{"version":"1.0","provider_name":"MeRCeNaRioS -={GGS}=-","provider_url":"https:\/\/www.mercenarios.org\/wps","author_name":"hoplita","author_url":"https:\/\/www.mercenarios.org\/wps\/author\/hoplita\/","title":"El mayor agujero de seguridad de Internet - MeRCeNaRioS -={GGS}=-","type":"rich","width":600,"height":338,"html":"<blockquote class=\"wp-embedded-content\" data-secret=\"EmtpV3AHUi\"><a href=\"https:\/\/www.mercenarios.org\/wps\/forums\/topic\/el-mayor-agujero-de-seguridad-de-internet\/\">El mayor agujero de seguridad de Internet<\/a><\/blockquote><iframe sandbox=\"allow-scripts\" security=\"restricted\" src=\"https:\/\/www.mercenarios.org\/wps\/forums\/topic\/el-mayor-agujero-de-seguridad-de-internet\/embed\/#?secret=EmtpV3AHUi\" width=\"600\" height=\"338\" title=\"\u00abEl mayor agujero de seguridad de Internet\u00bb \u2014 MeRCeNaRioS -={GGS}=-\" data-secret=\"EmtpV3AHUi\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\" class=\"wp-embedded-content\"><\/iframe><script>\n\/*! This file is auto-generated *\/\n!function(d,l){\"use strict\";l.querySelector&&d.addEventListener&&\"undefined\"!=typeof URL&&(d.wp=d.wp||{},d.wp.receiveEmbedMessage||(d.wp.receiveEmbedMessage=function(e){var t=e.data;if((t||t.secret||t.message||t.value)&&!\/[^a-zA-Z0-9]\/.test(t.secret)){for(var s,r,n,a=l.querySelectorAll('iframe[data-secret=\"'+t.secret+'\"]'),o=l.querySelectorAll('blockquote[data-secret=\"'+t.secret+'\"]'),c=new RegExp(\"^https?:$\",\"i\"),i=0;i<o.length;i++)o[i].style.display=\"none\";for(i=0;i<a.length;i++)s=a[i],e.source===s.contentWindow&&(s.removeAttribute(\"style\"),\"height\"===t.message?(1e3<(r=parseInt(t.value,10))?r=1e3:~~r<200&&(r=200),s.height=r):\"link\"===t.message&&(r=new URL(s.getAttribute(\"src\")),n=new URL(t.value),c.test(n.protocol))&&n.host===r.host&&l.activeElement===s&&(d.top.location.href=t.value))}},d.addEventListener(\"message\",d.wp.receiveEmbedMessage,!1),l.addEventListener(\"DOMContentLoaded\",function(){for(var e,t,s=l.querySelectorAll(\"iframe.wp-embedded-content\"),r=0;r<s.length;r++)(t=(e=s[r]).getAttribute(\"data-secret\"))||(t=Math.random().toString(36).substring(2,12),e.src+=\"#?secret=\"+t,e.setAttribute(\"data-secret\",t)),e.contentWindow.postMessage({message:\"ready\",secret:t},\"*\")},!1)))}(window,document);\n\/\/# sourceURL=https:\/\/www.mercenarios.org\/wps\/wp-includes\/js\/wp-embed.min.js\n<\/script>\n","description":"Dos investigadores de seguridad inform\u00e1tica han demostrado una t\u00e9cnica para interceptar tr\u00e1fico en forma casi indetectable. La t\u00e9cnica, del tipo man-in-the-middle, utiliza el protocolo para desviar tr\u00e1fico en cualquier lugar del mundo hacia la estaci\u00f3n de monitorizaci\u00f3n y luego lo env\u00eda (posiblemente modificado) hacia su destino. Peter Zatko, uno de los investigadores, declar\u00f3: &quot;Es un problema enorme. Es un problema al menos tan grande como el de DNS, si no m\u00e1s grande&quot;. Peter Zatko es un ex miembro del grupo L0pht y en 1998 testific\u00f3 ante el congreso estadounidense diciendo que podr\u00eda detener totalmente Internet en 30 minutos utilizando un ataque BGP similar. Tambi\u00e9n instruy\u00f3 a agencias de inteligencia sobre la posible utilizaci\u00f3n de BGP para monitorizar tr\u00e1fico remoto sin necesidad de colaboraci\u00f3n por parte de ning\u00fan ISP&#8230; La t\u00e9cnica descrita intercepta el tr\u00e1fico por direcci\u00f3n de destino, y no siempre