Le tecnologie di rete utilizzate per veicolare il traffico attraverso le dorsali Internet sarebbero vulnerabili ad attacchi su larga scala. E’ quanto hanno dichiarato due ricercatori, Enno Rey e Daniel Mendel, che hanno rilasciato anche un particolare software con l’intento di illustrare nella pratica le varie problematiche di sicurezza messe a nudo.
“Intendiamo mostrare come sia possibile condurre attacchi che una volta erano considerati come effettuabili solamente in via teorica quando, in realtà, sono davvero molto concreti”, ha dichiarato Rey. “Riteniamo che i modelli implementati in alcune tecnologie ancora oggi ampiamente utilizzate siano ormai superati. E’ bene quindi che si acquisisca consapevolezza di come le tecnologie impiegate quotidianamente non siano così sicure come si è soliti ritenere”.
Oggetto dello studio di Rey e Mendel sono risultati, in particolare, i protocolli BGP e MPLS. Il Border Gateway Protocol (BGP) è usato per connettere tra loro più router che appartengono a sistemi distinti. Il protocollo poggia sull’impiego e sulla gestione di una tabella di reti IP: lo scopo è quello di rendere disponibili informazioni sulla raggiungibilità delle varie reti. Già in passato Anton Kapela e Alex Pilosov avevano pubblicamente mostrato come sia possibile sfruttare alcune debolezze del protocollo BGP per spiare il traffico di rete ed, eventualmente, reindirizzarlo altrove (ved. queste notizie). Multi Protocol Label Switching (MPLS) è una tecnologia che consente di instradare flussi di traffico tra origine e destinazione attraverso l’uso di identificativi tra coppie di router adiacenti ed operazioni semplici sulle etichette stesse.
Lo strumento software messo a punto da Rey e Mendel rende semplice la modifica dei dati in transito. L’attacco può avere successo perché, ad esempio, MPLS non dispone di alcun meccanismo per proteggere l’integrità degli header che suggeriscono la destinazione ossia dove il pacchetto dati deve essere “recapitato”. Nel caso di BGP, secondo quanto dichiarato dai due ricercatori, risulta molto semplice violare il sistema di protezione ancora basato su MD5: in questo modo è possibile aggiungere informazioni, in modo non autorizzato, all’interno delle tabelle di routing.
Rey e Mendel suggeriscono di implementare, prima possibile, adeguati meccanismi di cifratura dei dati in transito.