A Federal Communications Commission (FCC), órgão regulador das comunicações nos Estados Unidos, apresentou no dia 6, quinta-feira passada, uma proposta para a criação de novas regras sobre a gestão do BGP (border gateway protocol). Elas exigirão que os nove maiores provedores de banda larga dos EUA apresentem relatórios confidenciais sobre o estado das suas defesas para o BGP.
Os relatórios devem conter informações sobre as medidas que as empresas tomaram ou planejam tomar para mitigar as vulnerabilidades de roteamento da Internet baseadas no BGP. Provedores menores não precisarão apresentar relatórios à FCC, mas devem ter os dados disponíveis para o caso de serem solicitados. A FCC começou a trabalhar nas novas exigências de relatórios em fevereiro de 2022, após relatos de empresas de telecomunicações chinesas e russas terem sequestrando o tráfego da Internet dos EUA fazendo alterações de rotas em tabelas BGP. O Departamento de Defesa e o Departamento de Justiça dos EUA estão apoiando o esforço da FCC para melhorar a segurança do BGP, vendo as fragilidades como ameaças à segurança nacional.
Como o BGP será protegido
Que organizações estão autorizadas a utilizar o protocolo BGP para propagar rotas? No passado, não havia esse tipo de preocupação, mas o dia-a-dia da rede, nos últimos anos, mostrou que era preciso acrescentar camadas de segurança no uso desse protocolo. Hoje, há um movimento entre os gestores dos sistemas autônomos (abreviados como “AS”, que são os conjuntos de IPs administrados por determinadas organizações) para que implantem a infraestrutura RPKI (Resource Public Key Infrastructure), dando segurança o anúncio de rotas nas operações com o BGP.
O RPKI associa cada anúncio de rota com o AS que o publicou.
O RPKI é um método criptográfico para assinatura de registros, que associa cada anúncio de rota do BGP com o número do AS que o publicou. Muitos AS já fizeram a sua implantação – como é o caso dos grandes operadores de rede internacionais -, mas muitos ainda usam o BGP sem a garantia do RPKI, e portanto sem assinatura no registro de cada rota. Esses registros ficam na mesma situação de um prestador de serviço que pede acesso ao condomínio, mas não tem credenciais para exibir. Em abril de 2018, um anúncio de rota malicioso (sem assinatura RPKI) desviou para um endereço na Ucrânia o tráfego destinado à empresa MyEtherWallet, que fica na Alemanha. O desvio favoreceu o roubo de um valor equivalente a US$ 160 mil dos usuários da MyEtherWallet.
Esse e outros fatos no dia-a-dia da Internet mostraram a necessidade de implantação do RPKI como camada de segurança. Quando a Internet foi inventada e começou a operar, quando ainda era uma rede pequena e administrada por poucas pessoas, elas usavam o BGP anunciando novas rotas e faziam também as correções ou atualizações necessárias de um AS, e todos sabiam que aquelas alterações tinha sido feitas por alguém responsável e com o conhecimento necessário.
Fonte: CisoAdvisor
