Revelan el mayor agujero de seguridad de Internet (otro más)

Publicado el 27/08/2008 a las 7:01 pm por ZooTV

Dos investigadores de seguridad informática, han demostrado una nueva técnica para interceptar (en forma furtiva) el tráfico de Internet a una escala que, se presume, no estaría disponible para el usuario común sino que para grandes organismos de inteligencia.

La técnica utiliza el protocolo BGP para desviar el tráfico de Internet en cualquier lugar del mundo hacia una estación de monitorización, para luego ser enviado (una vez que se ha modificado) hacia su destino final.

El protocolo BGP mantiene las tablas de rutas que permiten encontrar la más eficiente hacia un destino determinado. Estas rutas se basan en las máscaras de red y la más restrictiva (o la más específica) gana.

Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico “desaparecería” sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).

Para solucionar este “inconveniente”, el atacante debe utilizar otra capacidad del protocolo BGP denominada “AS path prepending“, la que permite seleccionar algunos routers para que no acepten la publicación BGP hecha por el atacante, logrando que mantengan las tablas BGP originales. Por medio de éstos routers puede enviar el tráfico para que llegue a su destino “original”.

Lo grave del hecho es que en todo el proceso no se aprovecha ninguna vulnerabilidad, fallo del protocolo o error del software; sino que se saca provecho de la arquitectura BGP, que se basa en la confianza mutua.

Según palabras de Peter Zatko (uno de los investigadores), “Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande“. Mientras que Anton Kapela, el otro investigador, señaló que los ISP pueden evitar estos ataques utilizando filtros, pero el problema es que se requiere de una gran cantidad de filtros y que los ISPs deberían trabajar en coordinación.

Peter Zatko perteneció al grupo L0pht y ya en 1998 testificó ante el congreso norteamericano, señalando que era capaz de detener Internet en sólo 30 minutos, utilizando un ataque similar al descrito.

Y ahora, quién podrá defendernos?

Link: The Internet’s Biggest Security Hole (Wired)

62 Comentarios

Revelan el mayor agujero de seguridad de Internet (otro más)

Deja tu Comentario ↓

Desaprobar Aprobar 14 Jin Mishima dijo hace 2 meses:

y la solución????
en realidad es preocupante, sobre todo lo que indica comercio online.

Desaprobar Aprobar 37 EnAnO dijo hace 2 meses:

Chicos, ¿tienen los subtítulos para esto?

Desaprobar Aprobar 3 filex dijo hace 2 meses:

Esto amenaza cada vez mas a los usuarios en la privacidad si se hace tal cosa.

Desaprobar Aprobar -2 Hugo dijo hace 2 meses:

Hola, publico la siguiente noticia de interés nacional:

http://www.terra.com.mx/articulo.aspx?articuloId=724847&ref=1

Saludos,
Hugo.

Desaprobar Aprobar -7 Rampaganmekabk dijo hace 2 meses:

OMFG

Desaprobar Aprobar -4 DaniloGhost dijo hace 2 meses:

De vuelta al papel??? Desforestacion?? Calentamiento global?? extincion??
:S…. que pesimista

Y la implementacion de esto a IP V6 no mejora nada de ese “problema” o arquitectura??

Desaprobar Aprobar C. dijo hace 2 meses:

O sea que cuando aceptamos confiadamente certificados digitales estamos en peligro…mmm…nada bueno

Desaprobar Aprobar 3 Rodrigo Guerrero dijo hace 2 meses:

gente… juntemos miedo…

Desaprobar Aprobar 12 Gustav dijo hace 2 meses:

Señores, recomiendo a todo Uds. a desconectar/apagar sus computadores y Celulares. Volvamos a los años 50, a un ritmo mas tranquilo y con mayor privacidad.

Hace rato que No se puede vivir tranquilo, es un asco.

Desaprobar Aprobar 4 Mal Genio dijo hace 2 meses:

Entocnes, nos estaríamos yendo a una caverna a vivir con los gusanos porque esto se acaba señores…

¿ISP’s colaborando coordinadamente?

¿Acaso nadie más ve algo difícil en eso?

Desaprobar Aprobar -4 MasterCracker3D dijo hace 2 meses:

Tengo algo que agregar, no es necesario suplantar todo internet sino que la red objetivo un ejemplo durante la noche, al rescate esta SSL, pero con un ataque de tiempo se podría suplantar el certificado digital.
Saludos.

Desaprobar Aprobar -22 Ciberman dijo hace 2 meses:

Apaguemos todo y vamonos para principios del siglo XX. No nos queda otra.

Off Topic: Salio la beta 2 de IE8

Desaprobar Aprobar 35 Matias Halles dijo hace 2 meses:

Subtítulos

Internet funciona en base a la transmisión de pequeños paquetes de información que se forman en un extremo y se unen en el otro. Estos paquetes viajan por una ruta definida en función de la ruta más corta, pero usando parametros de localización de más grande a más pequeño. Por ejemplo cuando uno escribe una carta, la manda a Sudamérica, Chile, Región Metropolitana, Comuna, Dirección. Ahora imaginen, que una persona en la oficina donde separan el correo, pusiera una cesta que dice Chile y esta está más cerca que la oficial de Chile, pues las cartas irían a parar ahí. No es exactamente así, pero es parecido. La forma en como se van categorizando las rutas de los paquetes son en base a confianza, o sea que nadie se haga el pillo y ponga una de estas cestas.

