Posso detectar um sequestro de BGP na minha rede doméstica?

Não diretamente. O sequestro é upstream; seu tráfego flui para o destino errado, mas você só notará se o destino se comportar de maneira errada (avisos de certificados, serviços desconhecidos). HTTPS torna a maioria dos sequestros visíveis por meio de erros de TLS; serviços IP puros são mais difíceis de detectar.

O RPKI evita todos os sequestros de BGP?

Impede sequestros de origem (AS falsos originando um prefixo). Não evita ataques de falsificação de caminho onde o caminho AS é falsificado. RPKI é a defesa prática para o tipo de ataque mais comum; O BGPsec fecharia o restante, mas não seria implantado.

Com que frequência ocorre o sequestro de BGP?

Pequenos incidentes acontecem diariamente – a maioria são configurações incorretas e não ataques. Os incidentes graves que afetam um tráfego significativo são mais raros (alguns por ano). A capacidade de detecção melhorou, de modo que incidentes que teriam passado despercebidos em 2010 serão divulgados em 2024.

Um pequeno ISP pode causar uma interrupção global?

Sim, com filtragem errada nos provedores upstream. A maioria das grandes operadoras agora filtra os anúncios dos clientes em relação aos conjuntos de rotas esperados; um upstream mal configurado que não filtra pode permitir que os erros de um pequeno ISP se propaguem globalmente. Melhores práticas de filtragem reduziram, mas não eliminaram, este risco.

Os computadores quânticos quebrarão a assinatura do BGP?

O RPKI usa assinaturas RSA, que são, em princípio, vulneráveis ao quantum. A migração para assinaturas pós-quânticas é uma preocupação futura, mas não urgente – ainda não existem computadores quânticos grandes o suficiente para quebrar chaves RPKI. O cronograma de implantação do RPKI oferece bastante espaço para migração antes que isso se torne urgente.

Explicação do sequestro de BGP: quando o roteamento da Internet mente

O sequestro de BGP ocorre quando uma rede anuncia falsamente a propriedade de endereços IP que não controla. O protocolo de roteamento da Internet acredita neles, o tráfego flui para o destino errado e as consequências vão desde interrupções acidentais até vigilância deliberada. A correção – RPKI – progrediu, mas não está completa. A categoria continua a ser uma ameaça de infraestrutura de alto nível.

O corpo completo do artigo é fornecido em inglês abaixo.

Sequestro de

BGP é o ataque (ou acidente) em que um Sistema Autônomo anuncia a propriedade de prefixos IP que não lhe pertencem. Os roteadores BGP em todo o mundo aceitam o anúncio (porque o BGP tradicional não tem autenticação) e começam a rotear o tráfego desses prefixos para o sequestrador. Os danos podem incluir interrupções de serviço, interceptação de tráfego e roubo de credenciais.

Como funciona

BGP é o protocolo que propaga rotas de Internet entre ASes — consulte nosso artigo BGP. O fluxo simplificado:

O AS do sequestrador anuncia "Tenho uma rota para o prefixo X."Os roteadores
BGP recebem o anúncio e o comparam com outras rotas que conhecem.
Se o anúncio do sequestrador for mais específico (prefixo mais longo) ou tiver um caminho AS mais curto, os roteadores preferem it.
Tráfego destinado ao prefixo X agora flui através do AS do sequestrador.
O sequestrador pode ocultar o tráfego (negação de serviço), monitorá-lo (vigilância), modificá-lo (man-in-the-middle) ou passá-lo de forma transparente enquanto coleta metadados.

O problema no nível do protocolo: BGP tradicionalmente aceita quem anuncia mais alto. Não há validação de que o locutor realmente possui o prefixo.

Tipos de sequestro de BGP

Sequestro de origem. AS X anuncia um prefixo de propriedade de AS Y. Mais comum. Freqüentemente, configurações incorretas acidentais.
Sequestro de prefixo. Anunciando um subconjunto mais específico do prefixo de outra pessoa. Ganha decisões de roteamento porque rotas mais específicas são preferidas.
Sequestro de caminho. Anunciando um caminho AS falsificado. Mais sutil; mais difícil de detectar.
Blackholing. Anunciando um prefixo para absorver o tráfego e eliminá-lo. Usado de forma maliciosa (DoS) e defensiva (mitigação de DDoS).
Sequestro de subprefixo com MITM. Roteamento do tráfego sequestrado para seu destino real após observação/modificação. A variante mais prejudicial.

Incidentes famosos

Pakistan/YouTube (2008). A Pakistan Telecom tentou bloquear o YouTube internamente anunciando localmente um prefixo mais específico do YouTube. O anúncio vazou para o provedor upstream e se propagou globalmente. O YouTube ficou escuro por cerca de 2 horas em todo o mundo.
China Telecom (2010). Anunciou 15% de todas as rotas da Internet por 18 minutos. Grandes perturbações no trânsito; possível coleta de inteligência.
Indosat (2014). 320.000 prefixos sequestrados por várias horas.
Reencaminhamento russo (2017). ISPs russos sequestraram brevemente rotas para as principais tecnologias e finanças ocidentais sites.
Vários sequestros de BGP direcionados a criptomoedas. Sequestros coordenados que redirecionam o tráfego para páginas de phishing de carteiras criptografadas, às vezes durando apenas alguns minutos, mas drenando fundos significativos.
KlayMaker / KlaySwap (2022). Crypto-exchange coreana sequestrada via BGP, ~$2 milhões roubados.
Twitter/X 2024. Brevemente sequestrado por provedor russo, tráfego roteado pela Rússia por algumas horas.

Acidentes e ataques deliberados são difíceis de distinguir. O incidente do YouTube no Paquistão foi um acidente; alguns outros foram quase certamente coleta de inteligência intencional.

RPKI: a correção parcial

RPKI (Infraestrutura de chave pública de recursos) permite que os detentores de endereços declarem criptograficamente quais ASes estão autorizados a anunciar seus prefixos. Roteadores configurados para validar anúncios de rejeição de RPKI que não correspondem a uma autorização de origem de rota (ROA) válida. Implantação

RPKI a partir de 2026:

As principais operadoras de nível 1 (Lumen, NTT, Telia, Cogent, Tata) validam RPKI em seus clientes rotas.
~50% dos prefixos roteados têm ROAs válidos.
A adoção tem crescido constantemente, mas a metade não assinada permanece exposta.
RPKI detecta sequestros de origem (o ataque mais comum); ele não detecta ataques de falsificação de caminho onde o caminho AS é falsificado.

BGPsec: a maior correção que não aconteceu

BGPsec (RFC 8205, 2017) foi a extensão proposta que assina criptograficamente o caminho AS, derrotando ataques de falsificação de caminho. A adoção foi essencialmente zero porque:

Performance – assinar cada atualização de rota requer CPU substancial em cada roteador que fala BGP.
Memory – estado adicional por rota aumenta significativamente as necessidades de memória do roteador.
Compatibilidade – a implantação parcial não oferece nenhum benefício; precisa de adoção quase universal.

BGPsec é a solução criptograficamente completa que a comunidade operacional não pode se dar ao luxo de implantar. RPKI é a solução parcial, mas implantável, que a comunidade está adotando gradativamente.

Detecção

Vários serviços de monitoramento observam anúncios inesperados:

BGPMon (Cisco)
BGP da Hurricane Electric kit de ferramentas
RIPE Stat / RIS
Cloudflare Radar
Observatório MANRS da Internet Society

Para organizações que operam seus próprios prefixos, o alerta automatizado sobre "AS inesperado originando meu prefixo" é a defesa prática. Alguns detentores de prefixo também implementam eles próprios a validação de origem do BGP e rejeitam anúncios suspeitos.

O que os indivíduos podem fazer

O sequestro de BGP é principalmente uma ameaça à camada de infraestrutura. Os usuários individuais não podem se defender diretamente contra isso. A mitigação realista: a criptografia ponta a ponta (HTTPS, mensagens E2E) torna a maior parte da escuta baseada em BGP ineficaz. O sequestrador vê o tráfego criptografado e aprende os destinos, mas não o conteúdo.

Para tráfego de alto risco, abordagens de vários caminhos e autenticação ponta a ponta (mTLS, fixação de certificado, FIDO2) limitam o que o sequestro pode alcançar.

Perguntas frequentes

Posso detectar um sequestro de BGP na minha rede doméstica?: Não diretamente. O sequestro é upstream; seu tráfego flui para o destino errado, mas você só notará se o destino se comportar de maneira errada (avisos de certificados, serviços desconhecidos). HTTPS torna a maioria dos sequestros visíveis por meio de erros de TLS; serviços IP puros são mais difíceis de detectar.
O RPKI evita todos os sequestros de BGP?: Impede sequestros de origem (AS falsos originando um prefixo). Não evita ataques de falsificação de caminho onde o caminho AS é falsificado. RPKI é a defesa prática para o tipo de ataque mais comum; O BGPsec fecharia o restante, mas não seria implantado.
Com que frequência ocorre o sequestro de BGP?: Pequenos incidentes acontecem diariamente – a maioria são configurações incorretas e não ataques. Os incidentes graves que afetam um tráfego significativo são mais raros (alguns por ano). A capacidade de detecção melhorou, de modo que incidentes que teriam passado despercebidos em 2010 serão divulgados em 2024.
Um pequeno ISP pode causar uma interrupção global?: Sim, com filtragem errada nos provedores upstream. A maioria das grandes operadoras agora filtra os anúncios dos clientes em relação aos conjuntos de rotas esperados; um upstream mal configurado que não filtra pode permitir que os erros de um pequeno ISP se propaguem globalmente. Melhores práticas de filtragem reduziram, mas não eliminaram, este risco.
Os computadores quânticos quebrarão a assinatura do BGP?: O RPKI usa assinaturas RSA, que são, em princípio, vulneráveis ao quantum. A migração para assinaturas pós-quânticas é uma preocupação futura, mas não urgente – ainda não existem computadores quânticos grandes o suficiente para quebrar chaves RPKI. O cronograma de implantação do RPKI oferece bastante espaço para migração antes que isso se torne urgente.