Só faltava essa! Atacantes estão acessando roteadores que utilizam o BGP (Border Gateway Protocol) para injetar saltos (hops) adicionais que redirecionam grandes blocos de tráfego de Internet para localidades onde podem ser monitorados e até mesmo manipulados, antes de serem enviados aos seus respectivos destinatários. A Renesys, companhia especializada em inteligência de Internet, já detectou algo próximo a 1.500 blocos de endereços de IP que foram sequestrados por mais de 60 dias somente neste ano de 2013, uma tendência perturbadora indicando que atacantes parecem ter um interesse crescente na fragilidade inerente na infraestrutura central da Internet.
Ainda é desconhecido como os atacantes estão conseguindo acesso a esses roteadores afetados, se os mesmos possuem acesso físico aos equipamentos ou mesmo se os roteadores estão expostos para a Internet. Mas essa é a parte fácil da ação desses criminosos! A técnica de RI (Route Injection) é meramente alguns ajustes nas configurações do próprio roteador.
De acordo com Jim Cowie, co-fundador e CTO da Renesys, “Isso é fazer com que um roteador que fala BGP faça exatamente o que ele pretende fazer. A única coisa que está sendo feita é alterar as configurações do roteador”, e completou que “Um roteador de borda normal deve ter entradas de configurações normais para todas as redes que você tem acesso para todos os seus clientes. Isso apenas adiciona linhas extras para uma configuração. Eles podem anunciar esses roteadores para meus peers e deixá-los saber que os mesmos podem alcança-lo mesmo que seja uma ficção. Enquanto você tiver acesso para um roteador de borda em um provedor de serviços importante e você tenha escolhido o lugar certo para fazer isso, não há necessidade de software malware”.
A parte difícil é saber onde inserir o ataque do tipo Route Injection, adicionando que algumas das vítimas que a Renesys vem observando e contactando incluem organizações de serviços financeiros, provedores de VoIP, agências governamentais e outras empresas de grande porte. É importante reforçar que os ataques são realizados a nível de roteador de borda onde blocos de endereços de IP – em alguns casos tendo como alvo organizações específicas – são extraviados.
Inside Job?
Cowie afirmou que “Por um lado, nós temos visto pessoas sequestrarem blocos de endereços que pertencem ao pool DSL, grupos de clientes não muito específicos em algum lugar no país. E nós já vimos redes de trabalho sequestradas que pertencem a organizações específicas; eles não são um grande pool de usuários específicos, mas o negócio de alguém”. E se a próxima informação funcionar como uma dica para desmascarar os criminosos, Cowie também informou que os atacantes estão utilizando o sistema de roteamento de uma forma muito similar a como um engenheiro de rede utilizaria.
“Existe certa sofisticação na escolha dos lugares onde você injeta essas rotas” afirmou Cowie. E completou que “Você que ser capaz de evadir quaisquer filtros as pessoas tenham no local para prevenir o espalhamento de rotas tuins. E você quer sequestrar um local que possui status influente que irá propagar para as pessoas o tráfego que você desejar. A maior parte da sofisticação no ataque está na escolha do ponto onde você faz a injeção de rota”.
Nova Modalidade Criminosa: Man-in-the-Border
Enquanto isso os atacantes podem aplicar esse tipo de redirecionamento e inspeção de tráfego sem muita preocupação em termos de latência ou mesmo com o fim da requisição web. Adicionalmente, enquanto os ataques tradicionais do tipo man-in-the-middle tem a presença do criminoso fisicamente próxima a sua vítima, neste tipo de ataque pode estar tranquilamente a meio mundo de distância. E mesmo o tráfego em questão estando criptografado, uma grande quantidade de informações de negócios importantes ou mesmo dados pessoais podem estar em risco.
