Internet è una rete di reti, come sappiamo, e la sua infrastruttura è molto complessa. Ogni operatore (tecnicamente chiamato Autonomous System, AS) gestisce un gran numero di router di backbone che instradano i dati in modo automatico, ma paradossalmente la loro sicurezza è quasi nulla: password e login per accedere e fare modifiche si trovano in pochi secondi, come hanno scoperto Mariano Graziano e Luca Bruno di Eurecom.
I due ricercatori sostanzialmente hanno rilevato che basta una ricerca su Google per recuperare i dati di accesso a moltissimi router. Hanno inoltre scoperto una serie di ulteriori problemi di sicurezza, individuando una cinquantina di operatori vulnerabili, ma la ricerca prende in considerazione un campione limitato (rispetto al gran numero di operatori esistenti a livello mondiale), quindi è possibile che gli stessi problemi si trovino anche altrove.
Le falle (sono più di una) sono da ricondurre alle applicazioni web usate per il monitoraggio dei router. In teoria servono ai tecnici per accedere in remoto e non dovrebbero permettere operazioni pericolose, ma Graziano e Bruno hanno dimostrato che basta ben poco per prenderne il controllo e fare danni. Non c'è bisogno nemmeno di essere hacker di élite, anzi è sufficiente qualche competenza di base.
I due ricercatori hanno presentato i propri lavori in occasione delle DefCon 22, e li porteranno anche alla WOOT14. La presentazione (versione PDF) è impietosa, e ben commentata da ciò che altri esperti di sicurezza hanno detto in proposito di questa ricerca "Attacchi a vecchie web-app che nessuno ha mai controllato ma che sono usate su sistemi di alto valore. Il risultato? Un bagno di sangue".
Graziano ci ha scritto che "l'impatto della ricerca è alto in quanto idealmente basterebbe un solo accesso ad uno di questi router (di backbone) per creare grossi problemi". Una volta che si prende il controllo di questi sistemi si possono fare danni molto rilevanti, che vanno dal furto di password e login alla manipolazione del traffico.
Potenzialmente, nota Andrea Allievi (Senior Security Researcher, Cisco) "un hacking di quel tipo permetterebbe di spegnere determinate porzioni di Internet per qualche ora - dove quei router BGP vulnerabili vengono usati per collegare i differenti AS".
Graziano però fa notare che almeno in teoria fare danni enormi non dovrebbe essere possibile. Ammesso e non concesso che i tecnici responsabili abbiano seguito le best practices. Il condizionale però non è solo obbligatorio, ma anche molto fragile.
"Per motivi legali ed etici ovviamente non abbiamo provato a cambiare le rotte (le tabelle di routing di questi router)", spiega Graziano, "e ci siamo limitati a test su nostri sistemi in ambienti controllati. Tuttavia dati storici indicano che un vero attaccante sarebbe concretamente in grado di manipolare l'instradamento del traffico globale a partire da questi 50 AS."
Il ricercatore ci fa poi notare che i problemi ci sono già stati: nell'aprile 2014 furono diffuse molte tablle di routing e Akamai – il più grande network per la distribuzione di contenuti – ebbe qualche gatta da pelare, per alcune ore. Solo una decina di giorni fa, poi, gli esperti di Dell hanno rilevato un attacco contro 51 diverse reti, alcune delle quali appartenenti a giganti come Amazon. L'obiettivo era reindirizzare il traffico di alcuni miner di bitcoin, appropriandosi della valuta virtuale. Si stima che l'operazione sia stata attiva tra febbraio e maggio 2014, e abbia portato a profitti per 83.000 dollari. Come nota a margine, vale la pena notare che si è trovato un modo piuttosto originale di rubare Bitcoin.
In sostanza la ricerca di Graziano e Bruno dimostra che le buone pratiche riguardo alla sicurezza restano inattese proprio in quei contesti dove sarebbero più importanti. Inoltre hanno fatto emergere con chiarezza che ci sono software vecchi di quasi vent'anni ai quali sono ancora affidate infrastrutture critiche, e che ci sono vulnerabilità anche gravi che alcuni criminali stanno già sfruttando. Speriamo che chi di dovere corra ai ripari al più presto!