Os incidentes de roteamento como porta de acesso para os golpes cibernéticos.
30/06/2020
Augusto Mathurin- Consultor do projeto FORT
Cada vez estamos mais conectados e a convergência entre nossa vida digital e analógica cresce a cada dia. Este fenômeno, que por si só já aumenta em grande velocidade, turbinou-se ainda mais com a crise provocada pela pandemia da COVID-19. Uma consequência óbvia por haver mais dispositivos conectados e mais pessoas dependendo dessas conexões, é o aumento dos atores que realizam ações mal-intencionadas na rede, e isso acarreta o incremento das tentativas de ataques cibernéticos.
Há tempo que as notícias relacionadas a incidentes e ataques na rede formam parte dos portais informativos convencionais, mas geralmente, estas notícias estão centradas em eventos que ocorrem nas camadas superiores da Internet, deixando de lado “sua tubulação”, ou seja, a camada de roteamento. Ainda falta muito caminho por percorrer para poder garantir que os incidentes de roteamento não sejam significativos.
Embora o público em geral não saiba o quão exposta está a rede neste nível, a comunidade técnica já vem abordando este desafio há muito tempo mediante o desenvolvimento e a implementação de diferentes soluções.
LACNIC em parceria com o NIC.MX desenvolveram o projeto FORT,
que dá andamento a sua campanha de implementação do RPKI na América Latina e no Caribe, com o intuito de aumentar a segurança e a resiliência dos sistemas de roteamento. Outras organizações como a Internet Society, abordam este problema através da sua iniciativa MANRS, que fornece soluções para reduzir as principais ameaças de roteamento.
Seu objetivo é dar suporte tanto para as operadoras de rede (ISP) quanto para pontos de troca da Internet (IXP). Esta problemática inclusive formou parte da agenda do Fórum Econômico Mundial, que tratou este assunto, criando um relatório com os Princípios de Prevenção do Crime cibernético para os Provedores da Internet. O quarto destes princípios anunciados é afiançar a segurança de roteamento e sinalização para reforçar uma defesa efetiva contra os ataques “, onde são recomendadas as ações propostas pela iniciativa de MANRS. Por outro lado, operadoras de rede como Cloudflare, uma das maiores provedoras de infraestrutura da nuvem a nível global, há anos vem realizando campanhas de promoção e implementação de medidas como o RPKI. Recentemente expressou que já está na hora de que as operadoras de rede evitem que os hijacks e leaks tenham um impacto. É hora de fazer com que o BGP seja seguro e não se admite mais desculpas.
Por que todas estas organizações estão tão focadas em assegurar a camada de roteamento da Internet? Quais podem ser as consequências por não atender a esta segurança?
Em primeiro lugar, é fundamental conhecer quais são os atores que têm interesse em provocar estes golpes cibernéticos, que não são necessariamente diretos ao roteamento da Internet, só assim será possível entender quais são seus principais objetivos e como as vulnerabilidades na camada de roteamento poderiam ser uma eventual porta de acesso para estes golpes.
De um lado, temos os responsáveis da atividade ilícita online, que de acordo com o relatório do Fórum Econômico Mundial, alcançará um custo de 6 bilhões de USD para 2021. Esta atividade é desenvolvida por diversos grupos que agem com maiores e menores escalas de sofisticação. Em seu conjunto, a atividade que eles realizam é enorme, e para ter uma ideia, basta procurarmos na pasta de lixo eletrônico de nossos correios pessoais para ver quantos e-mails maliciosos tentam realizar fraudes de forma massiva.
Por outro lado, muitos governos tentam censurar e controlar a atividade online. Grande parte dos novos usuários da Internet, tanto os que começaram a se conectar recentemente quanto os que vão se conectar por primeira vez em um futuro próximo, vivem em sociedades altamente censuradas. Vários estudos comprovaram as ações institucionais que têm como objetivo bloquear alguns tipos de conteúdo em diversos momentos. OONI (Open Observatory of Network Interference) é um projeto cujo objetivo é descentralizar os esforços para transparentar as tentativas de censura da Internet ao redor do mundo, que a partir de ferramentas de software livres detectam estes bloqueios e geram uma série de relatórios que expõem quando certos usuários da Internet são vítimas de censura.
Em síntese, existem ataques de espionagem, censura ou fraudes, para mencionar alguns. Mas, de que forma um golpista consegue explorar a camada de roteamento para alcançar estes objetivos? Realmente há risco?
