‘Hacker’ russi, se usate carte di credito dovete sapere che…

Un nuovo giallo nel panorama della sicurezza informatica: durante la giornata di mercoledì (26 aprile scorso) una consistente fetta del traffico di rete appartenente a importanti realtà del mondo finanziario e tecnologico (Mastercard, Visa, UBS, Symantec ed EMC, per citarne alcune) è stato brevemente dirottato verso gli apparati di rete della società di telecomunicazioni Rostelecom con sede a Mosca e controllata dal governo Russo.

Cerchiamo di capire cosa è accaduto: di norma il traffico di rete per quelle società come MasterCard e Visa (e le altre paragonabili) viene instradato attraverso provider di servizi che le stesse società assoldano e autorizzano a questo scopo. Tramite le tabelle di routing del Border Gateway Protocol, il protocollo che instrada il traffico sulle dorsali della rete e tra gli ISP e in generale tra varie reti autonome, i provider autorizzati all’instradamento del traffico delle società di cui sopra vanno ad annunciare la proprietà di ampi intervalli di indirizzi IP delle società clienti.

Alle ore 3:36 pacific time di mercoledì 26 aprile Rostelecom ha improvvisamente annunciato la proprietà di una serie di indirizzi IP appartenenti alle società coinvolte nella vicenda: la diretta conseguenza, com’è facile intuire, è che il traffico da e per le reti coinvolte ha iniziato a passare tramite i router di Rostelecom. L’episodio ha avuto una durata compresa tra i cinque ed i sette minuti, ed al termine è stato ripristinato il normale instradamento del traffico.

Le anomalie del protocollo BGP non sono in realtà così infrequenti e di solito sono il risultato di un errore umano. E’ certamente possibile che anche quanto accaduto mercoledì scorso sia frutto di un semplice errore, ma di contro è abbastanza improbabile che un incidente casuale si abbatta con precisione quasi chirurgica sulle società finanziarie. Gli errori accidentali, normalmente, portano a conseguenze più ampie ed indiscriminate, mentre quanto accaduto sembra indirizzato ad istituzioni finanziare. Sembra, insomma, che le tabelle di routing siano state modificate manualmente e in maniera opportunistica.

La vicenda potrebbe aver consentito a terze parti situate in Russia di intercettare o manipolare il traffico accidentalmente o intenzionalmente dirottato, intercettando magari informazioni sensibili tratte da dati non cifrati o violando la crittografia delle informazioni cifrate. Ciò detto, anche se i dati non fossero stati decrittati, gli eventuali malintenzionati potrebbero analizzare il percorso del traffico per individuare ad uno dei due capi potenziali bersagli.

Quanto accaduto sottolinea il pressante problema della fiducia che governi e società di tutto il mondo ripongono nel meccanismo di funzionamento di BGP. Per molto tempo e da più parti sono state proposte varie misure con lo scopo di permettere ai provider di servizi di annunciare gli indirizzi di quelle reti che sono autorizzati a instradare, anche se allo stato attuale delle cose non esiste alcun modo autorevole per poter fare questo. Per ora si può solo contare sull’attività di quelle realtà come Dyn o BGPmon che monitorano l’eventuale comparsa di annunci non autorizzati, anche se ovviamente la scoperta avviene a cocci già infranti. (fonte)

Ti potrebbe interessare anche...