A importância dos validadores do RPKI
11 de julho de 2023
Por Jorge Cano – Arquiteto de Software Sênior do LACNIC
A Internet tornou-se uma ferramenta fundamental para o nosso dia a dia. Usada para trabalhar, para entretenimento, para organizar nossas férias e para muitas outras atividades. Porém, há algo que já aprendemos desde o começo, quanto à segurança: que não podemos confiar cegamente na informação que recebemos. Na Internet há atores maliciosos que tentam nos enganar ou emboscar com mensagens de SPAM ou Phishing, fingindo ser alguém conhecido, familiar, instituição bancária ou serviços. Com o tempo aprendemos a detectar e ignorar este tipo de ameaças, no entanto, temos de estar sempre atentos para não cair em uma dessas ciladas.
É bem provável que você esteja se perguntando qual é a relação entre o Phishing e os validadores do RPKI (Resource Public Key Infrastructure). Na verdade, a resposta é que nossos roteadores acreditam cegamente nos anúncios que recebem através de seus vizinhos, tornando-se assim vítimas de informação falsa. Porém, esta informação falsa não se deve necessariamente a atores maliciosos. Pode se dever também a erros humanos que causam danos a terceiros em razão de uma configuração malfeita.
Nesta categoria encontra-se um dos casos mais famosos que é o de Pakistan Telecom[1] em 2008, que por um erro gerou grandes problemas aos usuários do Youtube nessa região do planeta. Durante este incidente, o governo do Paquistão tentou bloquear o acesso ao Youtube de seus cidadãos, mas por erro, anunciou o prefixo do Youtube como se lhes pertencesse. Isso fez com que todos os clientes da região acessassem ao Youtube através de uma rota mais curta, os sistemas de Pakistan Telecom, saturando-os e causando grandes problemas não apenas a eles, mas também ao Google e aos usuários desse lugar que queriam utilizar os serviços do Youtube. Isso é conhecido como o sequestro de rotas de BGP, o protocolo que utilizam os roteadores para se comunicarem.
(Acesso livre, não requer assinatura)
Porém, não se trata apenas de erros, também foram registrados casos onde o sequestro de rotas é utilizado de forma maliciosa. Em 2014, atacantes utilizaram esta técnica para desviar o tráfego, por alguns segundos, mediante um provedor de Internet canadense e conseguiram roubar uma quantidade importante de criptomoedas [2].
E é aqui que radica a importância dos validadores do RPKI, os quais proveem de informação os roteadores para que possam detectar estas mensagens falsas, quer seja por erro de configuração ou por malícia. Os validadores descarregam da Internet a base de dados assinada, conhecida como RPKI, que contém a relação entre os blocos de endereços IP e os ASN nos quais podem ser anunciados de origem; de posse dessa informação é possível detectar mensagens com rotas falsas ou erradas.
Existem várias implementações de validadores do RPKI compatíveis com um grande número de roteadores de software e comerciais. Entre as opções de código aberto estão: Routinator de NLnetLabs, OctoRPKI Validator de Cloudflare e FORT Validator de LACNIC e NIC México.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.