El miércoles pasado en la conferencia de seguridad BlackHat en Las Vegas hubo dos pláticas dedicadas a BGP hijacking o secuestro BGP, destacando la importancia de este tema para la comunidad de seguridad.
En uno de ellos, un investigador de seguridad de Rusia llamado Artyom Gavrichenkov mostró cómo los atacantes podrían realizar un ataque de secuestro BGP que afectaría sólo a una pequeña región geográfica, pero que podría ayudarles a engañar a una autoridad certificadora para que expida un certificado válido a un nombre de dominio de su propiedad.
Para que esto funcione, los atacantes tendrían que escoger un sitio web de destino cuya dirección IP es parte de un Sistema Autónomo (SA) situado en una región diferente del mundo. Por ejemplo, los atacantes en Asia podría apuntar Facebook. A continuación tendrían que elegir una autoridad certificadora (AC) local que esté cerca del sistema autónomo impostor desde donde el ataque se originará.
El objetivo del ataque sería hacer que la autoridad certificadora del ISP creyera que la dirección IP de Facebook es administrada por el SA impostor en lugar de la verdadera dirección Facebook. El por qué de escoger un objetivo lejano es reducir las posibilidades de que el SA real se de cuenta del secuestro; en esencia, que una pequeña porción de Internet cree que Facebook es parte de una red diferente.
El proceso de obtención de un certificado TLS para un dominio consiste en probar que la persona que solicita el certificado tiene el control del nombre de dominio. Esta comprobación se puede realizar de forma automatizada de varias maneras: mediante la subida de una página especial proporcionada por la AC al servidor donde se encuentra alojado el nombre de dominio, mediante el envío de un correo electrónico a la dirección que aparece en el registro WHOIS del dominio o mediante la creación de un registro TXT para el dominio. Sólo uno de estos métodos es suficiente para confirmar la propiedad.
Crear una página en el servidor que aloja el dominio es la validación más fácil de pasar mediante un ataque de secuestro BGP. El atacante tendría que configurar un servidor web, crear la página y a continuación anunciar rutas falsas de la dirección IP de Facebook. Esas rutas se propagarán afectando regionalmente a la autoridad certificadora y engañándola para suponer que la página fue realmente alojada en el dominio de Facebook. El AC entonces emitiría el certificado SSL.
El certificado digital fraudulento, aunque válido, se podría utilizar para lanzar ataques man-in-the-middle contra los usuarios de Facebook en todo el mundo, no sólo en la región donde ocurrió el secuestro BGP.
La infraestructura de certificado digital actual que sustenta las comunicaciones seguras en Internet no toma en cuenta defectos de enrutamiento en cuenta, dijo Gavrichenkov. Debido a que está integrado en todo, desde computadoras de escritorio a dispositivos embebidos y teléfonos móviles, no puede ser cambiado fácilmente, dijo.
El problema de fondo es con el protocolo de enrutamiento de Internet y la falta de aplicación de las prácticas de seguridad recomendadas. Sin embargo, el tema de secuestro BGP se conoce desde hace mucho tiempo y el investigador cree que es poco probable que se corrija en un corto plazo.
Esfuerzos como el marco Certificate Transparency propuesto por Google o los mecanismos de certificación usando un PIN implementados en algunos navegadores podrían ayudar a detectar cuándo se emiten los certificados de delincuentes, pero eso es más una solución que una corrección, ya que no están ampliamente adoptados todavía.
Fuente:https://www.seguridad.unam.mx/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad