Due ricercatori di sicurezza hanno dimostrato una nuova tecnica in grado di intercettare e spiare di nascosto il traffico Internet, cosa che si pensava fosse precedentemente possibile solo per le agenzie di intelligence come la National Security Agency. La nuova tecnica sfrutta il protocollo di internet routing BGP (Border Gateway Protocol) per consentire ad un attacker di monitorare furtivamente il traffico internet non crittato in qualsiasi parte del mondo, ed anche di modificarlo prima che raggiunga la sua destinazione.

Questa nuova grande falla di Internet segue la scoperta di Luglio scorso di una serie di debolezze nel sistema DNS, identificate dal ricercatore Dan Kaminsky, che avevano già attirato l'attenzione globale sui buchi di sicurezza che affliggono i protocolli su cui si basa l'intero sistema Internet. Da quanto emerso dalla nuova dimostrazione, l'exploit del protocollo BGP sarebbe una problematica ancor più grave di quella identificata nel sistema DNS.

L'attacco man-in-the-middle sfrutta il protocollo BGP per ingannare i router e re-direzionare i dati verso un network spia. Tutti coloro che utilizzano un router BGP (ISP, grandi corporazioni o chiunque con un spazio in un carrier hotel) possono intercettare dati destinati ad un IP o ad un gruppo di indirizzi. L'attacco intercetta solo il traffico diretto agli indirizzi target, non quello che proviene da essi. Questo metodo può quindi essere utilizzato per spionaggio aziendale o nazionale, o anche da parte delle agenzie di intelligence che cercano di estrarre dati da internet senza la cooperazione degli ISP.

Le tecniche per spiare BGP sono state per lungo tempo considerate una debolezza teorica, ma nessuno finora le aveva dimostrate pubblicamente; ora Anton "Tony" Kapela, data center e network director presso 5Nines Data, e Alex Pilosov, CEO di Pilosoft, hanno mostrato questo tipo di metodologie di exploit durante la recente conferenza hacker DefCon. I ricercatori sono riusciti ad intercettare con successo il traffico al confine del network della conferenza ed a direzionarlo verso un sistema controllato a New York, prima di eseguirne il re-routing al DefCon a Las Vegas.

Bisogna evidenziare che questa tecnica non sfrutta un bug o una falla in BGP, bensì esegue un exploit del modo in cui BGP funziona naturalmente. Kapela commenta: "Non stiamo facendo nulla di straordinario … Non ci sono vulnerabilità, errori nel protocollo, nessun problema software. Il problema deriva dal livello di interconnettività richiesto per mantenere questa confusione, per far funzionare il tutto". Il problema risiede nell'architettura stessa di BGP, che è basata sulla "fiducia": se una e-mail parte da un network per raggiungerne un altro, i provider e gli altri comunicano tramite i router BGP in modo da indicare la strada più rapida ed efficiente per completare la comunicazione. BGP tuttavia presume che quando un router afferma di trovarsi sul percorso migliore, stia effettivamente dicendo la verità. Questo permette agli attacker di ingannare i router ed "origliare" il traffico in transito, in quello che si definisce un attacco di "IP hijack", tecnica non certo nuova. La novità del metodo descritto da Pilosov sta nel fatto che l'hijack degli IP non viene eseguito in modo permanente, il traffico infatti viene silenziosamente re-inviato alla sua destinazione originale, senza causare outage facilmente identificabile (la corretta lettura delle tabelle di BGP routing richiede alta perizia tecnica) e rettificabile (anche le operazioni di filtering da parte degli ISP sono una mansione alquanto complessa).

Una soluzione più definitiva per questa problematica includerebbe l'implementazione di un sistema di autenticazione di proprietà dei blocchi IP tramite certificati firmati, con validazione degli AS (Autonomous Systems) inviati ai router. Per rendere questa metodologia efficace, i ricercatori della BBN Technologies hanno sviluppato un nuovo protocollo "Secure BGP (SBGP)" che richiederebbe ai router BGP di firmare digitalmente con chiave privata tutti i prefissi di advertisement da essi propagati. Il problema di questo metodo tuttavia sta nel fatto che i router attualmente non hanno sufficiente potenza di memoria e processing per generare e validare firme, e gli ISP non sembrano per ora interessati ad affrontare i maggiori costi associati al upgrade a questo tipo di infrastruttura, anche alla luce del fatto che non sono ancora stati identificati attacchi in-the-wild che sfruttano queste tecniche di exploit.