es posible desviar tr\u00e1fico que ocurre dentro de un mismo ISP. El protocolo BGP mantiene tablas de rutas para encontrar la m\u00e1s eficiente hacia un destino dado. Pero las rutas est\u00e1n basadas en las m\u00e1scaras de red y la m\u00e1s restrictiva (la m\u00e1s espec\u00edfica) gana. Para interceptar el tr\u00e1fico, todo lo que tiene que hacer un atacante es publicar un rango de IPs m\u00e1s peque\u00f1o que el que est\u00e1 publicado por su leg\u00edtimo due\u00f1o. La publicaci\u00f3n se propaga en minutos a todo el mundo y el atacante comenzar\u00e1 a recibir datos destinados a los rangos IPs publicados. Si s\u00f3lo se hiciera esto, ser\u00eda muy f\u00e1cilmente detectable ya que el tr\u00e1fico &quot;desaparecer\u00eda&quot; hacia otra red en vez de llegar a su destino. Esto es m\u00e1s o menos lo que pas\u00f3 este a\u00f1o cuando un ISP de Pakist\u00e1n desvi\u00f3 por error todo el tr\u00e1fico de YouTube (en realidad el tr\u00e1fico hacia YouTube) hacia direcciones inexistentes. Obviamente todo el mundo se dio cuenta. Lo innovador de la t\u00e9cnica presentada es la capacidad de poder redirigir el tr\u00e1fico hacia su destino final despu\u00e9s de ser interceptado, algo que normalmente no ser\u00eda posible ya que las tablas BGP har\u00edan que el tr\u00e1fico volviese al atacante. Sin embargo, se utiliza otra capacidad del protocolo BGP llamada &quot;AS path prepending&quot;, que permite seleccionar algunos routers para que no acepten la publicaci\u00f3n BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tr\u00e1fico por medio de \u00e9stos routers y llegar\u00e1 correctamente a destino. Si los datos siempre llegan a destino correctamente, \u00bfqui\u00e9n va a notar algo? En todo el proceso no se aprovecha ninguna vulnerabilidad, ning\u00fan fallo del protocolo, ning\u00fan error de software. Simplemente se saca provecho a la arquitectura BGP que est\u00e1 basada en la confianza mutua. Anton Kapela, el otro investigador, dijo que los ISP pueden evitar este tipo de ataques utilizando filtros. El problema es que se requiere una gran cantidad de filtros y trabajar en coordinaci\u00f3n con todos los otros ISPs. Tambi\u00e9n tendr\u00eda un alto costo de mantenimiento. Por todo esto, Kapela opina que una soluci\u00f3n basada en filtrado no va a prosperar. Otra soluci\u00f3n propuesta se basa en la autenticaci\u00f3n de los &quot;due\u00f1os&quot; de los bloques IPs. Una soluci\u00f3n de \u00e9ste tipo requerir\u00eda la utilizaci\u00f3n de certificados por parte de los ISPs. Sin embargo, aunque se evitar\u00eda el desv\u00edo de tr\u00e1fico en el primer salto en una ruta, lo que evitar\u00eda desv\u00edos accidentales como el de Pakist\u00e1n, este esquema no evitar\u00eda el desv\u00edo del segundo o tercer salto en una ruta. Stephen Kent y sus colegas de BBN Technologies, han desarrollado Secure BGP (SBGP), que requiere que cada router BGP firme digitalmente todas sus rutas publicadas con una clave privada. Esto evitar\u00eda totalmente el desv\u00edo malintencionado de tr\u00e1fico, pero lamentablemente los routers actuales no tienen ni la memoria ni la capacidad de procesamiento para generar y validar firmas, por lo que una implementaci\u00f3n masiva de SBGP requerir\u00eda el cambio a gran escala de todos los routers involucrados, algo que ni los ISP ni los fabricantes de routers se ven motivados a hacer por ahora. Fuente: http:\/\/www.kriptopolis.org\/"}