Você já deve ter percebido como as formas de explorar vulnerabilidades são cada vez mais criativas, não é? É por isso que a segurança sempre surge como uma das principais preocupações, e, a cada post, procuramos tratar sobre um tema diferente.
Ao longo do texto vamos explicar o que é BGP, como o hijacking ocorre, como evitar o problema e porque o BGP hijacking pode ser uma grande ameaça que gera indisponibilidade de rede e grandes prejuízos. Vamos lá?
O que é BGP?
O BGP é um protocolo de roteamento de rede, funcionando como um “serviço postal” na web. Se o correio encontra a rota mais adequada na hora de enviar uma carta, o BGP avalia os caminhos na hora do envio de dados para uma entrega mais curta e otimizada.
Ele é o protocolo de roteamento entre os Sistemas Autônomos (AS) – grupos de redes que contam com políticas de roteamento comuns – que permite a comunicação entre os principais roteadores da internet. Ou seja, esse protocolo é o que possibilita que a internet funcione. Sem a existência do protocolo BGP, um usuário não pode enviar e-mails ou acessar o Google.
O que é BGP hijacking ou sequestro BGP?
Assim como boa parte das tecnologias, o protocolo também tem suas vulnerabilidades. BGP hijacking é o uso malicioso do protocolo BGP, redirecionando o tráfego da internet ao comunicar falsamente a propriedade de prefixos de IP. Os IPs, nesse caso, são roteados para um domínio falso ou inexistente.
Sempre que prefixos de endereços IP são anunciados na internet por um Sistema Autônomo, são prontamente acatados por outros Sistemas Autônomos para que criem-se rotas e estabeleçam a comunicação entre si. Isso ocorre independentemente dos prefixos anunciados pertencerem a quem os anuncia. Por isso, detectar um BGP hijacking pode ser difícil.
O que acontece quando um protocolo BGP é sequestrado?
Explorar vulnerabilidades de roteadores e sistemas, e assumir o controle de vários prefixos é uma coisa que pode ser feita de várias formas diferentes. Não existe apenas uma possibilidade para o uso malicioso do protocolo BGP, como você vai ver a seguir.
Erro de configuração
A causa de BGP hijack mais comum é erro na configuração do protocolo. Um Sistema Autônomo, por falha humana, pode errar na hora de configurar algum prefixo ou rota e provocar um hijack não intencional. O Sistema Autônomo que sofreu o hijack vai ser impactado sem que o objetivo seja o roubo de dados.
Esse exemplo mostra o quão vulnerável pode ser a infraestrutura de internet e como uma configuração incorreta pode causar impactos em cadeia, mesmo que de forma não intencional.
Phishing
Entre as possibilidade para o desvio de tráfego de maneira maliciosa está o phishing. Em um BGP hijacking, você pode ser redirecionado para sites falsos, usados para coletar informações pessoais. A aparência é de uma rede social ou site bancário — ainda assim, os dados são fornecidos para os cibercriminosos.
Aqui, senhas, informações bancárias e números de cartão de crédito são os alvos prediletos. Os sites são as “iscas” e podem ser apagados depois da fraude, com o objetivo de eliminar as evidências do crime. A ideia é dificultar as investigações policiais.
O BGP hijacking ainda é usado para atingir empresas. Ao fraudar informações por meio de phishing, os cibercriminosos acessam dados de funcionários de altos cargos, por exemplo, e espalham e-mails com solicitações de documentos confidenciais aos funcionários.
Man-in-the-middle
Essa é uma outra possibilidade para o desvio de tráfego no BGP hijacking. Em ataques man-in-the-middle, os cibercriminosos modificam a comunicação entre navegadores e servidores na web. Aqui, aplicativos e empresas de e-commerce também são alvos.
O invasor, nesse caso, pode interceptar a conexão entre usuários e sites, servindo como proxy. O que isso significa? Na prática, que as informações, os cookies e os logins podem ser usados de forma maliciosa.
Outro alvo são os servidores DNS. Os IPs são encontrados na pesquisa DNS e sua falsificação leva o usuário para endereços falsos. Os servidores de e-mail também são frequentemente fontes de violação de dados.
Falsificação de IPs
A falsificação de IPs dá origem a ataques DDoS, usados para indisponibilizar um serviço ou rede na web com o uso de botnets para sobrecarregar os servidores em requisições simultâneas. A instabilidade, quando não mitigada, pode se tornar um prejuízo financeiro.
IPs modificados contam com endereços de origem diferentes, ocultando a identidade original. No caso dos ataques DDoS, a fraude ajuda a mascarar a fonte maliciosa, além de tornar o bloqueio mais difícil.
O BGP hijacking e a manipulação de rotas de Sistemas Autônomos podem contribuir para a falsificação de IPs com finalidades de spamming — mensagens indesejadas e, em vários casos, com um viés criminoso.
Como evitar o BGP hijacking?
O BGP hijacking não é um problema sem solução. Existem várias formas para evitar a prática, desde o monitoramento do tráfego até a identificação de atividades incomuns, como você vai ver a seguir.
Detecção
O BGP hijacking é denunciado por alguns sinais. Entre eles, um aumento na latência. O que isso significa? Pense da seguinte forma — latência significa atraso, certo? Nesse caso, o tempo em que uma solicitação é transferida.
Que solicitações são essas? Na maior parte das vezes, de um navegador para acessar um site. O indicador é medido em milissegundos e revela pistas sobre a velocidade da conexão. Algumas redes monitoram a latência justamente para evitar problemas como esse.
Tráfego mal-direcionado também denuncia o BGP hijacking, assim como quedas no desempenho da rede e no NRT (tempo de resposta da rede). Isso porque o roteamento incorreto é um dos objetivos principais.
Filtragem de prefixo IP
O filtro de IP é simples e autoriza ou nega conexões de acordo com endereços específicos, por meio da criação de perfis. Você pode inserir sub-redes e controlar o acesso, permitindo ou negando de acordo com as definições. Isso ajuda a impedir o hijacking e o Sistema Autônomo de aceitar comunicações falsas.
O BGP hijacking desvia as rotas durante uma conexão e, embora algumas vezes possa acontecer acidentalmente, tem usos maliciosos — como ataques man-in-the-middle, phishing e falsificações de endereços de IP.
Monitoramento automatizado
A identificação de uma configuração incorreta do protocolo BGP ou mesmo um hijack podem ser identificados com uma simples checagem manual ao looking glass, certo? A resposta é sim.
Mas sabia que esse tipo de problema pode ser detectado com mais agilidade e de forma automatizada?
Para o dia a dia dos profissionais de rede que têm muitas atividades, esse tipo de monitoramento automatizado traz mais eficiência e reduz o tempo gasto na solução de problemas e atendimento de suporte.
Soluções com painéis que monitoram rotas BGP são alternativas práticas para lidar com erros de configuração e hijacks.
E você? O que acha de aprender ainda mais sobre como aumentar a segurança na sua empresa? Então, não deixe de curtir nossa página no Facebook!