China secuestra tráfico de internet usando BGP

china

Recientemente China ha sido acusada de haber secuestrado el Protocolo de Puerta de Enlace de la Internet (BGP) para llevar a cabo una vigilancia encubierta de Man in the Middle en países y compañías occidentales.

BGP controla cómo se enruta el tráfico entre las subdivisiones de Internet conocidas como sistemas autónomos (AS). Asegura que el tráfico llegue a los servidores correctos. Generalmente, poder comprobar lo que está sucediendo con la evidencia técnica es extremadamente difícil cuando se acusa a las naciones de actividades infames de Internet. Eso también debería ser cierto para el secuestro de BGP, donde los ataques deliberados pueden ser difíciles de distinguir de la configuración incorrecta del enrutador inocente.

Sin embargo, los autores de 'El secuestro de BGP por parte de China' La máxima de China - No dejar punto de acceso sin explotar: la historia oculta de China Telecom 'dice que analizaron datos de un sistema especial de rastreo de rutas ubicado en la Universidad de Tel Aviv que es capaz de detectar patrones inusuales de BGP.

Desde 2016, esto les ayudó a captar una serie de eventos de enrutamiento inusuales que, en su opinión, fueron demasiado consistentes en su duración y escala para ser considerados como accidentes.

¿Pero qué es el secuestro BGP de todos modos?

La infame ilustración sería el secuestro de 2008 de la Autoridad de Telecomunicaciones de Pakistán (PTA) del tráfico de YouTube para bloquear un video. El enfoque mal ejecutado de la PTA fue tratar de canalizar todo el tráfico a un subconjunto de direcciones IP pertenecientes a Google que dio acceso al video en el país. Esto se hizo a través de BGP, que anunciaba a Pakistan Telecom como la ruta a esta dirección, que otros enrutadores de BGP notaron que era más específica en su dirección que la ruta normal de Google.

Los enrutadores BGP están programados para favorecer esta especificidad, por lo que este nuevo enrutamiento se perpetúa en la mayor parte de Internet. El resultado: YouTube bajó, globalmente, durante dos horas, ya que todo su tráfico fue a Pakistan Telecom para ser arrojado a un sumidero. Quizás haya habido un accidente, pero ha habido otros incidentes, incluso extraños, entre ellos uno relacionado con China Telecom en 2010, en el que el BGP erróneo vio hasta el 15% del tráfico de Internet del mundo enrutado a través de Puntos de Presencia (POP) controlados por la empresa.


Los investigadores afirman que China Telecom esencialmente ha estado haciendo lo mismo otra vez: abusó de BGP para enrutar el tráfico de la red internacional a través de sus POP, de los cuales tiene ocho ubicados en los EE. UU. Y dos en Canadá. Estos incluían meses de rutas de "secuestro" de Canadá a Corea en 2016, que hicieron que el tráfico tomara más desvíos hacia China antes de completar su viaje o el tráfico de EE. UU. a un banco en Milán, Italia, que se desvió a través de los POP de China Telecom de una manera que solo se destacó porque nunca llegó.

Los investigadores ofrecen varios ejemplos más, concluyendo:

"Si bien se puede argumentar que tales ataques siempre pueden explicarse por un comportamiento BGP "normal", estos, en particular, sugieren intenciones maliciosas, precisamente debido a sus características de tránsito inusuales, es decir, las rutas alargadas y las duraciones anormales.

Una defensa contra el secuestro de BGP es el cifrado TLS.
No detiene el reencaminamiento, pero si alguien desvía el tráfico web, de correo electrónico o DNS cifrado con TLS a través de su POP, debería ser ilegible".

En teoría, un atacante aún puede falsificar un certificado TLS, lo que sirve como un incentivo para usar capas adicionales de seguridad TLS, como el HTTP Public Key Pinning (HPKP). Pero quizás la preocupación tácita sobre el secuestro de BGP es que si China lo está haciendo, tal vez otros países con recursos y motivaciones similares también lo hagan. Otro argumento, si fuera necesario, para el cifrado en todas partes.

Están en camino soluciones más fundamentales al problema de BGP, como la validación de origen de ruta (ROV) de BGP, pero aún podrían pasar años antes de que se implementen.

Síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila