Revelan el mayor agujero de seguridad de Internet (otro más)
Publicado el 27-8-2008 a las 19:01 por 
ZooTV
ZooTV 
Dos investigadores de seguridad informática, han demostrado una nueva técnica para interceptar (en forma furtiva) el tráfico de Internet a una escala que, se presume, no estaría disponible para el usuario común sino que para grandes organismos de inteligencia.
La técnica utiliza el protocolo BGP para desviar el tráfico de Internet en cualquier lugar del mundo hacia una estación de monitorización, para luego ser enviado (una vez que se ha modificado) hacia su destino final.
El protocolo BGP mantiene las tablas de rutas que permiten encontrar la más eficiente hacia un destino determinado. Estas rutas se basan en las máscaras de red y la más restrictiva (o la más específica) gana.
Para lograr interceptar el tráfico, el atacante tendría que publicar un rango de IPs más acotado que el que tiene publicado su legítimo dueño. Esta publicación se propaga en cosa de minutos a todo el mundo, con lo que el atacante recibirá los datos destinados a los rangos de IPs publicados. Claro que con esto sería fácilmente detectado, puesto que todo el tráfico “desaparecería” sin llegar a su destino (porque sería desviada hacia el destino definido por el atacante).
Para solucionar este “inconveniente”, el atacante debe utilizar otra capacidad del protocolo BGP denominada “AS path prepending“, la que permite seleccionar algunos routers para que no acepten la publicación BGP hecha por el atacante, logrando que mantengan las tablas BGP originales. Por medio de éstos routers puede enviar el tráfico para que llegue a su destino “original”.
Lo grave del hecho es que en todo el proceso no se aprovecha ninguna vulnerabilidad, fallo del protocolo o error del software; sino que se saca provecho de la arquitectura BGP, que se basa en la confianza mutua.
Según palabras de Peter Zatko (uno de los investigadores), “Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no más grande“. Mientras que Anton Kapela, el otro investigador, señaló que los ISP pueden evitar estos ataques utilizando filtros, pero el problema es que se requiere de una gran cantidad de filtros y que los ISPs deberían trabajar en coordinación.
Peter Zatko perteneció al grupo L0pht y ya en 1998 testificó ante el congreso norteamericano, señalando que era capaz de detener Internet en sólo 30 minutos, utilizando un ataque similar al descrito.
Y ahora, quién podrá defendernos?
Link: The Internet’s Biggest Security Hole (Wired)
Publicado por ZooTV el 27 de August 2008 en la categoría Internet con los tags IP, Protocolo BGP, Seguridad, Tráfico Internet, Vulnerabilidad. Tiene 62 comentarios.
Compartir62 Comentarios
Revelan el mayor agujero de seguridad de Internet (otro más)
4Matias Halles dijo el 27-8-2008 a las 22:53:
En todo caso, una cosa es capturar la información, y otra cosa es accesarla… pa los que están preocupados. Mientras los datos esten encriptados, no debería haber problema. El peligro (o ventaja) está por ejemplo en aplicaciones p2p no encriptadas. Si a la SCD le da la wea, podría hacerle un seguimiento muy minucioso a alguien, conociendo su IP. Así que cabros, cambiate al amarillo y no se pongan paranoicos, con lo arcaico que son estos wnes dudo que les de pa usar calculadora, menos poder usar esta vulnerabilidad.
7José Ignacio (El Santa) dijo el 27-8-2008 a las 22:56:
Subtítulo para gerentes:
Estamos ca?ados, hay que comprar otro router y un firewall “más grande”.
9boris dijo el 27-8-2008 a las 23:03:
Despues de la explicacion del correo no se si haga falta otra … pero como dicen por ahi … mas vale que sobre:
- para que la informacion viaje de un lado a otro de internet, los distintos proveedores tiene a su cargo una cantidad de redes.
- una red no es mas que un grupo ordenado de direcciones IPs.
- cada proveedor publica al mundo (mediante BGP), sus redes, para que los demas las conozcan.
