Investigadores demostraron lo vulnerable que es el mecanismo básico para la seguridad en Internet

El Centro Nacional de Investigación en Ciberseguridad Athene de Alemania, ha encontrado la manera de romper uno de los mecanismos básicos utilizados para resguardar la seguridad del tráfico de Internet. 

El mecanismo, denoinado RPKI, fue diseñado para evitar que los ciberdelincuentes o los atacantes gubernamentales desvíen el tráfico en Internet.



Las vulnerabilidades de RPKI

Los redireccionamientos a los que apunta RPKI son sorprendentemente comunes en Internet. Generalmente se usan para espionaje o se presentan en configuraciones incorrectas.

El equipo científico de Athene, liderado por la Dra. Haya Shulman, demostró que los atacantes pueden eludir por completo el mecanismo de seguridad de un sistema, sin que los operadores de red afectados puedan detectarlo. Según los análisis del equipo de Athene, las implementaciones populares de RPKI en todo el mundo eran vulnerables a partir de principios de 2021.

Desde un punto de vista técnico, estos ataques suelen basarse en secuestros de prefijos. Explotan un problema de diseño fundamental de Internet: la determinación de qué dirección IP pertenece a qué red no está protegida. Para evitar que cualquier red en Internet reclame bloques de direcciones IP que no son de su propiedad legítima, el IETF, la organización responsable de Internet, estandarizó la Infraestructura de clave pública de recursos, RPKI.

RPKI utiliza certificados firmados digitalmente para confirmar que un bloque de dirección IP específico realmente pertenece a la red especificada. Mientras tanto, según las mediciones del equipo de Athene, casi el 40 % de todos los bloques de direcciones IP tienen un certificado RPKI, y alrededor del 27 % de todas las redes verifican estos certificados.

Como descubrió el equipo de Shulman, RPKI también tiene una falla de diseño: si una red no puede encontrar un certificado para un bloque de direcciones IP, asume que no existe ninguno. Para permitir que el tráfico fluya en Internet de todos modos, esta red simplemente ignorará RPKI para dichos bloques de direcciones IP, es decir, las decisiones de enrutamiento se basarán únicamente en información no segura, como antes.

El equipo de Athene pudo demostrar experimentalmente que un atacante puede crear exactamente la situación antes descrita y así desactivar RPKI sin que nadie realmente lo note. En particular, la red afectada, cuyos certificados se ignoran, tampoco lo notarán. El ataque, llamado Stalloris por el equipo de Athene, requiere que el atacante controle un punto de publicación llamado RPKI. Esto no es un problema para los atacantes estatales y los ciberdelincuentes organizados.

A principios de 2021, según las investigaciones del equipo de Athene, todos los productos populares utilizados por las redes para verificar los certificados RPKI eran vulnerables de esta manera. El equipo informó a los fabricantes sobre el ataque.

Fuente: Link