La protezione del traffico di rete non è sicura come pensiamo, questo è ciò che emerge da un nuovo studio condotto dal centro nazionale tedesco di ricerca sulla cybersicurezza applicata, noto come ATHENE.

Secondo i ricercatori, l’infrastruttura nota come RPKI, ovvero Resource Public Key Infrastructure può essere violata. La notizia è sconcertante, in quanto la RPKI è prevista per proteggere l’instradamento del traffico di rete. A quanto pare, sotto alcune circostanze, la RPKI può essere aggirata, evitando dunque che il traffico venga reindirizzato per rubare i dati o instradare la connettività a scopi malevoli.

In sostanza, le varie reti interconnesse che costituiscono ciò che chiamiamo Internet, comunicano tramite il protocollo BGP (Border Gateway Protocol), andando a creare una mappa di routing di Internet stessa. In questo modo, quando ci connettiamo a una destinazione, i nostri pacchetti dati vengono inviati lungo il giusto percorso fino alla meta prefissata. In particolare, Internet è composta da reti note come sistemi autonomi o AS, che indicano i proprio prefissi degli indirizzi IP tramite i router alle altre reti tramite BGP, creando di fatto quella mappa di routing menzionata in precedenza.

Eventuali AS malevoli possono indicare prefissi falsi, che in realtà non detengono. Questo è il caso dell’operatore di telecomunicazioni russo RTComm.ru che, a marzo 2022, ha iniziato a indicare uno dei prefissi di rete di Twitter, probabilmente per intercettarne il traffico o reindirizzarlo in un cosiddetto sinkhole, per bloccare l’accesso al social.

Lo scopo delle RPKI è evitare il cosiddetto prefix hijacking associando gli indirizzi IP agli AS tramite firme digitali (ROA). Secondo ATHENE, però, solo il 40% dei blocchi di IP detiene certificati RPKI e solo il 27% li verifica.

Le RPKI danno la possibilità agli AS di convalidare le segnalazioni dei prefissi IP di altri AS, tramite la convalida dell’origine di instradamento o ROV, i router BGP possono stabilire se i percorsi siano validi o meno. Il problema è ch,e se non è disponibile la ROV nei punti di pubblicazione di rete, un router BGP considera il percorso sconosciuto, pertanto la RPKI non viene utilizzata per stabilire se instradare il traffico oppure no.

I ricercatori di ATHENE, partendo dall’assunto che viene data priorità alla possibilità di raggiungere le destinazioni rispetto alla sicurezza, sostengono che sia proprio qui l’origine della vulnerabilità.

Nell’ambito della ricerca presentata all’inizio dell’anno, viene descritto un attacco denominato “Stalloris“, che richiede il controllo ostile di un punto di pubblicazione RPKI. L’origine ostile della RPKI è impostata affinché gestisca le richieste il più lentamente possibile, in modo che la vittima continui a cercare informazioni dai punti di pubblicazione controllati. Dunque, il processo di verifica del percorso di rete viene ostacolato, con la conseguente disattivazione della RPKI, forzando la convalida del percorso stesso.

Secondo i ricercatori, all’inizio del 2021 tutti i prodotti più popolari utilizzati dalle rete per la convalida dei certificati RPKI erano vulnerabili. Alcune possibili soluzioni suggerite da ATHENE sono state implementate, ad esempio porre un limite alle catene di delega, modificare la gestione dei percorsi sconosciuti. Tuttavia, gli analisti non hanno certezza circa il tasso di adozione di queste strategie correttive.

Resta il fatto, preoccupante, che il 60% dei blocchi di IP non si avvale delle RPKI, pertanto il rischio di route hijacking rimane elevato.