Protocollo Border Gate: una strana vulnerabilità dietro l'interruzione di Google di lunedì

Una manciata di servizi Google è scesa brevemente lunedì pomeriggio. Mentre l'interruzione era un piccolo inconveniente per la maggior parte, alcuni esperti di sicurezza cibernetica hanno sollevato allarmi le sue origini: Difetti di sicurezza nel protocollo del gateway di confine (BGP) che indirizza il traffico verso le regioni più remote del globo, un processo che a volte consente informazioni flusso attraverso i paesi che in genere non lo fanno.

La società ha dichiarato nella propria dichiarazione che la fonte dell'interferenza era "esterna a Google" e un portavoce ha successivamente chiarito che ritengono che la fonte esterna fosse un bug, al contrario di un dirottamento.

Ma ThousandEyes, una società di intelligence di rete che è stata una delle prime a indagare sull'interruzione, ha affermato che parte del traffico è stata dirottata verso gli ISP in Cina e Russia - due paesi non noti per il loro impegno a Internet gratuito e aperto o loro l'astensione dall'attività informatica cyber-correlata - è ancora motivo di preoccupazione, come ha fatto eco il ricercatore infosec Kevin Beaumont.

Ecco la traccia per l'interruzione di Google, hanno un grosso problema in corso causato dal dirottamento BGP, impatti anche sui clienti di Google Cloud http://t.co/rLBzBkC6M5 pic.twitter.com/bocLfGFlLa

- Kevin Beaumont 🥴 (@GossiTheDog), 12 novembre 2018

Cosa sapere sul protocollo Border Gate

In un post del blog sull'interruzione, Ameet Naik di Thousand Eyes afferma che il BGP rappresenta un problema sempre più urgente incorporato nel tessuto di Internet. Il BGP è un sistema basato sulla fiducia che collega gli ISP di tutto il mondo che si aiutano a vicenda e diffondono il traffico. Queste reti comunicano tra loro in modo autonomo e scelgono dove inviare le informazioni in base al percorso che dovrebbe essere il più efficiente.

Ma questo processo può essere manomesso fornendo agli ISP indirizzi IP sbagliati e quindi intercettando le informazioni quando si finisce nel posto sbagliato. È così che una manciata di hacker è stata in grado di sottrarre circa 17 milioni di dollari in Ethereum che era contenuto nei portafogli virtuali dalla società MyEtherWallet. Come il limite riferiti in aprile, quegli hacker sono stati in grado di attingere a uno scambio di Internet "nelle vicinanze di Chicago" e reindirizzare il traffico di MyEtherWallet attraverso un altro ISP russo. Hanno quindi utilizzato le informazioni in quel traffico per svuotare le tasche di alcuni dei clienti di MyEtherWallet.

Che sia un bug o un dirottamento, Thousand Eyes pensa che un problema simile abbia causato l'interruzione di Google: il traffico condiviso dall'ISP nigeriano e Google hanno erroneamente deciso di farsi strada attraverso la Cina mentre si recava in California. Le telecomunicazioni cinesi China Telecom hanno quindi accettato la rotta in un altro errore e, come Ars Technica spiega, altri ISP hanno seguito l'esempio, basandosi fondamentalmente sulle parole di China Telecom che i suoi server erano la strada più efficiente. Ciò ha comportato un discreto traffico di Google verso la Cina e, per estensione, il famigerato firewall Internet cinese.

I critici sostengono che questo tipo di singhiozzo si riposa in un problema fondamentale con il BGP, ovvero che si tratta di un protocollo sviluppato durante i primi giorni di Internet, quando le informazioni erano ospitate e condivise da una manciata di università e governi affidabili. Forse in modo minaccioso, poche aziende hanno le stesse risorse di Google per crittografare con cura le loro informazioni e impedire che vengano compromesse in questo modo, uno dei motivi per cui vale la pena prestare maggiore attenzione agli attacchi BGP.