Chiunque pensasse di essersi lasciato il peggio alle spalle con la patch per i server DNS rilasciata nelle scorse settimane, dopo l’annuncio sulla vulnerabilità scoperta da Dan Kaminsky, dovrà ricredersi. Una nuova minaccia, in un certo senso più pericolosa della precedente, è stata svelata durante l’ultimo DefCon da Anton Kapela e Alex Pilosov : sfrutta un altro protocollo della rete, il BGP ( Border Gateway Protocol ), e in questo caso non ci sono patch o soluzioni tampone che tengano. Occorrerà cambiare qualcosa nella infrastruttura stessa di Internet.
La vulnerabilità del BGP non è un argomento nuovo. Da tempo si conoscono i limiti di questa tecnologia, legati al modo in cui è stata elaborata e sviluppata agli albori della rete: un tempo Internet si chiamava pur sempre Arpanet, e in quanto rete militare si supponeva che tutti i suoi componenti sarebbero appartenuti al ristretto nucleo di componenti delle forze armate. Un numero di utenti definito, dunque, e tutti con le autorizzazioni e la dovuta affidabilità necessarie ad accedere al network.
In pratica, grazie al BGP, il cerchio del routing – vale a dire del raggiungimento delle risorse desiderate in rete – viene chiuso: l’utente effettua una richiesta di un indirizzo nel suo browser, il server DNS traduce quella stringa in un numero, e i router degli ISP iniziano a cercare la strada migliore per raggiungere quella destinazione. Il protocollo in questione serve proprio a questo: informa i suoi vicini o chiunque ne faccia richiesta di quali indirizzi conosce e di quale efficacia abbia nel raggiungerli, lasciando al sistema richiedente la scelta su dove passare.
Il problema, hanno spiegato Kapella e Pilosov, è che il sistema così com’è non verifica se quanto dichiarato corrisponda a verità . La scelta avviene unicamente in base alle informazioni fornite, prediligendo il passaggio nei nodi meno affollati: se due sistemi rispondono entrambi di conoscere una strada per raggiungere l’IP desiderato, la scelta cadrà inevitabilmente su quello che dichiarerà un range più ristretto di indirizzi. Ad un malintenzionato basterebbe restringere il campo a poche decine di numeri per diventare immediatamente il punto di snodo del traffico desiderato, che potrebbe essere monitorato ( eavesdropping ), clonato o addirittura modificato prima di essere spedito a destinazione.
Come detto, non si tratta di una novità assoluta: i limiti di BGP erano noti, anche se fino ad oggi nessuno era stato in grado o aveva voluto mostrare pubblicamente un exploit – se di questo si può parlare, visto che non viene sfruttata alcuna falla o modificato alcunché. Un attacco del genere, l’ideale per lo spionaggio politico o industriale , sarebbe anche difficile da rilevare, poiché non lascia tracce evidenti sul suo cammino a meno che non ci si cimenti in grossolani tentativi di catturare enormi moli di traffico. Kapella e Pilosov hanno inoltre elaborato un sistema per rendere il tutto ancora più invisibile , evitando di coinvolgere troppi sistemi BGP sparsi in giro per il globo e dunque riducendo la portata del traffico dirottato in maniera fraudolenta.
La soluzione più ovvia, l’unica possibile, sarebbe trasformare il dialogo tra i diversi server di questi sottosistemi: da libero a soggetto ad autorizzazione. Le informazioni sulla strada da percorrere, i cosiddetti hop per raggiungere l’indirizzo di destinazione da quello di partenza, dovrebbero essere individuati attraverso il protocollo BGP, ma premettendo allo scambio delle informazioni – che attualmente è libero e immediato – una chiave criptata che ne convalidi l’autenticità. Chi non disponesse della chiave giusta non potrebbe inserirsi in questo circolo chiuso, e dunque nessuno potrebbe più “origliare” il traffico altrui senza essere scoperto.
Il problema però, spiegano gli esperti, è duplice. Da un lato se anche soltanto un ISP dovesse rifiutare di collaborare , automaticamente l’intero apparato risulterebbe inutile: basterebbe un singolo punto debole nella struttura per far crollare l’intero castello appena realizzato. Dall’altro, gli attuali apparati a disposizione dei provider non sono in grado di gestire questo tipo di modifica , e pertanto dovrebbero essere modificati, aggiornati o sostituiti per fare fronte a questa novità. Il costo dell’operazione non sarebbe indifferente, e non è detto che gli ISP – a meno di serie minacce o robuste proteste dei propri clienti – valutino la spesa in tempi brevi.
Luca Annunziata