Internet se lleva a cabo junto con Spit & Balling Wire – Cancer on Security
Una visualización de Internet creada utilizando datos de enrutamiento de red. Imagen: Barrett Lyon, opte.org.
Imagínese si pudiera separar o redirigir el tráfico de Internet destinado a algunas de las empresas más grandes del mundo, simplemente falsificando un correo electrónico. Esta es la naturaleza de un vector de amenaza eliminado recientemente por una compañía Fortune 500 que opera una de las redes troncales de Internet más grandes.
Con sede en Monroe, Luisiana, Lumen Technologies Inc. [NYSE: LUMN] (previamente CenturyLink) es una de las más de dos docenas de entidades que operan un Registro de enrutamiento de Internet (IRR). Estos IRR mantienen bases de datos de enrutamiento que utilizan los operadores de red para registrar sus recursos de red asignados, es decir, las direcciones de Internet asignadas a su organización.
Los datos administrados por las TIR ayudan a realizar un seguimiento de qué organizaciones tienen derecho a acceder a qué espacio de direcciones de Internet en el sistema de enrutamiento global. En conjunto, la información enviada voluntariamente a las TIR forma una base de datos distribuida de instrucciones de enrutamiento de Internet que ayudan a conectar una gran cantidad de redes individuales.
Actualmente existen alrededor de 70.000 redes diferentes en Internet, operadas por proveedores gigantes de banda ancha como ellos. AT&T, Comcast y Verizon a miles de empresas que se conectan al perímetro de Internet para acceder. Cada uno de estos denominados «sistemas autónomos» (AS) toma sus propias decisiones sobre cómo y con quién conectarse a Internet.
Independientemente de cómo se conecten, cada AS utiliza el mismo idioma para indicar qué rangos de direcciones IP de Internet controlan: Protocolo de puerta de enlace fronterizao BGP. Usando BGP, un AS notifica a sus AS vecinos conectados directamente de las direcciones a las que puede llegar. Ese vecino, a su vez, transmite la información a sus vecinos, y así sucesivamente, hasta que la información se ha extendido por todas partes. [1].
Una función clave de los datos BGP administrados por las IRR es evitar que los operadores de red fraudulentos reclamen las direcciones de otras redes y secuestran su tráfico de datos. En esencia, una organización puede utilizar las TIR para explicarle al resto de Internet: «Estos rangos de direcciones de Internet específicos son nuestros, solo deben provenir de nuestra red y usted debe ignorar cualquier otra red que intente reclamar estos rangos de direcciones».
En los primeros días de Internet, cuando las empresas querían actualizar sus registros utilizando una TIR, los cambios generalmente se asociaban con la interacción humana; a menudo, alguien editaba manualmente las nuevas coordenadas en un enrutador de red troncal de Internet. Pero a lo largo de los años, las diversas TIR han facilitado la automatización de este proceso por correo electrónico.
Durante mucho tiempo, todos los cambios en la información de enrutamiento de una organización con una TIR podían procesarse por correo electrónico, siempre que uno de los siguientes métodos de autenticación se utilizara correctamente:
De estos, MAIL-FROM se ha considerado durante mucho tiempo inseguro, por la sencilla razón de que no es difícil falsificar la dirección del remitente de un correo electrónico. Y prácticamente todas las TIR han prohibido su uso desde al menos 2012, dijo Adam Korab, ingeniero de redes e investigador de seguridad con sede en Houston.
Todos menos Level 3 Communications, un importante proveedor de red troncal de Internet adquirido por Lumen / CenturyLink.
«LEVEL 3 es el último operador de TIR que permite el uso de este método, aunque se ha desaconsejado desde al menos 2012», dijo Korab a KrebsOnSecurity. «Otros operadores de TIR han descontinuado por completo MAIL-FROM».
Es importante que el nombre y la dirección de correo electrónico del contacto oficial de cada sistema autónomo para la actualización de las TIR sea información pública.
Korab ha presentado un informe de vulnerabilidad a Lumen que muestra cómo un simple correo electrónico falsificado se puede utilizar para interrumpir el servicio de Internet para bancos, empresas de telecomunicaciones e incluso agencias gubernamentales.
«Si un ataque de este tipo tuviera éxito, los bloques de direcciones IP de los clientes se filtrarían y descartarían, de modo que serían inaccesibles para parte o la totalidad de Internet global», dijo Korab., encontrando que más de 2,000 clientes de Lumen se vieron potencialmente afectados. «Esto evitaría eficazmente el acceso a Internet para los bloques de direcciones IP afectados».
El fracaso más reciente que duró Facebook, Instagram y Whatsapp estuvo fuera de línea la mayor parte del día fue causado por una actualización de BGP con errores de Facebook. Esta actualización eliminó el mapa que le decía a las computadoras del mundo cómo encontrar sus diversas propiedades en línea.
Ahora considere el lío que resultaría si alguien falsificara las actualizaciones de la TIR para eliminar o cambiar las entradas de enrutamiento para múltiples proveedores de comercio electrónico, bancos y compañías de telecomunicaciones al mismo tiempo.
“Dependiendo del alcance de un ataque, esto podría afectar a clientes individuales, áreas geográficas del mercado o potencialmente al [Lumen] Espina dorsal ”, continuó Korab. “Este ataque es trivial de explotar y difícil de restaurar. Nuestra conjetura es que cualquier bloque de direcciones IP de cliente o lumen afectado estaría fuera de línea durante 24-48 horas. En el peor de los casos, esto podría llevar mucho más tiempo «.
Lumen informó a KrebsOnSecurity que continuará ofreciendo MAIL-FROM: autenticación, ya que muchos de sus clientes todavía confían en ella debido a los sistemas heredados. Aún así, después de recibir el informe de Korab, la compañía decidió que lo más inteligente que podía hacer era deshabilitar por completo MAIL-FROM: Authentication.
«Recientemente recibimos una notificación de una configuración insegura conocida con nuestro registro de rutas», dijo en un comunicado Lumen KrebsOnSecurity. “Ya hemos tenido controles de mitigación y hasta la fecha no hemos encontrado ningún problema adicional. Como parte de nuestro protocolo normal de ciberseguridad, hemos revisado cuidadosamente este aviso y hemos tomado medidas para mitigar aún más cualquier riesgo potencial que la vulnerabilidad creara para nuestros clientes o sistemas «.
Level3, ahora parte de Lumen, ha instado a los clientes durante mucho tiempo a evitar el uso de «Correo de» para la autenticación, pero hasta hace poco todavía lo permitían.
KC Claffy es el fundador y director del Center for Applied Internet Data Analysis (CAIDA) e investigador del Centro de Supercomputación de San Diego en la Universidad de California, San Diego. Claffy dijo que hay poca evidencia pública de que un actor de amenazas esté utilizando la vulnerabilidad que Lumen ha corregido para secuestrar rutas de Internet.
«La gente a menudo no se da cuenta, y un actor malintencionado ciertamente está trabajando en ello», dijo Claffy en un correo electrónico a KrebsOnSecurity. “Pero cuando una víctima se entera, generalmente no revela ningún detalle de que ha sido secuestrada. Es por eso que necesitamos la obligación de informar tales violaciones, como ha estado diciendo Dan Geer durante años «.
Sin embargo, hay muchos ejemplos de ciberdelincuentes que secuestran bloques de direcciones IP después de que un nombre de dominio asociado con una dirección de correo electrónico en un registro de IRR ha expirado. En estos casos, los ladrones simplemente registran el dominio caducado y luego envían un correo electrónico a un IRR detallando cualquier cambio de ruta.
Si bien es bueno que Lumen ya no sea el eslabón más débil de la cadena IRR, los mecanismos de autenticación restantes no son excelentes. Claffy dijo que después de años de debate sobre enfoques para mejorar la seguridad del enrutamiento, la comunidad de operadores ha ideado una alternativa conocida como Infraestructura de clave pública de recursos (RPKI).
«El RPKI implica la autenticación criptográfica de registros, incluidas las fechas de vencimiento, con cada Registro Regional de Internet (RIR) actuando como la ‘raíz’ de confianza», escriben Claffy y otros dos investigadores de UC San Diego en un artículo pendiente de revisión por pares. «De manera similar a la TIR, los operadores pueden usar la RPKI para descartar los mensajes de enrutamiento que no superan las comprobaciones de validación de origen».
Sin embargo, la integridad adicional que aporta RPKI conlleva una complejidad y un costo adicionales considerables, encontraron los investigadores.
«Las implicaciones operativas y legales de posibles fallas de funcionamiento tienen un registro y uso limitados del RPKI», señaló el estudio (enlace agregado). “En respuesta, algunas redes han redoblado sus esfuerzos para mejorar la precisión de los datos de registro de la TIR. Estas dos tecnologías ahora funcionan en paralelo, junto con la capacidad de no hacer nada en absoluto para validar rutas «.
[1]: En el quinto y sexto párrafo, tomé prestado un texto descriptivo de un borrador de documento de CAIDA / UCSD – IRR Hygiene in the RPKI Era (PDF).
Sigue leyendo:
Zonas de confianza: un camino hacia una infraestructura de Internet más segura (PDF).
Revisión histórica de la vulnerabilidad de Internet: ¿Por qué BGP no es más seguro y qué podemos hacer al respecto? (PDF)
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
![[INFOGRAPHIC] Cómo llevar a cabo un programa exitoso de capacitación en concientización sobre seguridad](https://cultura-digital.info/wp-content/uploads/infographic-como-llevar-a-cabo-un-programa-exitoso-de-capacitacion-en-concientizacion-sobre-seguridad-150x150.jpg "[INFOGRAPHIC] Cómo llevar a cabo un programa exitoso de capacitación en concientización sobre seguridad")