Cowie disse que “[O atacante está] conseguindo apenas um lado da conversação” e afirmou que “Se o mesmo for sequestrar os endereços pertencentes a um servidor web, você verá os usuários requisitando todas as páginas que eles desejam. Se eles sequestrarem os endereços de IP pertencentes a desktops, então eles estarão vendo todo o conteúdo fluindo de volta dos servidores para esses mesmos computadores. Espera-se que desse ponto em diante todos estejam utilizando criptografia”.
Primeiro Exemplo de Ataque
Aos interessados em entender mais a fundo como funciona o Route Injection, a Renesys forneceu dois exemplos de ataques de redirecionamento: o primeiro foi realizado todo dia de Fevereiro desse ano de 2013 com um novo grupo de vítimas dentro do território Norte-Americano, Coreia do Sul, Alemanha, República Tcheca, Lituânia, Líbia e Irã, tendo todo o tráfego diário sendo redirecionado para um ISP em Belarus.
“Nós gravamos um número significante de traços ao vivo desses sequestros de redes enquanto os atacantes estavam em ação, mostrando o desvio de tráfego para Belarus antes de continuar para seu destino correto”, informou a companhia em seu Blog. O redirecionamento de salto iniciou em Guadalajara, México, e terminou na capital norte-Americana, Washington, incluindo saltos de rotas através de Londres, Moscou, e Minsk, antes de cair em Belarus. Tudo isso por causa da injeção de uma falsa rota no Level3, o ISP anteriormente conhecido como Global Crossing. O tráfego foi examinado e então retornado em uma “via limpa” para seus destinos – tudo isso acontecendo em um piscar de olhos.
Segundo Exemplo de Ataque
No segundo Exemplo, um provedor na Islândia começou a anunciar rotas para 597 redes de IP pertencentes e um grande provedor de VoIP nos Estados Unidos. É importante destacar que normalmente o provedor Islandês Opin Kerfi anuncia apenas três redes de IP. A Renesys monitorou 17 eventos de roteamento de tráfego através da Islândia.
“Nós temos medidas táticas que verificam que durante um período quando os roteadores BGP eram sequestrados em cada caso, o redirecionamento de tráfego teve caminho através das rotas Belasianas e Islandesas. Esses fatos não estão em dúvida; elas foram bem amparados pelos dados” informou o Blog da companhia, que completou: “O que não foi conhecido é o exato mecanismo, motivação, ou atores”.
Cowie disse que como esse problema não é uma vulnerabilidade que pode ser corrigida, as atenuações estão limitadas ao uso de rotas assinadas criptograficamente, ou a seguir as boas práticas conhecidas como BGP 38, onde os ISPs colocam filtros em determinados locais para prevenir o spoofing de injeção de rotas. Vale ressaltar que ambas as atenuações são caras de se implementar e de se manter e podem não ser economicamente viáveis para alguns ISPs a menos que todos sejam obrigados a segui-las. Adicionalmente, na questão específica das rotas assinadas criptograficamente, se a confiança é derivada do governo ou uma única organização, eles poderão ter controle sobre segmentos de tráfego de Internet que poderiam introduzir um conjunto extra de questões de vigilância.
“A temporização [de ataques de injeção de rotas] foram pegas no decorrer deste ano, então meu palpite é de que isso é de conhecimento mais comum entre grupos que podem fazer isso” disse Cowie, que completou “É difícil dizer se [essa ação] é de um grupo, ou dois grupos, três grupos. Provavelmente eles se conhecem, nós não sabemos. Essa [situaçao] é realmente muito incognoscível”.
E você, caro leitor, o que acha? Trabalha ou conhece alguém que trabalha com roteadores de borda e pode comentar sobre o caso? Acredita que isso é uma ação isolada ou tudo não passa de mais tentáculos da NSA (e outras agências de inteligência espalhadas pelo mundo) sendo descobertos? Deixe seu comentário.
Fontes:
-Under-Linux: http://under-linux.org/content.php?r=8028
– Slashdot: Route-Injection Attacks Detouring Internet Traffic (em Inglês)
– Treat Post: Internet Traffic Following Malicious Detours Via Route Injection Attacks (em Inglês)