S\u00f3 faltava essa! Atacantes est\u00e3o acessando roteadores que utilizam o BGP (Border Gateway Protocol) para injetar saltos (hops) adicionais que redirecionam grandes blocos de tr\u00e1fego de Internet para localidades onde podem ser monitorados e at\u00e9 mesmo manipulados, antes de serem enviados aos seus respectivos destinat\u00e1rios. A Renesys, companhia especializada em intelig\u00eancia de Internet, j\u00e1 detectou algo pr\u00f3ximo a 1.500 blocos de endere\u00e7os de IP que foram sequestrados por mais de 60 dias somente neste ano de 2013, uma tend\u00eancia perturbadora indicando que atacantes parecem ter um interesse crescente na fragilidade inerente na infraestrutura central da Internet.<\/p>\n
Ainda \u00e9 desconhecido como os atacantes est\u00e3o conseguindo acesso a esses roteadores afetados, se os mesmos possuem acesso f\u00edsico aos equipamentos ou mesmo se os roteadores est\u00e3o expostos para a Internet. Mas essa \u00e9 a parte f\u00e1cil da a\u00e7\u00e3o desses criminosos! A t\u00e9cnica de RI (Route Injection) \u00e9 meramente alguns ajustes nas configura\u00e7\u00f5es do pr\u00f3prio roteador.<\/p>\n
De acordo com Jim Cowie, co-fundador e CTO da Renesys, “Isso \u00e9 fazer com que um roteador que fala BGP fa\u00e7a exatamente o que ele pretende fazer. A \u00fanica coisa que est\u00e1 sendo feita \u00e9 alterar as configura\u00e7\u00f5es do roteador”, e completou que “Um roteador de borda normal deve ter entradas de configura\u00e7\u00f5es normais para todas as redes que voc\u00ea tem acesso para todos os seus clientes. Isso apenas adiciona linhas extras para uma configura\u00e7\u00e3o. Eles podem anunciar esses roteadores para meus peers e deix\u00e1-los saber que os mesmos podem alcan\u00e7a-lo mesmo que seja uma fic\u00e7\u00e3o. Enquanto voc\u00ea tiver acesso para um roteador de borda em um provedor de servi\u00e7os importante e voc\u00ea tenha escolhido o lugar certo para fazer isso, n\u00e3o h\u00e1 necessidade de software malware”.<\/p>\n
A parte dif\u00edcil \u00e9 saber onde inserir o ataque do tipo Route Injection, adicionando que algumas das v\u00edtimas que a Renesys vem observando e contactando incluem organiza\u00e7\u00f5es de servi\u00e7os financeiros, provedores de VoIP, ag\u00eancias governamentais e outras empresas de grande porte. \u00c9 importante refor\u00e7ar que os ataques s\u00e3o realizados a n\u00edvel de roteador de borda onde blocos de endere\u00e7os de IP – em alguns casos tendo como alvo organiza\u00e7\u00f5es espec\u00edficas – s\u00e3o extraviados.<\/p>\n
Inside Job?<\/strong><\/span><\/p>\n Cowie afirmou que “Por um lado, n\u00f3s temos visto pessoas sequestrarem blocos de endere\u00e7os que pertencem ao pool DSL, grupos de clientes n\u00e3o muito espec\u00edficos em algum lugar no pa\u00eds. E n\u00f3s j\u00e1 vimos redes de trabalho sequestradas que pertencem a organiza\u00e7\u00f5es espec\u00edficas; eles n\u00e3o s\u00e3o um grande pool de usu\u00e1rios espec\u00edficos, mas o neg\u00f3cio de algu\u00e9m”. E se a pr\u00f3xima informa\u00e7\u00e3o funcionar como uma dica para desmascarar os criminosos, Cowie tamb\u00e9m informou que os atacantes est\u00e3o utilizando o sistema de roteamento de uma forma muito similar a como um engenheiro de rede utilizaria.<\/p>\n “Existe certa sofistica\u00e7\u00e3o na escolha dos lugares onde voc\u00ea injeta essas rotas” afirmou Cowie. E completou que “Voc\u00ea que ser capaz de evadir quaisquer filtros as pessoas tenham no local para prevenir o espalhamento de rotas tuins. E voc\u00ea quer sequestrar um local que possui status influente que ir\u00e1 propagar para as pessoas o tr\u00e1fego que voc\u00ea desejar. A maior parte da sofistica\u00e7\u00e3o no ataque est\u00e1 na escolha do ponto onde voc\u00ea faz a inje\u00e7\u00e3o de rota”.<\/p>\n Nova Modalidade Criminosa: Man-in-the-Border<\/strong><\/span><\/p>\n Enquanto isso os atacantes podem aplicar esse tipo de redirecionamento e inspe\u00e7\u00e3o de tr\u00e1fego sem muita preocupa\u00e7\u00e3o em termos de lat\u00eancia ou mesmo com o fim da requisi\u00e7\u00e3o web. Adicionalmente, enquanto os ataques tradicionais do tipo man-in-the-middle tem a presen\u00e7a do criminoso fisicamente pr\u00f3xima a sua v\u00edtima, neste tipo de ataque pode estar tranquilamente a meio mundo de dist\u00e2ncia. E mesmo o tr\u00e1fego em quest\u00e3o estando criptografado, uma grande quantidade de informa\u00e7\u00f5es de neg\u00f3cios importantes ou mesmo dados pessoais podem estar em risco.<\/p>\n Cowie disse que “[O atacante est\u00e1] conseguindo apenas um lado da conversa\u00e7\u00e3o” e afirmou que “Se o mesmo for sequestrar os endere\u00e7os pertencentes a um servidor web, voc\u00ea ver\u00e1 os usu\u00e1rios requisitando todas as p\u00e1ginas que eles desejam. Se eles sequestrarem os endere\u00e7os de IP pertencentes a desktops, ent\u00e3o eles estar\u00e3o vendo todo o conte\u00fado fluindo de volta dos servidores para esses mesmos computadores. Espera-se que desse ponto em diante todos estejam utilizando criptografia”.<\/p>\n Primeiro Exemplo de Ataque<\/strong><\/span><\/p>\n Aos interessados em entender mais a fundo como funciona o Route Injection, a Renesys forneceu dois exemplos de ataques de redirecionamento: o primeiro foi realizado todo dia de Fevereiro desse ano de 2013 com um novo grupo de v\u00edtimas dentro do territ\u00f3rio Norte-Americano, Coreia do Sul, Alemanha, Rep\u00fablica Tcheca, Litu\u00e2nia, L\u00edbia e Ir\u00e3, tendo todo o tr\u00e1fego di\u00e1rio sendo redirecionado para um ISP em Belarus.<\/p>\n “N\u00f3s gravamos um n\u00famero significante de tra\u00e7os ao vivo desses sequestros de redes enquanto os atacantes estavam em a\u00e7\u00e3o, mostrando o desvio de tr\u00e1fego para Belarus antes de continuar para seu destino correto”, informou a companhia em seu Blog. O redirecionamento de salto iniciou em Guadalajara, M\u00e9xico, e terminou na capital norte-Americana, Washington, incluindo saltos de rotas atrav\u00e9s de Londres, Moscou, e Minsk, antes de cair em Belarus. Tudo isso por causa da inje\u00e7\u00e3o de uma falsa rota no Level3, o ISP anteriormente conhecido como Global Crossing. O tr\u00e1fego foi examinado e ent\u00e3o retornado em uma “via limpa” para seus destinos – tudo isso acontecendo em um piscar de olhos.<\/p>\n Segundo Exemplo de Ataque<\/strong><\/span><\/p>\n No segundo Exemplo, um provedor na Isl\u00e2ndia come\u00e7ou a anunciar rotas para 597 redes de IP pertencentes e um grande provedor de VoIP nos Estados Unidos. \u00c9 importante destacar que normalmente o provedor Island\u00eas Opin Kerfi anuncia apenas tr\u00eas redes de IP. A Renesys monitorou 17 eventos de roteamento de tr\u00e1fego atrav\u00e9s da Isl\u00e2ndia.<\/p>\n “N\u00f3s temos medidas t\u00e1ticas que verificam que durante um per\u00edodo quando os roteadores BGP eram sequestrados em cada caso, o redirecionamento de tr\u00e1fego teve caminho atrav\u00e9s das rotas Belasianas e Islandesas. Esses fatos n\u00e3o est\u00e3o em d\u00favida; elas foram bem amparados pelos dados” informou o Blog da companhia, que completou: “O que n\u00e3o foi conhecido \u00e9 o exato mecanismo, motiva\u00e7\u00e3o, ou atores”.