Supongamos ahora que el Proveedor A tiene las ips 200.0.0.0 hasta la 200.0.255.255, osea 65 mil direcciones IPs. tambien tenemos al proveedor B que tiene las ips 200.1.0.0 hasta la 200.1.255.255 (otras 65 mil ips mas)
Para que un cliente de Proveedor A llegue a otro del Proveedor B, digamos desde la IP 200.0.0.1 a la IP 200.1.2.3 los routers del A saben que las IPS desde la 200.1.0.0 hasta la 200.1.255.255 esta en el Proveedor B.
Aqui surge el problema.
se aparece un fulano, haciendose pasar por un Proveedor X diciendo que el es “dueño” de las IPs desde la 200.1.2.0 hata la 200.1.2.255 (255 IPs) el Proveedor A verá que Proveedor X es propietario de un red mas pequeña y por consiguente mas especifica. asi que enviara todo el trafico que va destinado a 200.1.2.3 hacia el Proveedor X.
Espero que ayude a mas de alguien a clarificar el problema.
La solucion ? … pues la verdad es que no muchas, pues el problema es de diseño, no de la implementacion … asi que seria necesario un rediseño del protocolo BGP para corregir el problema y eso … tomara algo de tiempo.
3rcortinu dijo el 27-8-2008 a las 23:21:
Gracias Boris, despues de leer tu explicacion me quedo mucho mas claro.
esta mas que decir que habra que esperar que se pueda arreglar este agujero o esta detras de esto correos de chile para que empecemos nuevamente a escribir cartar.
2SoporteADSL dijo el 27-8-2008 a las 23:26:
Al final los agujeros de seguridad nuna perjudican a nadie… no conozco un solo habitante de este mundo que haya sufrido con las DNS, pero todos anaban como locos buscando DNS seguras…
En fin…
3Alex dijo el 27-8-2008 a las 23:27:
Gracias Boris por la explicacion, llevo media leyendo y no entendia nada, mi autoestima estaba por el suelo, con tu traduccion entendi.
Que tanto, no todos somos dignos de Uds. los “computines”
Un fulero.
0suribe dijo el 27-8-2008 a las 23:59:
excelente, no hay nada como una buena teoría de conspiración xD
-1Nicolás Georger dijo el 28-8-2008 a las 01:34:
Sinceramente, aunque siniestro, me parece genial. De todas formas es defraudante saber que acá no enseñan ni siquiera una pizca de todas esas técnicas informáticas, a mi juicio, muchos informáticos de acá son sólo para la foto y el cartón.
1Enter_The_Patrix dijo el 28-8-2008 a las 03:14:
Sólo nos queda esperar la nueva red que IBM está desarrollando… aunque el gobierno de EE.UU. probablemente establecerá niveles de vigilancia (como sería de esperar) en estos casos.
0eneas dijo el 28-8-2008 a las 08:21:
Cuantas veces me he acordado de un profesor que decía: TODO SISTEMA ES PERFECTO HASTA QUE FALLA.
Cada vez mas me maravillo de la cantidad de cosas en las que confiamos y que en realidad no se ha demostrado que sean infalibles sino que simplemente no se ha demostrado que fallen.
2ranx dijo el 28-8-2008 a las 08:49:
Los “ataques” de man-in-the-middle son mas viejos que el hilo negro pero son utilizados por quienes tengan los medios fisicos y de acceso como para poner un equipo entre el trafico. Si este “bug”, aunque en realidad no es un bug sino que utilizacion natural de BGP, es conocido hace mas de 10 años y Mr Chips sigue publicando, no hay de que preocuparse.
1German dijo el 28-8-2008 a las 09:02:
Una solución PARCIAL pero Simple: dar preferencia a protocolos cifrados. Usar https, usar sftp, usar ssh, usar ofuscación en conexiones, etc., evitar telnet, ftp, y conexiones planas en general
-1» SCAN dijo el 28-8-2008 a las 09:16:
[...] Revelan el mayor agujero de seguridad de Internet (otro más) [...]
0isamu dijo el 28-8-2008 a las 09:49:
tal como dice German, la solución es ocupar protocolos cifrados, https, ssh, etc. ya que ellos reciben el trafico, pero ya leer el trafico es otra cosa, incluso existen clientes torrent (utorrent) que tienen opciones de ocupar conexiones seguras…así no podrán ver que descargan porno todo el día.
saludos 
2Toku dijo el 28-8-2008 a las 10:44:
En todo caso lo de los protocolos cifrados, ocupemoslo para lo que son, cosas realmente privadas, no se ustedes pero yo al menos no voy al super disfrazado de ninja para que nadie sepa que pongo en mi carrito, del mismo modo me importa un webo que alguien se ponga entre yo y el video de weird al yankovic que estoy mirando en youtube, con suerte verán un monton de graciosos bytes, pero si es importante que cuando este conectado a la web de mi banco sea mediante https de modo que si alguien se pone al medio se demore un par de milenios en desencriptar esos bytes.
O sea…. este problema importa un huevo en terminos de privacidad!!! el diseño de BGP siempre ha sido asi, lo unico malo que podría pasar es que claro algun chistoso se ponga a desviar IP’s de modo de sacarlas de linea, pero de ahi a espionaje y teorias de conspiración, mis nalgas!, mientras la página de mi banco se comunique conmigo con https todo bien…moraleja siempre fijarse que si van a entregar información confidencial a través de la red vaya a traves de un protocolo encriptado.
O que weba… mejor pongamos toda la red encriptada y salgamos todos disfrazados de ninja a la calle de modo que nadie sepa quienes somos.
1Carlos Le Mare dijo el 28-8-2008 a las 11:45:
El conjunto de protocolos IPs no fueron desarrollados pensando en la seguridad. Existen muchos protocolos basados en comunicaciones TCP o UDP por lo que son vulnerables a este tipo de ataque o cualquier otro que se les pueda ocurrir a los genios.
Obviamente que cualquiera con conocimientos acabados del protocolo se puede poner a inventar mecanismos para usurpar información (que es muy fácil) o para agregar o modificar información (que es más complicado como en este caso descrito). El problema no es que alguien “vea” la información que traficas por que eso ya hace rato que todos sabemos que pasa, si no que sea capaz de modificar esa información.
Realmente no me preocupan las organizaciones gubernamentales tipo “gran hermano” que haya espiando mi información, por que lo que trafico por internet no tiene mucha importancia… correos, páginas web de mac, porno jeje, etc. Lo que preocupa son las organizaciones tipo “Somos ladrones tras tu dinero” las que me preocupan cada vez que quiero hacer una transacción monetaria por internet.
Me gustaría que alguien nos ilustrara sobre cómo se puede aplicar este ataque cuando uno trata de establecer una conexión segura SSL de 128bits con Amazon.com para comprar un lindo libro.
0Alex dijo el 28-8-2008 a las 11:48:
Si se fijan en el link a la noticia completa, (salio en kriptopolis) notarán que el problema es realmente grave.
Por una razon muy simple, cualquier solucion implica un enorme gasto, a nivel mundial, en el que las empresas como Cisco (creadora del famoso BGP) no están dispuestas a incurrir.
Tendremos que vivir con el bug y esperar que nadie aproveche la vulnerabilidad.
mientras tanto, usen tls (o https) en sus clientes de correo (o webmail)
2vmforno dijo el 28-8-2008 a las 12:22:
Hay algo en lo que no han reparado … lamentablemente los correos viajan sin ser cifrados (encriptados).
Puede ser que las conexiones a sus webmails sean seguras (gmail, yahoo, hotmail, etc), pero el como salen sus correos desde estos servidores a otros van en “texto claro” (se pueden ver con sólo intervenir la línea). Lo mismo ocurre para los correos corporativos.
