Giancarlo Rubio escreveu: > "...The tactic exploits the internet routing protocol BGP (Border > Gateway Protocol) to let an attacker surreptitiously monitor > unencrypted internet traffic anywhere in the world, and even modify it > before it reaches its destination...." > > http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html >
Tai, um desse OFF TOPIC que dá gosto de ler :D Quando eu li esse artigo ontem a noite só consegui ter um pensamento: nossa senhora ehhuauha. Um cliente meu causou problema parecido, divulgando bitmask errado aos seus peers. O que me impressionou foi o peer (que não é qualquer operadora, por sinal é a principal) permitir. Quer dizer, não tem sequer uma regra pra validar isso. A gente tem um ambiente aqui em um cliente com iBGP e eBGP e quando um dos 4 peers nossos anunciam pro principal, temos regras de "deny" (no OpenBGP) pra garantir que uma "cidade" só anuncie o que realmente pertence a ela. Bom, mas o final do artigo deixa claro porque o Disclosure tá sendo feito: pra que os detentores de AS demandem solução eficiente. Quero ver coragem. A historia do YouTube foi comentada na lista OpenBSD Misc, mas eu não dei muita atenção. Será que foi um teste prático? hehehe. OpenBGP criptografa mas não assina as publicações, mas acredito que seria bem rápido e fácil fazer isso. Quero ver é o que vai acontecer agora se começarem a causar esses ataques. Porem, o problema do DNS é maior em proporção, porque teoricamente qualquer um consegue explorar. Ja o ataque MITM do roteamento BGP, o individuo tem que ser um AS válido. Mas, como ele reenvia o tráfego pro destino original, pode ser que ninguém nunca perceba... ou que perceba tarde demais. O bom é que se o o BGP se baseia em confiança, agora dependemos também de confiança, dos engenheiros de tráfego, pra que ninguem faca isso hehehe. O engraçado é que é uma coisa que todo mundo sempre soube. Fosse sem querer, fosse por crença e boa fé no ser humano, nunca se imaginou que isso pudesse estar sendo feito. Sempre tem aquele pensamento, "tem alguem cuidando disso...", pois é, mas nem sempre tem. Pra mim é só um motivo a mais pra defender commodity hardware redundante fazendo roteamento BGP, ao inves de Cisco ou Juniper. Um upgrade pra sBGP seria mais simples e menos oneroso do que um upgrade no PC do meu irmão pra jogar F.E.A.R. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
