O Centro Nacional de Pesquisa em Segurança Cibernética ATHENE encontrou uma maneira de quebrar um dos mecanismos básicos usados ​​para proteger o tráfego da Internet. O mecanismo, chamado RPKI, foi projetado para impedir que cibercriminosos ou invasores do governo desviem o tráfego na Internet.
Esses redirecionamentos são surpreendentemente comuns na internet, por exemplo, para espionagem ou por meio de configurações incorretas. A equipe de cientistas do ATHENE do Prof. Dr. Haya Shulman mostrou que os invasores podem ignorar completamente o mecanismo de segurança sem que os operadores de rede afetados sejam capazes de detectar isso. De acordo com análises da equipe ATHENE, implementações populares de RPKI em todo o mundo estavam vulneráveis ​​no início de 2021.

A equipe informou os fabricantes e agora apresentou as descobertas ao público internacional de especialistas.

O direcionamento incorreto de bits de tráfego da Internet causa agitação, como aconteceu em março deste ano, quando o tráfego do Twitter foi parcialmente desviado para a Rússia. Empresas ou países inteiros podem ser cortados da Internet ou o tráfego da Internet pode ser interceptado ou ouvido.

Do ponto de vista técnico, esses ataques geralmente são baseados em seqüestros de prefixo. Eles exploram um problema fundamental de design da internet:a determinação de qual endereço IP pertence a qual rede não é segura. Para evitar que qualquer rede na Internet reivindique blocos de endereços IP que não são de sua propriedade legítima, a IETF, a organização responsável pela Internet, padronizou a Resource Public Key Infrastructure, RPKI.

O RPKI usa certificados assinados digitalmente para confirmar que um bloco de endereço IP específico realmente pertence à rede especificada. Enquanto isso, de acordo com as medições da equipe ATHENE, quase 40% de todos os blocos de endereços IP possuem um certificado RPKI e cerca de 27% de todas as redes verificam esses certificados.

Como a equipe ATHENE liderada pelo Prof. Dr. Haya Shulman descobriu, o RPKI também tem uma falha de projeto:se uma rede não consegue encontrar um certificado para um bloco de endereço IP, ela assume que não existe nenhum. Para permitir que o tráfego flua na internet de qualquer maneira, esta rede simplesmente ignorará o RPKI para tais blocos de endereços IP, ou seja, as decisões de roteamento serão baseadas puramente em informações não seguras, como antes. A equipe ATHENE conseguiu mostrar experimentalmente que um invasor pode criar exatamente essa situação e, assim, desabilitar o RPKI sem que ninguém perceba. Em particular, a rede afetada, cujos certificados são ignorados, também não o notará. O ataque, chamado Stalloris pela equipe ATHENE, exige que o invasor controle um chamado ponto de publicação RPKI. Isso não é um problema para invasores estatais e cibercriminosos organizados.

De acordo com as investigações da equipe ATHENE, no início de 2021 todos os produtos populares usados ​​pelas redes para verificar certificados RPKI estavam vulneráveis ​​dessa maneira. A equipe informou os fabricantes sobre o ataque.

Agora, a equipe publicou suas descobertas em duas das principais conferências em segurança de TI, a conferência científica Usenix Security 2022 e a conferência do setor Blackhat U.S. 2022. O trabalho foi uma colaboração entre pesquisadores dos colaboradores do ATHENE Goethe University Frankfurt am Main, Fraunhofer SIT e Universidade de Tecnologia de Darmstadt. + Explorar mais

Ferramenta de medição para tecnologias emergentes de segurança do Border Gateway Protocol