Intentaré explicar algo más en mi blog (sin fecha)
0alvaro dijo el 28-8-2008 a las 14:42:
no hay créditos? XD
La verdad es que a diario ocurren sucesos relacionados con la seguridad, la mayoría de ellos pasan inadvertidos para el “resto del mundo”…
tal vez tenemos que estar un poco más atentos y presionar a nuestros proveedores de servicios que nos aseguren nuestra seguridad en Internet
0Cristián dijo el 28-8-2008 a las 15:10:
Efectivamente es una gran vulnerabilidad pero para todos los alarmistas estamos bastante lejos que algo valla a pasar. Como los mismos descubridores lo enunciaron, esto está disponible para grandes organizaciones, es decir, organizaciones que tengan a cargo el enrutamiento de una gran cantidad paquetes o conexiones.
En el ambito de la seguridad computacional se evaluan en los costos que debería incurrir el atacante para lograr su cometido, y en los beneficios que esto le reportaría. Uno que tiene un router en su casa podría realizar el ataque pero a lo más logrará capturar alguno que otro mail no encriptado de su nana, ahora la pregunta es que tanto beneficio te reporta eso.
Como conclusión, para que este ataque sea de real preocupación un ISP debería ser comprometido y aún así podemos confiar en que nuestra información no sea revelada si es que usamos protocolos seguros. Como bien dijeron en el anuncio es algo muy parecido a DNS, un problema arquitectonico, pero como lo ha demostrado el tiempo el costo/beneficio de realizar tales ataques al parecer no reporta dividendos positivos.
0Carlos Le Mare dijo el 28-8-2008 a las 23:07:
@Cristián: Muy buen argumento… parece que estuviste en el LatinCACS…. si no, deberías 
Pensando en el problema veo que el uso de protocolos con llave pública/privada permitirían traficar información de manera segura aún si un ISP tratara de pasarse de listo 
Por otro lado las transacciones de compra por internet dependen de un mecanismo basado en llave pública/privada con lo que me quedo más tranquilo.
Creo que cada vez que alguien levante un sitio con información importante (como los datos de todos los chilenos) debería hacerlo con sitios basados en SSL para evitar suspicacias de terceros… y eso no es caro de implementar, pero crear un mecanismos combinados de BGP con desencriptación por fuerza bruta a los contenidos de un sitio web es simplemente demasiado caro por un beneficio demasiado bajo.
clemare
0Keber dijo el 29-8-2008 a las 01:49:
Esto me recuerda un ataque distribuido que se realizó hace un tiempo atrás. De hecho, aquí también se comentó. era un DDNS si no me equivoco.
En aquella oportunidad, si mal no recuerdo, se enviaban paquetes con las ip’s de origen modificadas para que fueran los routers que componían uno de los backbones de internet los encargados de recibir el ACK del TWHS.
Si se hiciera algo similar… digo, los que tienen posibilidad de abusar eventualmente de este “vacío” en el diseño son los equipos de los ISP, no? ahora, preparar esos paquetes sería un gran cacho, pero manipular el tráfico -aún pensando en una estrategia distribuida- sería un cacho mayúsculo.
pero aún así… ¿qué blancos serían interesantes, si los de interés envian sus comunicaciones encriptadas? … denuevo, aquellas redes que basan sus transacciones en la confianza respecto a la contraparte.
Ver Todos Páginas: ← 1 [2] 3 Próximos 30 Comentarios →
Descubierta vulnerabilidad crítica en Firefox 3.5
En 10 segundos toman el control de un Mac gracias a Safari
Troyano se aprovecha de una vulnerabilidad de Excel
Descubren falla de seguridad en Safari
Revelan una grave falla en el algoritmo MD5 
Windows Vista presenta una vulnerabilidad en su Kernel
Impresentable: Microsoft demora siete años en publicar un parche para corregir un fallo
Clickjacking: Lo que todos callan pero muchos ya saben
Hackers brasileños no pudieron vulnerar urnas electrónicas
Encuesta: sólo la mitad de las empresas bloquea el P2P
Argentino creador de distribución de Linux Tuquito es acusado de phishing
Windows 7 tiene su primer parche antes del lanzamiento
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 [2] 3 Próximos 30 Comentarios →