[FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole

Quarta Agosto 27 11:00:53 BRT 2008

Giancarlo Rubio escreveu:
> "...The tactic exploits the internet routing protocol BGP (Border
> Gateway Protocol) to let an attacker surreptitiously monitor
> unencrypted internet traffic anywhere in the world, and even modify it
> before it reaches its destination...."
> 
> http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
> 

Tai, um desse OFF TOPIC que dá gosto de ler :D

Quando eu li esse artigo ontem a noite só consegui ter um pensamento: 
nossa senhora ehhuauha. Um cliente meu causou problema parecido, 
divulgando bitmask errado aos seus peers. O que me impressionou foi o 
peer (que não é qualquer operadora, por sinal é a principal) permitir. 
Quer dizer, não tem sequer uma regra pra validar isso. A gente tem um 
ambiente aqui em um cliente com iBGP e eBGP e quando um dos 4 peers 
nossos anunciam pro principal, temos regras de "deny" (no OpenBGP) pra 
garantir que uma "cidade" só anuncie o que realmente pertence a ela.

Bom, mas o final do artigo deixa claro porque o Disclosure tá sendo 
feito: pra que os detentores de AS demandem solução eficiente. Quero ver 
coragem.

A historia do YouTube foi comentada na lista OpenBSD Misc, mas eu não 
dei muita atenção. Será que foi um teste prático? hehehe.

OpenBGP criptografa mas não assina as publicações, mas acredito que 
seria bem rápido e fácil fazer isso.

Quero ver é o que vai acontecer agora se começarem a causar esses ataques.

Porem, o problema do DNS é maior em proporção, porque teoricamente 
qualquer um consegue explorar. Ja o ataque MITM do roteamento BGP, o 
individuo tem que ser um AS válido. Mas, como ele reenvia o tráfego pro 
destino original, pode ser que ninguém nunca perceba... ou que perceba 
tarde demais.

O bom é que se o o BGP se baseia em confiança, agora dependemos também 
de confiança, dos engenheiros de tráfego, pra que ninguem faca isso 
hehehe. O engraçado é que é uma coisa que todo mundo sempre soube. Fosse 
sem querer, fosse por crença e boa fé no ser humano, nunca se imaginou 
que isso pudesse estar sendo feito. Sempre tem aquele pensamento, "tem 
alguem cuidando disso...", pois é, mas nem sempre tem.

Pra mim é só um motivo a mais pra defender commodity hardware redundante 
fazendo roteamento BGP, ao inves de Cisco ou Juniper. Um upgrade pra 
sBGP seria mais simples e menos oneroso do que um upgrade no PC do meu 
irmão pra jogar F.E.A.R.

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"