Alfonso Maruccia

NIST e DHS chiudono il buco di BGP con la crittografia

Due organizzazioni governative statunitensi si impegnano a rafforzare il routing BGP, infrastruttura fondamentale di Internet ma priva di misure di sicurezza adeguate. In sviluppo da anni, i nuovi standard sono quasi pronti al debutto

Roma - NIST (National Institute of Standards and Technology) e DHS (Departement of Homeland Security) sono al lavoro su un progetto di ammodernamento del protocollo BGP (Border Gateway Protocol), una tecnologia vecchia come Internet e altrettanto bisognosa di nuove misure di sicurezza capaci di tenere a freno hacker, cyber-criminali e agenzie di spionaggio assortite.

Anche noto come il peggior buco di sicurezza della Rete telematica mondiale, il protocollo BGP permette ai grandi network individuali che compongono Internet (provider, servizi cloud, grandi aziende, istituti di ricerca e reti governative) di comunicare tra loro e instradare il traffico tra l'utente e i server di rete.

La tecnologia risale agli anni '80, un periodo in cui la sicurezza informatica non era esattamente una priorità, e nel corso degli ultimi anni è stata abusata per instradare il traffico verso i grandi provider come Google verso direzioni completamente diverse e magari in mano a malintenzionati.
https://www.bleepstatic.com/content/posts/2017/10/09/BGP-hijack.png

Per chiudere le falle di BGP, quindi, NIST e DHS hanno in questo anni sviluppato nuovi standard di sicurezza collettivamente noti come Secure Inter-Domain Routing (SIDR). L'obiettivo finale di SIDR è ovviamente garantire l'autenticità del percorso di routing del traffico impedendo la messa in pratica di qualsiasi tentativo di dirottamento (hijacking) del suddetto.

Tre i componenti essenziali dell'iniziativa SIDR, vale a dire l'uso di una infrastruttura di rete per la gestione delle coppie di chiavi crittografiche pubblico-privata RPKI (Resource Public Key Infrastructure), BGP Origin Validation per filtrare i percorsi BGP non autorizzati, e infine BGP Path Validation (anche noto come "BGPsec") per firmare digitalmente ogni percorso BGP per assicurare al traffico telematico un canale a prova di manomissione.

I protocolli di SIDR sono stati sottoposti all'attenzione dell'Internet Engineering Task Force (IETF) per la validazione e la ratifica da parte degli esperti, e i tempi di approvazione della nuova tecnologia anti-hijacking non dovrebbero essere particolarmente lunghi.

Alfonso Maruccia
Notizie collegate
  • SicurezzaInternet, il grande dirottamentoUna nuova ricerca evidenzia la crescente minaccia dell'hijacking del traffico di rete tramite attacchi man-in-the-middle, un modo per nascondersi alle analisi e condurre ogni genere di operazione nefasta