Não vejo motivo para ganhar mais rugas ou cabelos brancos por causa disto.
A implementação é falha por design(assim como o Ipv4 é, a Ethernet é...) e, um marginal dentro da telecom pode fazer o "ataque", da mesma maneira que outro marginal pode avacalhar uma rede Ethernet com um notebook e envenenamento de MAC... Claro que as proporções são enormemente diferentes, mas o conceito é o famoso "inseguro por design". Quanto a substituir roteadores por maquinas rodando software, não entrarei no mérito da questão, mas EU não trocaria indiferente desta ou outra questão... creio que é mais uma questão gerencial/administrativa do que técnica... tem muitos pontos para pesar e considerar, daria para fazer outro OFFTOPIC :-) > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Patrick Tracanelli > Sent: Wednesday, August 27, 2008 11:01 AM > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Subject: [FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole > > Giancarlo Rubio escreveu: > > "...The tactic exploits the internet routing protocol BGP (Border > > Gateway Protocol) to let an attacker surreptitiously monitor > > unencrypted internet traffic anywhere in the world, and even modify it > > before it reaches its destination...." > > > > http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html > > > > Tai, um desse OFF TOPIC que dá gosto de ler :D > > Quando eu li esse artigo ontem a noite só consegui ter um pensamento: > nossa senhora ehhuauha. Um cliente meu causou problema parecido, > divulgando bitmask errado aos seus peers. O que me impressionou foi o > peer (que não é qualquer operadora, por sinal é a principal) permitir. > Quer dizer, não tem sequer uma regra pra validar isso. A gente tem um > ambiente aqui em um cliente com iBGP e eBGP e quando um dos 4 peers > nossos anunciam pro principal, temos regras de "deny" (no OpenBGP) pra > garantir que uma "cidade" só anuncie o que realmente pertence a ela. > > Bom, mas o final do artigo deixa claro porque o Disclosure tá sendo > feito: pra que os detentores de AS demandem solução eficiente. Quero ver > coragem. > > A historia do YouTube foi comentada na lista OpenBSD Misc, mas eu não > dei muita atenção. Será que foi um teste prático? hehehe. > > OpenBGP criptografa mas não assina as publicações, mas acredito que > seria bem rápido e fácil fazer isso. > > Quero ver é o que vai acontecer agora se começarem a causar esses ataques. > > Porem, o problema do DNS é maior em proporção, porque teoricamente > qualquer um consegue explorar. Ja o ataque MITM do roteamento BGP, o > individuo tem que ser um AS válido. Mas, como ele reenvia o tráfego pro > destino original, pode ser que ninguém nunca perceba... ou que perceba > tarde demais. > > O bom é que se o o BGP se baseia em confiança, agora dependemos também > de confiança, dos engenheiros de tráfego, pra que ninguem faca isso > hehehe. O engraçado é que é uma coisa que todo mundo sempre soube. Fosse > sem querer, fosse por crença e boa fé no ser humano, nunca se imaginou > que isso pudesse estar sendo feito. Sempre tem aquele pensamento, "tem > alguem cuidando disso...", pois é, mas nem sempre tem. > > Pra mim é só um motivo a mais pra defender commodity hardware redundante > fazendo roteamento BGP, ao inves de Cisco ou Juniper. Um upgrade pra > sBGP seria mais simples e menos oneroso do que um upgrade no PC do meu > irmão pra jogar F.E.A.R. > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > [EMAIL PROTECTED] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
