El equipo demuestra que el mecanismo básico para la seguridad en Internet se puede romper

El Centro Nacional de Investigación en Ciberseguridad ATHENE ha encontrado la manera de romper uno de los mecanismos básicos utilizados para asegurar el tráfico de Internet. El mecanismo, llamado RPKI, en realidad está diseñado para evitar que los ciberdelincuentes o los atacantes gubernamentales desvíen el tráfico en Internet.

Tales redireccionamientos son sorprendentemente comunes en Internet, por ejemplo, para espionaje o debido a configuraciones incorrectas. El equipo científico de ATHENE del Prof. Dr. Haya Shulman demostró que los atacantes pueden eludir por completo el mecanismo de seguridad sin que los operadores de red afectados puedan detectarlo. Según los análisis del equipo de ATHENE, las implementaciones populares de RPKI en todo el mundo eran vulnerables a principios de 2021.

El equipo informó a los fabricantes y ahora presentó los hallazgos al público experto internacional.

Desviar partes del tráfico de Internet causa revuelo, como sucedió en marzo de este año cuando el tráfico de Twitter se desvió parcialmente a Rusia. Empresas o países enteros pueden quedar desconectados de Internet o el tráfico de Internet puede ser interceptado o escuchado.

Desde un punto de vista técnico, estos ataques suelen basarse en secuestros de prefijos. Explotan un problema de diseño fundamental de Internet: la determinación de qué dirección IP pertenece a qué red no está protegida. Para evitar que cualquier red en Internet reclame bloques de direcciones IP que no son de su propiedad legítima, el IETF, la organización responsable de Internet, estandarizó la Infraestructura de clave pública de recursos, RPKI.

RPKI utiliza certificados firmados digitalmente para confirmar que un bloque de dirección IP específico realmente pertenece a la red especificada. Mientras tanto, según las mediciones del equipo de ATHENE, casi el 40 % de todos los bloques de direcciones IP tienen un certificado RPKI, y alrededor del 27 % de todas las redes verifican estos certificados.

Como descubrió el equipo de ATHENE dirigido por el Prof. Dr. Haya Shulman, RPKI también tiene una falla de diseño: si una red no puede encontrar un certificado para un bloque de direcciones IP, asume que no existe ninguno. Para permitir que el tráfico fluya en Internet de todos modos, esta red simplemente ignorará RPKI para dichos bloques de direcciones IP, es decir, las decisiones de enrutamiento se basarán únicamente en información no segura, como antes. El equipo de ATHENE pudo demostrar experimentalmente que un atacante puede crear exactamente esta situación y así desactivar RPKI sin que nadie se dé cuenta. En particular, la red afectada, cuyos certificados son ignorados, tampoco lo notará. El ataque, llamado Stalloris por el equipo de ATHENE, requiere que el atacante controle un punto de publicación llamado RPKI. Esto no es un problema para los atacantes estatales y los ciberdelincuentes organizados.

Según las investigaciones del equipo de ATHENE, a principios de 2021 todos los productos populares utilizados por las redes para verificar los certificados RPKI eran vulnerables de esta manera. El equipo informó a los fabricantes sobre el ataque.

Ahora, el equipo ha publicado sus hallazgos en dos de las principales conferencias sobre seguridad de TI, la conferencia científica Usenix Security 2022 y la conferencia de la industria Blackhat US 2022. El trabajo fue una colaboración entre investigadores de ATHENE, colaboradores de la Universidad Goethe de Frankfurt am Main, Fraunhofer SIT y Universidad Tecnológica de Darmstadt.

---

---

Proporcionado por Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE