Posso rilevare un dirottamento BGP dalla mia rete domestica?

Non direttamente. Il dirottamento è a monte; il tuo traffico scorre verso la destinazione sbagliata ma te ne accorgeresti solo se la destinazione si comporta in modo sbagliato (avvisi sul certificato, servizi non familiari). HTTPS rende visibile la maggior parte dei dirottamenti tramite errori TLS; i servizi IP puri sono più difficili da rilevare.

RPKI previene tutti i dirottamenti BGP?

Previene i dirottamenti dell'origine (falsi AS che originano un prefisso). Non impedisce gli attacchi di spoofing del percorso in cui il percorso AS viene falsificato. RPKI è la difesa pratica per il tipo di attacco più comune; BGPsec chiuderebbe il resto ma non viene distribuito.

Con quale frequenza si verifica il dirottamento BGP?

Ogni giorno si verificano piccoli incidenti: la maggior parte sono configurazioni errate piuttosto che attacchi. Gli incidenti gravi che interessano un traffico significativo sono più rari (una manciata all'anno). La capacità di rilevamento è migliorata, quindi gli incidenti che sarebbero passati inosservati nel 2010 verranno pubblicizzati nel 2024.

Un piccolo ISP può causare un'interruzione globale?

Sì, con il filtraggio sbagliato presso i fornitori a monte. La maggior parte dei grandi vettori ora filtra gli annunci dei clienti in base alle rotte previste; un upstream mal configurato che non filtra può consentire agli errori di un piccolo ISP di propagarsi a livello globale. Migliori pratiche di filtraggio hanno ridotto ma non eliminato questo rischio.

I computer quantistici interromperanno la firma BGP?

RPKI utilizza firme RSA, che in linea di principio sono vulnerabili ai dati quantistici. La migrazione verso firme post-quantistiche è una preoccupazione futura ma non urgente: non esistono ancora computer quantistici abbastanza grandi da violare le chiavi RPKI. La tempistica di distribuzione RPKI offre ampio spazio per la migrazione prima che diventi urgente.

Spiegazione del dirottamento BGP: quando il routing di Internet mente

Il dirottamento BGP avviene quando una rete annuncia falsamente la proprietà di indirizzi IP che non controlla. Il protocollo di routing di Internet ci crede, il traffico scorre verso la destinazione sbagliata e le conseguenze vanno dalle interruzioni accidentali alla sorveglianza deliberata. La correzione, RPKI, è andata avanti ma non è completa. La categoria rimane una minaccia infrastrutturale di alto livello.

Il corpo completo dell'articolo è fornito in inglese di seguito.

BGP hijacking è l'attacco (o l'incidente) in cui un Sistema Autonomo annuncia la proprietà di prefissi IP che non gli appartengono. I router BGP in tutto il mondo accettano l'annuncio (perché il BGP tradizionale non ha autenticazione) e iniziano a instradare il traffico per quei prefissi al dirottatore. Il danno può includere interruzioni del servizio, intercettazione del traffico e furto di credenziali.

Come funziona

BGP è il protocollo che propaga i percorsi Internet tra AS: consulta il nostro articolo BGP. Il flusso semplificato:

LL'AS del dirottatore annuncia "Ho un percorso per prefissare X."I router
BGP ricevono l'annuncio e lo confrontano con altri percorsi che conoscono.
Se l'annuncio del dirottatore è più specifico (prefisso più lungo) o ha un percorso AS più breve, i router preferiscono it.
Traffico destinato al prefisso X ora scorre attraverso l'AS.
Lil dirottatore può oscurare il traffico (denial of service), monitorarlo (sorveglianza), modificarlo (man-in-the-middle) o passarlo in modo trasparente durante la raccolta dei metadati.

LProblema a livello di protocollo: BGP tradizionalmente accetta chiunque annuncia più forte. Non esiste alcuna prova che l'annunciatore possieda effettivamente il prefisso.

Tipi di dirottamento BGP

Origin hijack. AS X annuncia un prefisso di proprietà di AS Y. Più comune. Spesso errori di configurazione accidentali.
Prefix hijack. Annuncio di un sottoinsieme più specifico del prefisso di qualcun altro. Vince le decisioni di routing perché sono preferiti percorsi più specifici.
Path hijack. Annuncio di un percorso AS falsificato. Più sottile; più difficile da rilevare.
Blackholing. Annuncio di un prefisso per assorbire il traffico e rilasciarlo. Utilizzato sia in modo dannoso (DoS) che difensivo (mitigazione DDoS).
Dirottamento con prefisso secondario con MITM. Instradamento del traffico dirottato verso la sua destinazione reale dopo averlo osservato/modificato. La variante più dannosa.

Incidenti famosi

Pakistan/YouTube (2008). Pakistan Telecom ha tentato di bloccare YouTube a livello nazionale annunciando localmente un prefisso YouTube più specifico. L'annuncio è trapelato al fornitore a monte e si è propagato a livello globale. YouTube è rimasto oscurato per circa 2 ore in tutto il mondo.
China Telecom (2010). ha annunciato il 15% di tutti i percorsi Internet per 18 minuti. Grave interruzione del traffico; possibile raccolta di informazioni.
Indosat (2014). 320.000 prefissi dirottati per diverse ore.
Rerouting russo (2017). Gli ISP russi hanno dirottato brevemente le rotte verso le principali tecnologie e finanziarie occidentali sites.
Vari dirottamenti BGP che prendono di mira la criptovaluta. Dirottamenti coordinati che reindirizzano il traffico verso pagine di phishing di portafogli di criptovalute, a volte durano solo pochi minuti ma drenano fondi significativi.
KlayMaker / KlaySwap (2022). Scambio di criptovaluta coreano dirottato tramite BGP, ~$2 milioni rubati.
Twitter/X 2024. Dirottato brevemente dal provider russo, traffico instradato attraverso la Russia per alcune ore.

Incidenti e attacchi deliberati sono difficili da distinguere. L'incidente di YouTube in Pakistan è stato un incidente; alcuni altri erano quasi certamente una raccolta di informazioni intenzionale.

RPKI: la correzione parziale

RPKI (Resource Public Key Infrastructure) consente ai detentori di indirizzi di dichiarare crittograficamente quali AS sono autorizzati ad annunciare i loro prefissi. I router configurati per convalidare gli annunci di rifiuto RPKI che non corrispondono a un'autorizzazione di origine della rotta (ROA) valida. Distribuzione di

RPKI a partire dal 2026:

I principali operatori di livello 1 (Lumen, NTT, Telia, Cogent, Tata) convalidano tutti RPKI sulle rotte rivolte ai clienti.
~50% dei prefissi instradati hanno ROA validi.
L'adozione è cresciuta costantemente ma la metà non firmata rimane esposta.
RPKI rileva i dirottamenti dell'origine (l'attacco più comune); non rileva gli attacchi di spoofing del percorso in cui il percorso AS è falsificato.

BGPsec: la soluzione più grande che non è avvenuta

BGPsec (RFC 8205, 2017) è stata l'estensione proposta che firma crittograficamente il percorso AS, sconfiggendo gli attacchi di spoofing del percorso. L'adozione è stata sostanzialmente pari a zero perché:

Performance: la firma di ogni aggiornamento del percorso richiede una notevole CPU su ogni router che parla BGP.
Memoria: lo stato aggiuntivo per percorso aumenta significativamente le esigenze di memoria del router.
Compatibilità: la distribuzione parziale non offre alcun vantaggio; necessita di un'adozione quasi universale.

BGPsec è la soluzione crittograficamente completa che la comunità operativa non può permettersi di implementare. RPKI è la soluzione parziale ma implementabile che la comunità sta adottando in modo incrementale.

Detection

Diversi servizi di monitoraggio controllano gli annunci inaspettati:

BGPMon (Cisco)
Toolkit BGP di Hurricane Electric
RIPE Stat / RIS
Cloudflare Radar
Osservatorio MANRS della Internet Society

Per le organizzazioni che utilizzano i propri prefissi, gli avvisi automatici su "AS inaspettato che ha origine dal mio prefisso" rappresentano la difesa pratica. Alcuni detentori del prefisso implementano autonomamente la convalida dell'origine BGP e rifiutano gli annunci sospetti.

Cosa possono fare gli individui

BGP il dirottamento è principalmente una minaccia a livello di infrastruttura. I singoli utenti non possono difendersi direttamente da questo. La mitigazione realistica: la crittografia end-to-end (HTTPS, messaggistica E2E) rende inefficace la maggior parte delle intercettazioni basate su BGP. Il dirottatore vede il traffico crittografato e apprende le destinazioni ma non i contenuti.

Per il traffico ad alto rischio, gli approcci multipercorso e l'autenticazione end-to-end (mTLS, blocco di certificati, FIDO2) limitano i risultati che il dirottamento può ottenere.

Domande frequenti

Posso rilevare un dirottamento BGP dalla mia rete domestica?: Non direttamente. Il dirottamento è a monte; il tuo traffico scorre verso la destinazione sbagliata ma te ne accorgeresti solo se la destinazione si comporta in modo sbagliato (avvisi sul certificato, servizi non familiari). HTTPS rende visibile la maggior parte dei dirottamenti tramite errori TLS; i servizi IP puri sono più difficili da rilevare.
RPKI previene tutti i dirottamenti BGP?: Previene i dirottamenti dell'origine (falsi AS che originano un prefisso). Non impedisce gli attacchi di spoofing del percorso in cui il percorso AS viene falsificato. RPKI è la difesa pratica per il tipo di attacco più comune; BGPsec chiuderebbe il resto ma non viene distribuito.
Con quale frequenza si verifica il dirottamento BGP?: Ogni giorno si verificano piccoli incidenti: la maggior parte sono configurazioni errate piuttosto che attacchi. Gli incidenti gravi che interessano un traffico significativo sono più rari (una manciata all'anno). La capacità di rilevamento è migliorata, quindi gli incidenti che sarebbero passati inosservati nel 2010 verranno pubblicizzati nel 2024.
Un piccolo ISP può causare un'interruzione globale?: Sì, con il filtraggio sbagliato presso i fornitori a monte. La maggior parte dei grandi vettori ora filtra gli annunci dei clienti in base alle rotte previste; un upstream mal configurato che non filtra può consentire agli errori di un piccolo ISP di propagarsi a livello globale. Migliori pratiche di filtraggio hanno ridotto ma non eliminato questo rischio.
I computer quantistici interromperanno la firma BGP?: RPKI utilizza firme RSA, che in linea di principio sono vulnerabili ai dati quantistici. La migrazione verso firme post-quantistiche è una preoccupazione futura ma non urgente: non esistono ancora computer quantistici abbastanza grandi da violare le chiavi RPKI. La tempistica di distribuzione RPKI offre ampio spazio per la migrazione prima che diventi urgente.