<\/p>\n Cowie disse que como esse problema n\u00e3o \u00e9 uma vulnerabilidade que pode ser corrigida, as atenua\u00e7\u00f5es est\u00e3o limitadas ao uso de rotas assinadas criptograficamente, ou a seguir as boas pr\u00e1ticas conhecidas como BGP 38, onde os ISPs colocam filtros em determinados locais para prevenir o spoofing de inje\u00e7\u00e3o de rotas. Vale ressaltar que ambas as atenua\u00e7\u00f5es s\u00e3o caras de se implementar e de se manter e podem n\u00e3o ser economicamente vi\u00e1veis para alguns ISPs a menos que todos sejam obrigados a segui-las. Adicionalmente, na quest\u00e3o espec\u00edfica das rotas assinadas criptograficamente, se a confian\u00e7a \u00e9 derivada do governo ou uma \u00fanica organiza\u00e7\u00e3o, eles poder\u00e3o ter controle sobre segmentos de tr\u00e1fego de Internet que poderiam introduzir um conjunto extra de quest\u00f5es de vigil\u00e2ncia.<\/p>\n “A temporiza\u00e7\u00e3o [de ataques de inje\u00e7\u00e3o de rotas] foram pegas no decorrer deste ano, ent\u00e3o meu palpite \u00e9 de que isso \u00e9 de conhecimento mais comum entre grupos que podem fazer isso” disse Cowie, que completou “\u00c9 dif\u00edcil dizer se [essa a\u00e7\u00e3o] \u00e9 de um grupo, ou dois grupos, tr\u00eas grupos. Provavelmente eles se conhecem, n\u00f3s n\u00e3o sabemos. Essa [situa\u00e7ao] \u00e9 realmente muito incognosc\u00edvel”.<\/p>\n E voc\u00ea, caro leitor, o que acha? Trabalha ou conhece algu\u00e9m que trabalha com roteadores de borda e pode comentar sobre o caso? Acredita que isso \u00e9 uma a\u00e7\u00e3o isolada ou tudo n\u00e3o passa de mais tent\u00e1culos da NSA (e outras ag\u00eancias de intelig\u00eancia espalhadas pelo mundo) sendo descobertos? Deixe seu coment\u00e1rio.<\/p>\n Fontes:<\/strong><\/span><\/p>\n -Under-Linux:\u00a0http:\/\/under-linux.org\/content.php?r=8028<\/a> S\u00f3 faltava essa! Atacantes est\u00e3o acessando roteadores que utilizam o BGP (Border Gateway Protocol) para injetar saltos (hops) adicionais que redirecionam grandes blocos de tr\u00e1fego de Internet para localidades onde podem ser monitorados e at\u00e9 mesmo manipulados, antes de serem enviados aos seus respectivos destinat\u00e1rios. A Renesys, companhia especializada em intelig\u00eancia de Internet, j\u00e1 detectou […]<\/p>\n","protected":false},"author":2,"featured_media":6816,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[105],"tags":[],"class_list":["post-6814","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/6814","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=6814"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/6814\/revisions"}],"predecessor-version":[{"id":10447,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/6814\/revisions\/10447"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/6816"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=6814"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=6814"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=6814"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n– Slashdot:\u00a0Route-Injection Attacks Detouring Internet Traffic<\/a>\u00a0(em Ingl\u00eas)
\n– Treat Post:\u00a0Internet Traffic Following Malicious Detours Via Route Injection Attacks<\/a>\u00a0(em Ingl\u00eas)<\/p>\n","protected":false},"excerpt":{"rendered":"