Desaprobar Aprobar Hanns dijo hace 2 meses:

Interesante el articulo,
ademas que nos an otorgado un nuevo reto para crear otro protocolo de seguridad.

Desaprobar Aprobar Andrés dijo hace 2 meses:

El problema radica en que aceptar certificados digitales tan livianamente cómo lo hacemos acarrea peligros insospechados…¿qué se puede hacer?

Desaprobar Aprobar 10 Sir Mauricius dijo hace 2 meses:

@Gustav
@Ciberman

Me recuerdan a mi difunto abuelo cuando decía “la vida antes era mejor”.
-”Antes, la gente no moria tanto de cancer como ahora” (claro, antes morian de brujerias o maleficios)
-”Antes, la vida era mas tranquila” (pero tenias que viajar mas de 12 horas para andar de Santiago a Conce)

Uds pueden ir a vivir a algún lugar del Amazonas, lo que es a mi, dejenme con el poco de tecnología que tengo.

Saludos!

Desaprobar Aprobar 7 Francisco A. Redard dijo hace 2 meses:

Nótese que el error es “tener confianza”, jaja.

Ojalá que la educación y las “buenas costumbres” se cultivasen mejor, así el “tener confianza” no sería el error garrafal de un diseño. Y no, no quiero entrar en esa discusión

Pero qué importa tanto hacker por ahí que roba nuestros datos más íntimos, si hay Failbook? Donde todos ponemos nuestros datos (GRATIS) y alguien más usufructua de eso y lo aceptamos? Ah, perdón, aceptan.

Saludos!

Desaprobar Aprobar -29 MrEdge dijo hace 2 meses:

Debería sentirme muy mal al no entender nada de lo que leí siendo que soy ingeniero en computación?
Debería estudiar todo de nuevo?
mejor dicho, debería haber estudiado para mis controles en la U?
buah… voy a shorar… :’(
por favor no voten negativo por mi post, porque les prometo que me deprimo a concho.

Desaprobar Aprobar -9 Petrov! dijo hace 2 meses:

oemege!!! (OMG)..xD!

y que nos queda?..:S!

les aseguros que ellos saben la solucion a todo esto y M$ o Google pagaran un suma millonaria y luego la venderan y nos haran lesos..xD!

Desaprobar Aprobar 3 Miang dijo hace 2 meses:

pal dick… quedaria la caga si un dia alguien interrumpe internet.. pero la caga, a nivel de las torres gemelas pa arriba

Desaprobar Aprobar 2 Rodrigo dijo hace 2 meses:

Disculpen, me puse un poco paranoico, casi como estadounidense (la paranoia de The X Files “el gobierno nos oculta algo” no es casualidad…) ¿Es esto realmente un agujero? Lo digo pues “…no estaría disponible para el usuario común sino que para grandes organismos de inteligencia…” Me suena a vulnerabilidad conveniente del tipo NSA o similar. Aunque creo que he visto demasiadas series de conspiraciones…

Desaprobar Aprobar -21 pedro luis dijo hace 2 meses:

no hay nada mejor que ir a comer una buena parihuela en MANCORA PERU restaurant ESPADA visiten la pag. vivamancora.com

Desaprobar Aprobar -1 Carlos dijo hace 2 meses:

:O Interesante, pero peligroso
realmente esto afecta como menciono alguien antes todo lo que es
transacciones Online, esperemos que pronto se encuentre una solucion…

Desaprobar Aprobar Jp Bravo dijo hace 2 meses:

Antes había imaginado algo así, que se podrías capturar de alguna forma los paquetes de datos de la red (no de la forma típica de una red interna), pero nunca de esta manera, la verdad creo que es preocupante, ahora las empresas que desarrollan las arquitecturas de routers deberan afrontar estos nuevos desafios y mejorar sus productos, así como también los ISP mejorar su seguridad en eso tipos de protocolos.
Muy bueno el artículo.

Desaprobar Aprobar -3 darky dijo hace 2 meses:

hghhhh may

Desaprobar Aprobar 3 zabatman dijo hace 2 meses:

Yo habia escuchado algunos rumores de esto hace un tiempo, pero fue algo muy vago que no lo crei.

Espero que hayan soluciones para esto, utilizar otros protocolos, utilizar dispositivos “CISCO” jejeje

En todo caso segun la mayoria de los expertos nada es seguro, la seguridad en informatica basicamente no existe.

Saludos cordiales!.-

Desaprobar Aprobar 2 Eduard dijo hace 2 meses:

Al final como en todas las cosas, hay que confiar en la buena fe de los ISPs y los Estados…

Desaprobar Aprobar 4 nasho dijo hace 2 meses:

noooo wn!! como revelan esta wa, debieron esperar a que lo arreglaran…..

este es el verdadero comentario xD:

bueno no hay de que preocuparse, internet siempre ha estao lleno de vulnerabilidades que, eventualmente, serian apocalipticas….yo diria que preocuparse por algo como esto esta de mas, asi que conformense con un: wow, bueh que se le va a hacer.

Desaprobar Aprobar 2 serroba dijo hace 2 meses:

Muchas gracias ZooTV. Hace tiempo hecho de menos que publiquen noticias de verdad, y esta es un claro ejemplo. Lamentaba que cuando las publicaban estaban muy atrasados con este tipo de informacion que en otros lugares ya los habian publicado. Sin embargo esta noticia es reciente, y muy interesante.

@Matias Halles: muchas gracias por el ejemplo, creo que varios entendieron mejor a lo que se refiere esta noticia.