Credito:Pixabay/CC0 di dominio pubblico
Il Centro nazionale di ricerca per la sicurezza informatica ATHENE ha trovato il modo di rompere uno dei meccanismi di base utilizzati per proteggere il traffico Internet. Il meccanismo, chiamato RPKI, è in realtà progettato per impedire ai criminali informatici o agli aggressori del governo di deviare il traffico su Internet.
Tali reindirizzamenti sono sorprendentemente comuni su Internet, ad esempio per spionaggio o configurazioni errate. Il team di scienziati di ATHENE del Prof. Dr. Haya Shulman ha dimostrato che gli aggressori possono bypassare completamente il meccanismo di sicurezza senza che gli operatori di rete interessati siano in grado di rilevarlo. Secondo le analisi del team ATHENE, le implementazioni popolari di RPKI in tutto il mondo erano vulnerabili all'inizio del 2021.
Il team ha informato i produttori e ora ha presentato i risultati al pubblico di esperti internazionali.
L'indirizzamento errato di bit di traffico Internet provoca scalpore, come è successo a marzo di quest'anno, quando il traffico di Twitter è stato parzialmente dirottato verso la Russia. Intere aziende o paesi possono essere tagliati fuori da Internet o il traffico Internet può essere intercettato o ascoltato.
Da un punto di vista tecnico, tali attacchi si basano solitamente su dirottamenti di prefissi. Sfruttano un problema di progettazione fondamentale di Internet:la determinazione di quale indirizzo IP appartiene a quale rete non è protetta. Per impedire a qualsiasi rete su Internet di rivendicare blocchi di indirizzi IP che non possiede legittimamente, l'IETF, l'organizzazione responsabile di Internet, ha standardizzato la Resource Public Key Infrastructure, RPKI.
RPKI utilizza certificati con firma digitale per confermare che un blocco di indirizzi IP specifico appartiene effettivamente alla rete specificata. Nel frattempo, secondo le misurazioni del team ATHENE, quasi il 40% di tutti i blocchi di indirizzi IP ha un certificato RPKI e circa il 27% di tutte le reti verifica questi certificati.
Come ha scoperto il team ATHENE guidato dalla Prof. Dr. Haya Shulman, RPKI ha anche un difetto di progettazione:se una rete non riesce a trovare un certificato per un blocco di indirizzi IP, presume che non ne esistano. Per consentire comunque il flusso del traffico su Internet, questa rete ignorerà semplicemente RPKI per tali blocchi di indirizzi IP, ovvero le decisioni di instradamento saranno basate esclusivamente su informazioni non protette, come prima. Il team di ATHENE è stato in grado di dimostrare sperimentalmente che un attaccante può creare esattamente questa situazione e quindi disabilitare RPKI senza che nessuno se ne accorga. In particolare, nemmeno la rete interessata, i cui certificati vengono ignorati, se ne accorgerà. L'attacco, chiamato Stalloris dal team ATHENE, richiede che l'attaccante controlli un cosiddetto punto di pubblicazione RPKI. Questo non è un problema per gli aggressori statali e i criminali informatici organizzati.
Secondo le indagini del team ATHENE, all'inizio del 2021 tutti i prodotti popolari utilizzati dalle reti per controllare i certificati RPKI erano vulnerabili in questo modo. Il team ha informato i produttori dell'attacco.
Ora il team ha pubblicato i suoi risultati in due delle principali conferenze sulla sicurezza IT, la conferenza scientifica Usenix Security 2022 e la conferenza di settore Blackhat US 2022. Il lavoro è nato dalla collaborazione tra ricercatori dei collaboratori di ATHENE Goethe University Frankfurt am Main, Fraunhofer SIT e Università di tecnologia di Darmstadt. + Esplora ulteriormente