Da mesma forma que aconteceu com a maioria dos protocolos da Internet, o BGP foi criado para um cenário muito diferente ao atual, no final dos anos 80, quando era necessário conectar apenas um punhado de redes. Naquele momento, a segurança não era um princípio fundamental que se levasse em conta, portanto o protocolo foi fortemente baseado em um jogo de confiança entre ambas as partes. Hoje em dia a realidade é outra. Com cerca de 100.000 sistemas autônomos registrados, já não é possível assumir que todos os seus participantes sejam confiáveis.
Quando acessamos um website, por exemplo, ambos os extremos (nosso dispositivo e o servidor que hospeda o portal) possuem um endereço IP que permite identificá-los. Desta forma, os pacotes de dados têm uma origem e um destino. Para ir de um extremo para o outro, os pacotes viajarão por diferentes redes e sistemas autônomos intermediários, rotas que são geradas a partir de anúncios do protocolo BGP.
Quando um sistema autónomo, seja por malícia ou por erro realiza um anúncio errado, pode fazer com que o tráfego se desvie até ele. Uma vez que o tráfego consegue redirecionar-se assim, é possível que ocorram os ataques mencionados anteriormente.
Imagem 1: Diferentes ataques cibernéticos que podem resultar a partir de um incidente de roteamento.
A pesar de que as operadoras de rede se esforçam cada vez mais, implementando filtro e RPKI, além de iniciativas de apoio, como o Projeto FORT do LACNIC, ainda ocorrem, diariamente, incidentes significativos.
No dia 6 de junho de 2019, a companhia suíça Safe Host (AS21217) provocou um vazamento de mais de 70.000 rotas até a China Telecom (AS4134), que, por sua vez, anunciou estas rotas ao resto da Internet. Isto gerou que grande parte do tráfego das operadoras móveis europeias fosse desviada até a rede da China Telecom.
No dia 1º de abril de 2020, o maior ISP russo, Rostelecom (AS12389) anunciou prefixos de grandes jogadores da Internet, como Akamai, Amazon AWS, Cloudflare, Digital Ocean, entre outros. Este sequestro de rotas foi executado durante aproximadamente uma hora e atingiu durante alguns minutos a importantes operadoras, como Cogent (AS174) e Level3 (AS3356), que por sua vez divulgaram estes anúncios pelo resto do mundo. Isto gerou inconvenientes em um número importante de ISPs.
Imagem 2: Evolução dos incidentes de roteamento nos últimos anos (fonte: https://bgpstream.com/)
Para conhecer mais casos de incidentes que causaram impacto na rede, consulte o relatório diagnóstico do projeto FORT, que além do mais, analisa incidentes de roteamento e sequestros de rota nesta região durante os últimos anos e explica detalhadamente os diferentes tipos de potenciais incidentes no protocolo BGP e como podem ocorrer.
Além disso, é possível consultar a ferramenta de monitoramento FORT, que apresenta, de forma simplificada, dados sobre o estado da segurança de roteamento na América Latina e no Caribe, assim como seu impacto sobre os usuários finais da Internet; esta ferramenta indica, por exemplo, que nos últimos 3 meses houve 5 sequestros de rota sobre a infraestrutura crítica.
Muita coisa aconteceu a partir daquele incidente de roteamento do AS7007 em 1997, até hoje. As cifras geradas por ataques e problemas de roteamento tornam-se incalculáveis na prática, são horas sem acesso a portais e serviços de Internet, prejuízo econômico por fraudes bem-sucedidas como hijack de Route53 de Amazon DNS, ou imensa quantidade de tráfego de Internet interceptado por sistemas autônomos desconhecidos. O roteamento já não pode depender da boa vontade de seus quase 100.000 sistemas autônomos, e a infraestrutura amadureceu com o desenvolvimento de ferramentas e boas práticas necessárias para mitigar este tipo de incidentes.
A pesar de que a maior parte dos esforços parecem centrar-se na segurança das camadas superiores da Internet, é certo que medidas de proteção implementadas a esse nível, como o cifrado de extremo a extremo reduzem o impacto dos golpes ao sistema roteamento da rede, não podemos garantir que contamos com uma Internet segura e confiável se as operadoras de rede não continuarem com seu trabalho para fortalecer o sistema de roteamento.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.