Engenheiros Ponderam com mais facilidade Solução para problemas com a Internet perigosa

O problema envolve os roteadores usados ​​por todas as organizações e empresas que possuem um bloco de endereços IP. Esses roteadores se comunicam constantemente com outros roteadores, atualizando suas informações internas - geralmente acima de 400.000 entradas - sobre a melhor maneira de acessar outras redes usando um protocolo chamado Border Gateway Protocol (BGP).

O BGP permite que os roteadores encontrem o melhor caminho quando, digamos, uma rede usada para recuperar uma página da web da Coréia do Sul não está funcionando corretamente. As alterações nessas informações de roteamento são distribuídas rapidamente aos roteadores em todo o mundo em apenas cinco minutos.

[Outras leituras: Como remover malware do seu PC com Windows]

Mas os roteadores não verificam se a rota "foi anunciada ", como são chamados, estão corretos. Erros ao inserir as informações - ou, pior ainda, um ataque mal-intencionado - podem fazer com que uma rede fique indisponível.

Também pode causar, por exemplo, que o tráfego de Internet de uma empresa seja roteado por outra rede que não precisa para percorrer, abrindo a possibilidade de o tráfego poder ser interceptado. O ataque é conhecido como "seqüestro de rota" e não pode ser interrompido por qualquer produto de segurança. Quando os problemas de roteamento surgem, "é muito difícil dizer se isso é um erro de digitação em um roteador ou malicioso", disse Joe Gersch. , diretor de operações da Secure64, uma empresa que faz o software de servidor DNS (Sistema de Nomes de Domínio). "Pode ser um teste para a guerra cibernética."

Os dados mostram que cerca de um terço do mundo não pode alcançar partes da Internet de cada vez devido a problemas de roteamento, disse Gersch.

Em fevereiro , um erro de roteamento fez com que o tráfego internacional da operadora australiana Telstra passasse pela rede de seus concorrentes, a Dodo, que não conseguia lidar com o aumento do tráfego. Em um incidente bem conhecido, a Pakistan Telecom cometeu um erro com o BGP após o governo paquistanês ter ordenado em 2008 que os provedores bloqueiem o YouTube, o que acabou derrubando o serviço do Google.

Em março de 2011, um pesquisador notou que o tráfego destinado ao Facebook na AT & T rede estranhamente passou por China por um tempo. Embora os pedidos normalmente fossem diretamente para o provedor de rede do Facebook, o tráfego passou pela China Telecom e depois pela SK Broadband na Coréia do Sul antes de passar para o Facebook. Embora o incidente tenha sido caracterizado como um erro, teria sido possível espionar o tráfego do Facebook não criptografado.

"O problema mais amplo aqui é que grande parte dessa infraestrutura crítica simplesmente depende de os jogadores se comportarem corretamente", disse Dan Massey. , professor associado de ciência da computação na Colorado State University. "Em um sistema verdadeiramente global como a internet, você deve assumir que as organizações ocasionalmente cometerão erros não intencionais."

Mas "imagine o que um adversário determinado pode ser capaz de fazer", disse Massey. Isso poderia incluir ataques à infraestrutura crítica, como usinas de energia, que se tornaram cada vez mais dependentes da Internet.

A solução é ter roteadores verificando se os blocos de endereços IP anunciados por outros roteadores realmente pertencem às suas redes. Um método, a RPKI (Resource Public Key Infrastructure), usa um sistema de certificados criptográficos que verifica se um bloco de endereços IP realmente pertence a uma determinada rede.

O RPKI é complexo e a implantação tem sido lenta. Especialistas recentemente vieram com um sistema alternativo, apelidado de ROVER para Route Origin Verification, que pode ser mais fácil.

ROVER armazena as informações legítimas de rota dentro do DNS, o enorme banco de dados distribuído que traduz um nome de domínio em um endereço IP que pode ser chamado em um navegador. Essas informações de rota podem ser assinadas com o DNSSEC, o protocolo de segurança que permite que registros DNS sejam assinados criptograficamente, o que está sendo amplamente adotado.

As vantagens com o ROVER são que nenhuma mudança precisa ser feita nos roteadores existentes, e pode funcionar junto com o RPKI. "Toda a infra-estrutura de garantir a resposta [sobre se a rota é legítima] já existe", disse Gersch, autor de duas especificações de como nomear uma rota e o tipo de registro que pode ser inserido no DNS.

As especificações estão atualmente no status "internet daft" antes do Internet Engineering Task Force. O próximo passo para se tornar um padrão é que um grupo de trabalho adote os documentos, disse Gersch.

Envie dicas de notícias e comentários para [email protected]