Una nuova falla coinvolge l'intera rete

A breve distanza dalla scoperta della falla presente nel protocollo Domain Name System (DNS) e sfruttabile per indirizzare gli utenti verso pagine arbitrarie, ecco apparire all’orizzonte una nuova vulnerabilità insita all’interno dell’infrastruttura della grande rete, tale da permettere l’intercettazione e il reindirizzamento dei dati che scorrono al suo interno. Sotto accusa il protocollo di instradamento Border Gateway Protocol (BGP), utilizzato per connettere tra loro più router che appartengono a sistemi autonomi distinti . La scoperta appare particolarmente allarmante poiché non si tratterebbe di un errore o di un difetto insito nel protocollo, ma del suo naturale modo di operare.

La vulnerabilità è stata chiaramente illustrata da Tony Kapela, data center e network director a 5Nines Data, e da Alex Pilosov, CEO di Pilosoft, nel corso di una conferenza sul tema degli hacker tenutasi all’ultimo DefCon. Secondo quanto dichiarato dal duo, chiunque sia in possesso di un router BGP potrebbe essere in grado di intercettare i dati inviati ad un IP target o ad un gruppo di indirizzi, il tutto senza dover sfruttare alcun bug o debolezza del protocollo: «non stiamo facendo nulla fuori dall’ordinario», ha spiegato Kapela, «non ci sono vulnerabilità, errori nel protocollo, né problemi software. Il problema deriva dal livello di interconnettività che è richiesto per mantenere questa “confusione”, per far funzionare il tutto».

Il problema risiederebbe nell’architettura del protocollo BGP, la quale sarebbe stata creata negli anni ’70 basandosi sulla fiducia; il sistema così com’è stato creato, non verifica quindi se le informazioni relative all’instradamento dei dati corrispondano a verità. Ad esempio, quando una email viene instradata verso una destinazione, i network delle compagnie comunicano tra loro cercando di capire quale sia la via più veloce ed efficiente per raggiungere la destinazione, ma il router BGP non verifica se il percorso più veloce indicato sia effettivamente il più efficiente o sia frutto di una qualche manipolazione.

La soluzione più immediata sarebbe introdurre un sistema di filtri in grado di far passare solamente il traffico autorizzato, ma si tratterebbe di una operazione laboriosa e che risulterebbe vana nel caso anche un solo ISP non dovesse offrire la sua collaborazione. Inoltre, gli apparati attualmente a disposizione dei server non sarebbero in grado di apportare da subito tale soluzione, richiedendo una modifica o una loro completa sostituzione; secondo Douglas Maughan, ricercatore al Science and Technology Directorate, sarà quindi molto difficile convincere tutti gli ISP e i fornitori di router ad effettuare le modifiche necessarie. «Non abbiamo visto attacchi e quindi la maggior parte delle persone non hanno iniziato a lavorare sul problema per cercare di correggerlo prima di essere attaccate», ha dichiarato Maughan, «ma il caso YouTube è un perfetto esempio di un attacco che potrebbe essere stato molto peggiore di quanto non è stato».