2019/06/19

Cloudflare lança novo serviço de protecção contra desvios de BGP


Existem inúmeros riscos à espreita na internet, mas um dos que causa maiores preocupações são os ataques BGP que podem ser utilizados para interceptar ligações seguras, e que a Cloudflare quer resolver com um novo serviço gratuito.

Raramente pensamos nisso, mas a internet é um autêntico milagre tecnológico. Quando pensamos em tudo o que é necessário para permitir que um dispositivo em qualquer ponto do mundo seja capaz de comunicar com qualquer outro dispositivo em qualquer outro lado do mundo, no meio de milhares de milhões de dispositivos na rede, e tudo isto numa fracção de segundo... é inspirador. E mais ainda quando nos recordamos que as fundações que permitem tudo isto, ainda hoje, foram criadas no século passado.


Pois bem, foi precisamente no século passado que também se desenrascou o BGP, o protocolo através dos quais os routers comunicam entre si para permitirem que as comunicações cheguem ao seu destino mesmo quando não se faz ideia de onde esse destino possa ser. O problema é que esse protocolo foi criado numa altura em que se assumia que essas instruções seriam sempre fidedignas, o que - como infelizmente sabemos - não é algo garantido nos dias de hoje. Graças a isso, podem ser desencadeados ataques que enganam secções da internet a reenviarem os seus dados para um servidor sob controlo do atacante em vez de seguirem o seu caminho normal. Quando isso acontece, um atacante pode enganar uma entidade emissora de certificados de segurança (pdf link), fazendo-a a pensar que é o legítimo detentor de um determinado domínio; com as desastrosas implicações a nível de segurança que isso tem.



Para o evitar, a Cloudflare propõe tirar partido da sua presença espalhada pelo globo, para comprovar que o acesso a um determinado domínio, para efeitos de emissão de um certificado de segurança, seja validado através de múltiplas rotas.

Isto porque os ataques BGP afectam normalmente apenas partes da rede, o que faz com que um atacante consiga desviar o tráfego de alguém que vá verificar o seu domínio numa determinada região; mas no resto do mundo os visitantes continuarão a ser redireccionados para o endereço legítimo. Se a validação para emissão de um certificado de segurança passar a ter em conta os resultados do acesso a partir de diferentes partes do globo, será fácil detectar qualquer tentativa de ataque BGP para este fim (a não ser que os atacantes conseguissem desviar o tráfego a nível mundial - o que será bastante mais difícil).

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]