Il 24 luglio scorso l’autonomous system 25459 ha annunciato oltre 300 IP non suoi appartenenti anche ad istituti di credito di tutto il mondo.
Per la spiegazione di come funzionano gli autonomous system (AS), sulla loro importanza e sul significato della terminologia utilizzata vi rimando a questo articolo pubblicato un paio di anni fa.
Con ogni probabilità il BGP dell’AS25459 è stato in qualche modo hackerato e costretto ad annunciare IP non suoi.
Guardando i report del RIPE riprodotto qui sopra si vede che nel giorno dell’incidente l’AS ha annunciato dei blocchi /32 (un singolo IP), cosa molto strana per un AS, il cui limite inferiore è di solito /24. Dal momento che ogni annuncio occupa un record nelle tabelle dei router, più si aggregano i blocchi e meno si caricano i router. Purtroppo l’esaurimento dell’IPv4 ha portato ad una certa frammentazione dei blocchi, ma annunciare un singolo IP /32 è (almeno per ora) sintomo di un hacking o di una errata configurazione di un router di confine.
Il 24 luglio uno stesso IP era annunciato da due AS diversi: quello legittimo e l’AS25459 hackerato; in questo caso il protocollo BGP sceglie il routing migliore e c’è la concreta possibilità che sia quello hackerato anziché quello legittimo.
Prendiamo ad esempio l’IP annunciato 203.112.92.133/32. Se andiamo a vedere il WHOIS capiamo che è un IP asiatico appartenente ad una sede di Hong Kong di HSBC su cui è configurato un server web in HTTP e HTTPS con certificato relativo a www.apps.asiapacific.hsbc.com emesso da Verisign.
Se l’attaccante fosse riuscito a creare un host con IP 203.112.92.133 all’interno dei confini dell’AS25459 gran parte del traffico verso quell’IP (di sicuro quello proveniente dall’Europa) sarebbe finito verso l’host fittizio e non verso il vero host di Hong Kong. Chi si sarebbe collegato in HTTPS a www.apps.asiapacific.hsbc.com si sarebbe trovato davanti ad un errore di certificato, ma in quanti si sarebbero fermati?
Un altro IP annunciato, 216.115.77.181, è del Nord America ed appartiene alla ditta di giochi Jagex e il certificato HTTPS emesso da DigiCert dice che viene utilizzato dal MMORPG RuneScape. In questo caso un server fantasma configurato con quell’IP avrebbe potuto rubare le credenziali e i dati anagrafici dei giocatori attraverso tecniche di social engineering.
Se un IP annunciato in maniera fraudolenta fosse quello di un mail server, si potrebbe configurare un finto mail server che accetta ogni tipo di mail e leggere le comunicazioni. E così via.
Questo tipo di attacco non è nuovo, ma dimostra come la sicurezza debba essere applicata a tutti gli strati della comunicazione. (via ISC)
Lascia un commento