22:24:

noooo wn!! como revelan esta wa, debieron esperar a que lo arreglaran…..

este es el verdadero comentario xD:

bueno no hay de que preocuparse, internet siempre ha estao lleno de vulnerabilidades que, eventualmente, serian apocalipticas….yo diria que preocuparse por algo como esto esta de mas, asi que conformense con un: wow, bueh que se le va a hacer.

Desaprobar Aprobar 2serroba dijo el 27-8-2008 a las 22:32:

Muchas gracias ZooTV. Hace tiempo hecho de menos que publiquen noticias de verdad, y esta es un claro ejemplo. Lamentaba que cuando las publicaban estaban muy atrasados con este tipo de informacion que en otros lugares ya los habian publicado. Sin embargo esta noticia es reciente, y muy interesante.

@Matias Halles: muchas gracias por el ejemplo, creo que varios entendieron mejor a lo que se refiere esta noticia.