A importância dos validadores do RPKI

11/07/2023

Por Jorge Cano – Arquiteto de Software Sênior do LACNIC

A Internet tornou-se uma ferramenta fundamental para o nosso dia a dia. Usada para trabalhar, para entretenimento, para organizar nossas férias e para muitas outras atividades. Porém, há algo que já aprendemos desde o começo, quanto à segurança: que não podemos confiar cegamente na informação que recebemos. Na Internet há atores maliciosos que tentam nos enganar ou emboscar com mensagens de SPAM ou Phishing, fingindo ser alguém conhecido, familiar, instituição bancária ou serviços. Com o tempo aprendemos a detectar e ignorar este tipo de ameaças, no entanto, temos de estar sempre atentos para não cair em uma dessas ciladas.

É bem provável que você esteja se perguntando qual é a relação entre o Phishing e os validadores do RPKI (Resource Public Key Infrastructure). Na verdade, a resposta é que nossos roteadores acreditam cegamente nos anúncios que recebem através de seus vizinhos, tornando-se assim vítimas de informação falsa. Porém, esta informação falsa não se deve necessariamente a atores maliciosos. Pode se dever também a erros humanos que causam danos a terceiros em razão de uma configuração malfeita.

Nesta categoria encontra-se um dos casos mais famosos que é o de Pakistan Telecom[1] em 2008, que por um erro gerou grandes problemas aos usuários do Youtube nessa região do planeta. Durante este incidente, o governo do Paquistão tentou bloquear o acesso ao Youtube de seus cidadãos, mas por erro, anunciou o prefixo do Youtube como se lhes pertencesse.  Isso fez com que todos os clientes da região acessassem ao Youtube através de uma rota mais curta, os sistemas de Pakistan Telecom, saturando-os e causando grandes problemas não apenas a eles, mas também ao Google e aos usuários desse lugar que queriam utilizar os serviços do Youtube. Isso é conhecido como o sequestro de rotas de BGP, o protocolo que utilizam os roteadores para se comunicarem. 

Porém, não se trata apenas de erros, também foram registrados casos onde o sequestro de rotas é utilizado de forma maliciosa. Em 2014, atacantes utilizaram esta técnica para desviar o tráfego, por alguns segundos, mediante um provedor de Internet canadense e conseguiram roubar uma quantidade importante de criptomoedas [2].

E é aqui que radica a importância dos validadores do RPKI, os quais proveem de informação os roteadores para que possam detectar estas mensagens falsas, quer seja por erro de configuração ou por malícia. Os validadores descarregam da Internet a base de dados assinada, conhecida como RPKI, que contém a relação entre os blocos de endereços IP e os ASN nos quais podem ser anunciados de origem; de posse dessa informação é possível detectar mensagens com rotas falsas ou erradas.

Existem várias implementações de validadores do RPKI compatíveis com um grande número de roteadores de software e comerciais. Entre as opções de código aberto estão:  Routinator de NLnetLabs, OctoRPKI Validator de Cloudflare e FORT Validator de LACNIC e NIC México.

Uma boa prática a levar em consideração é possuir um par de validadores diferentes instalados, a fim de ter redundância e diversidade de código. Se você já conta com validadores instalados, é de extrema importância realizar manutenção e atualização periódicas toda vez que sair uma nova versão estável, já que dia a dia são gerados aperfeiçoamentos e melhores práticas para o aprimoramento do desempenho e da segurança do ecossistema. De fato, se você já conta com um validador de RIPE instalado, leve em conta que esse projeto já terminou e não receberá atualizações [3][4], razão pela qual seu uso já não é recomendável.

No LACNIC estamos compromissados em continuar melhorando a segurança da Internet e fortalecendo a resiliência dos sistemas de roteamento, um componente fundamental na infraestrutura da Internet. Neste âmbito, surgiu o Validador FORT, em 2018, de livre acesso e código aberto que permite às operadoras validar a informação de roteamento do BGP contra o repositório do RPKI. Atualmente estamos trabalhando em uma última versão aprimorada do validador que será lançada nos próximos meses.

Referências

1. https://www.lacnic.net/innovaportal/file/2639/1/guillermo-rpki.pdf
2. https://www.wired.com/2014/08/isp-bitcoin-theft/
3. https://labs.ripe.net/author/nathalie_nathalie/lifecycle-of-the-ripe-ncc-rpki-validator/
4. https://blog.apnic.net/2021/02/17/ripes-rpki-validator-is-being-phased-out-so-what-are-the-other-options/