Traffico di rete dirottato verso un operatore Russo: è giallo

Traffico di rete dirottato verso un operatore Russo: è giallo

Lo scorso 26 aprile per pochi minuti il traffico di realtà come Mastercard e Visa è passato per gli apparati di rete di un operatore di telecomunicazioni controllato dal governo Russo. Difficile sapere se si sia trattato di un attacco o di un errore umano

di pubblicata il , alle 17:21 nel canale Sicurezza
 

Un nuovo giallo nel panorama della sicurezza informatica: durante la giornata di mercoledì una consistente fetta del traffico di rete appartente a importanti realtà del mondo finanziario e tecnologico (Mastercard, Visa, UBS, Symantec ed EMC, per citarne alcune) è stato brevemente dirottato verso gli apparati di rete della società di telecomunicazioni Rostelecom con sede a Mosca e controllata dal governo Russo.

Cerchiamo di capire cosa è accaduto: di norma il traffico di rete per quelle società come MasterCard e Visa (e le altre paragonabili) viene instradato attraverso provider di servizi che le stesse società assoldano e autorizzano a questo scopo. Tramite le tabelle di routing del Border Gateway Protocol, il protocollo che instrada il traffico sulle dorsali della rete e tra gli ISP e in generale tra varie reti autonome, i provider autorizzati all'instradamento del traffico delle società di cui sopra vanno ad annunciare la proprietà di ampi intervalli di indirizzi IP delle società clienti.

Alle ore 3:36 pacific time di mercoledì 26 aprile Rostelecom ha improvvisamente annunciato la proprietà di una serie di indirizzi IP appartenenti alle società coinvolte nella vicenda: la diretta conseguenza, com'è facile intuire, è che il traffico da e per le reti coinvolte ha iniziato a passare tramite i router di Rostelecom. L'episodio ha avuto una durata compresa tra i cinque ed i sette minuti, ed al termine è stato ripristinato il normale instradamento del traffico.

Le anomalie del protocollo BGP non sono in realtà così infrequenti e di solito sono il risultato di un errore umano. E' certamente possibile che anche quanto accaduto mercoledì scorso sia frutto di un semplice errore, ma di contro è abbastanza improbabile che un incidente casuale si abbatta con precisione quasi chirurgica sulle società finanziarie. Gli errori accidentali, normalmente, portano a conseguenze più ampie ed indiscriminate, mentre quanto accaduto sembra indirizzato ad istituzioni finanziare. Sembra, insomma, che le tabelle di routing siano state modificate manualmente e in maniera opportunistica.

La vicenda potrebbe aver consentito a terze parti situate in Russia di intercettare o manipolare il traffico accidentalmente o intenzionalmente dirottato, intercettando magari informazioni sensibili tratte da dati non cifrati o violando la crittografia delle informazioni cifrate. Ciò detto, anche se i dati non fossero stati decrittati, gli eventuali malintenzionati potrebbero analizzare il percorso del traffico per individuare ad uno dei due capi potenziali bersagli.

Quanto accaduto sottolinea il pressante problema della fiducia che governi e società di tutto il mondo ripongono nel meccanismo di funzionamento di BGP. Per molto tempo e da più parti sono state proposte varie misure con lo scopo di permettere ai provider di servizi di annunciare gli indirizzi di quelle reti che sono autorizzati a instradare, anche se allo stato attuale delle cose non esiste alcun modo autorevole per poter fare questo. Per ora si può solo contare sull'attività di quelle realtà come Dyn o BGPmon che monitorano l'eventuale comparsa di annunci non autorizzati, anche se ovviamente la scoperta avviene a cocci già infranti.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium28 Aprile 2017, 17:34 #1
AZZ!
s-y28 Aprile 2017, 17:37 #2
ah che bello...
da seguire se ci saranno updates

se è stato un errore non vorrei essere chi l'ha fatto, in russia tra l'altro...

ps: il bello del bgp è che il traffico gira da solo
dr-omega28 Aprile 2017, 17:44 #3
"Traffico di rete dirottato verso un operatore Russo: è giallo "

Ma se è Russo, non dovrebbe essere rosso?
Il_Baffo28 Aprile 2017, 17:55 #4
Il protocollo BGP è alla base della resilienza e delle performance della rete, nessuna società (tantopiù finanziaria) dovrebbe fare affidamento sulla sola sicurezza del canale di comunicazione perché ci sarà sempre la possibilità che il messaggio venga intercettato, se avranno cifrato male i dati sarà solo una stata una loro negligenza.
ZannaMax28 Aprile 2017, 21:29 #5
Quindi se passa verso la Russia è male...se passa verso gli USA è bene? Povero mondo.
Notturnia29 Aprile 2017, 00:40 #6
Essendo società finanziarie americane ad passano dalla russia è sicuramente male.. povero mondo ingenuo
s-y29 Aprile 2017, 08:43 #7
invece che partire subito per la tangente...
come specificato e come ribadito, il punto è l'anomalia (il traffico normalmente fa altre strade, e cmq appunto le 'deviazioni' fanno parte di come funge il protocollo) e potrebbe essere benissimo un errore umano, risolto dopo circa 5 min...
anzi sinceramente penso sia la cosa più probabile, pur non escludendo niente
Tedturb029 Aprile 2017, 09:58 #8
Originariamente inviato da: Notturnia
Essendo società finanziarie americane ad passano dalla russia è sicuramente male.. povero mondo ingenuo


male per le societa americane, certamente :-)
kamon29 Aprile 2017, 12:22 #9
Originariamente inviato da: s-y
invece che partire subito per la tangente...
come specificato e come ribadito, il punto è l'anomalia (il traffico normalmente fa altre strade, e cmq appunto le 'deviazioni' fanno parte di come funge il protocollo) e potrebbe essere benissimo un errore umano, risolto dopo circa 5 min...
anzi sinceramente penso sia la cosa più probabile, pur non escludendo niente


Beh, hanno detto esattamente la stessa cosa nell'articolo.
s-y29 Aprile 2017, 12:33 #10
Originariamente inviato da: kamon
Beh, hanno detto esattamente la stessa cosa nell'articolo.


infatti non era in contrapposizione all'articolo...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^