[FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole
Renato Frederick
frederick em dahype.org
Quarta Agosto 27 11:14:29 BRT 2008
Não vejo motivo para ganhar mais rugas ou cabelos brancos por causa disto.
A implementação é falha por design(assim como o Ipv4 é, a Ethernet é...) e,
um marginal dentro da telecom pode fazer o "ataque", da mesma maneira que
outro marginal pode avacalhar uma rede Ethernet com um notebook e
envenenamento de MAC...
Claro que as proporções são enormemente diferentes, mas o conceito é o
famoso "inseguro por design".
Quanto a substituir roteadores por maquinas rodando software, não entrarei
no mérito da questão, mas EU não trocaria indiferente desta ou outra
questão... creio que é mais uma questão gerencial/administrativa do que
técnica... tem muitos pontos para pesar e considerar, daria para fazer outro
OFFTOPIC :-)
> -----Original Message-----
> From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> Behalf Of Patrick Tracanelli
> Sent: Wednesday, August 27, 2008 11:01 AM
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Subject: [FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole
>
> Giancarlo Rubio escreveu:
> > "...The tactic exploits the internet routing protocol BGP (Border
> > Gateway Protocol) to let an attacker surreptitiously monitor
> > unencrypted internet traffic anywhere in the world, and even modify it
> > before it reaches its destination...."
> >
> > http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
> >
>
> Tai, um desse OFF TOPIC que dá gosto de ler :D
>
> Quando eu li esse artigo ontem a noite só consegui ter um pensamento:
> nossa senhora ehhuauha. Um cliente meu causou problema parecido,
> divulgando bitmask errado aos seus peers. O que me impressionou foi o
> peer (que não é qualquer operadora, por sinal é a principal) permitir.
> Quer dizer, não tem sequer uma regra pra validar isso. A gente tem um
> ambiente aqui em um cliente com iBGP e eBGP e quando um dos 4 peers
> nossos anunciam pro principal, temos regras de "deny" (no OpenBGP) pra
> garantir que uma "cidade" só anuncie o que realmente pertence a ela.
>
> Bom, mas o final do artigo deixa claro porque o Disclosure tá sendo
> feito: pra que os detentores de AS demandem solução eficiente. Quero ver
> coragem.
>
> A historia do YouTube foi comentada na lista OpenBSD Misc, mas eu não
> dei muita atenção. Será que foi um teste prático? hehehe.
>
> OpenBGP criptografa mas não assina as publicações, mas acredito que
> seria bem rápido e fácil fazer isso.
>
> Quero ver é o que vai acontecer agora se começarem a causar esses ataques.
>
> Porem, o problema do DNS é maior em proporção, porque teoricamente
> qualquer um consegue explorar. Ja o ataque MITM do roteamento BGP, o
> individuo tem que ser um AS válido. Mas, como ele reenvia o tráfego pro
> destino original, pode ser que ninguém nunca perceba... ou que perceba
> tarde demais.
>
> O bom é que se o o BGP se baseia em confiança, agora dependemos também
> de confiança, dos engenheiros de tráfego, pra que ninguem faca isso
> hehehe. O engraçado é que é uma coisa que todo mundo sempre soube. Fosse
> sem querer, fosse por crença e boa fé no ser humano, nunca se imaginou
> que isso pudesse estar sendo feito. Sempre tem aquele pensamento, "tem
> alguem cuidando disso...", pois é, mas nem sempre tem.
>
> Pra mim é só um motivo a mais pra defender commodity hardware redundante
> fazendo roteamento BGP, ao inves de Cisco ou Juniper. Um upgrade pra
> sBGP seria mais simples e menos oneroso do que um upgrade no PC do meu
> irmão pra jogar F.E.A.R.
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd