Nell'ambito della sicurezza informatica, l'IP hijacking (ovvero il dirottamento IP, a volte anche chiamato BGP hijacking, prefix hijacking o route hijacking) è l'acquisizione illegittima di gruppi di indirizzi IP effettuata corrompendo le tabelle di routing.
A causa della natura dinamica della rete Internet, ad ogni router devono essere regolarmente fornite delle routing table aggiornate. Ad un livello globale, gli indirizzi IP individuali sono raggruppati in prefissi. Questi prefissi saranno creati, o detenuti, da un autonomous system (AS), e le tabelle di routing tra gli AS mantenute usando il protocollo Border Gateway Protocol (BGP). Un gruppo di reti che operano sotto un'unica politica di routing esterno è conosciuto come un sistema autonomo. A titolo di esempio, Sprint, Verizon e AT&T possono essere definiti come AS. Ogni AS ha il suo unico numero identificativo di AS. BGP è il protocollo di routing standard usato per scambiare informazioni circa il routing IP tra autonomous systems.
Ogni AS usa BGP per segnalare i prefissi verso i quali può comunicare. Ad esempio, se il prefisso di rete 192.0.2.0/24 è dentro AS 64496, allora quell'AS segnalerà ai suoi provider e/o peer la possibilità di inviare traffico destinato a 192.0.2.0/24.
L'IP hijacking può verificarsi volutamente o accidentalmente in vari modi:
- Un AS annuncia l'origine di un prefisso che in realtà non ha originato.
- Un AS annuncia un prefisso più specifico di quello che potrebbe essere annunciato dal vero AS originatore.
- Un AS annuncia che può instradare il traffico all'AS dirottato attraverso una strada più breve di quella già disponibile, a prescindere dal fatto che il percorso esista realmente.
Conseguenza comune di questi problemi è l'interruzione del normale instradamento di rete: i pacchetti finiscono per essere inoltrati verso la parte sbagliata della rete. In questo modo o entrano in un ciclo infinito (per poi essere scartati), o finiscono a disposizione dell'AS compromettente.
Tipicamente gli ISP filtrano il traffico BGP, permettendo agli annunci BGP provenienti dalle reti downstream di contenere solo spazi IP validi. Nella pratica, incidenti passati dimostrano che non è sempre questo il caso.
La Resource Public Key Infrastructure (RPKI) è progettata per autenticare le route origins grazie a catene di certificati crittografici atti a dimostrare la proprietà del blocco di indirizzi, ma non è ancora largamente adottato. Una volta adottato, il dirottamento IP (sia accidentale che intenzionale) dovrebbe essere rilevabile e quindi evitabile.
L'IP hijacking è a volte usato da utenti malintenzionati per ottenere indirizzi IP da usare per lo spamming o per attacchi distributed denial-of-service.
Casi noti
[modifica | modifica wikitesto]- Aprile 1997: L'"AS 7007 incident" Il primo esempio distinguibile[1]
- 24 dicembre, 2004: TTNet in Turchia dirotta il traffico Internet [2]
- 7 maggio, 2005: L'interruzione del servizio nel maggio del 2005 di Google [3]
- 22 gennaio, 2006: Con-Edison dirotta una gran parte di Internet[4]
- 24 febbraio, 2008: Un tentativo del Pakistan di bloccare l'accesso a YouTube nel paese rende completamente inaccessibile YouTube.[5]
- 11 novembre, 2008: L'ISP brasiliano CTBC - Companhia de Telecomunicações do Brasil Central fa trapelare la loro tabella interna nella tabella BGP globale.[6][7] Durò più di 5 minuti. Anche se fu rilevato dal server di instradamento RIPE e non propagato, afflisse praticamente solo i clienti dell'ISP e pochi altri.
- 8 aprile, 2010: Un ISP cinese dirotta Internet[8] - China Telecom originò 37,000 prefissi non appartenenti a loro in 15 minuti, causando interruzioni dei servizi globali.
- Febbraio, 2014: Canadian ISP usato per reindirizzare dati dagli ISP.[9] - In 22 occorrenze tra febbraio e maggio un hacker reindirizzò il traffico per circa 30 secondi a sessione. Le operazioni di mining di Bitcoin e di altre crypto-currency furono prese di mira e della valuta fu rubata.
- Luglio, 2018: BGP Stream rileva un possibile hijack a danno del AS62014, conosciuto come Telegram Messenger LLP. L'origine della possibile violazione sembrerebbe provenire da ASN 58224 (Iran Telecommunication Company PJS)
Note
[modifica | modifica wikitesto]- ^ Merit.edu Archiviato il 27 febbraio 2009 in Internet Archive.
- ^ Renesys.com Archiviato il 28 febbraio 2008 in Internet Archive.
- ^ Analysis of BGP Prefix Origins During Google’s May 2005 Outage
- ^ Renesys.com. URL consultato il 21 giugno 2016 (archiviato dall'url originale l'8 marzo 2013).
- ^ Ripe.net
- ^ Copia archiviata, su renesys.com. URL consultato il 21 giugno 2016 (archiviato dall'url originale il 23 aprile 2013).
- ^ Copia archiviata, su ddos.arbornetworks.com. URL consultato il 21 giugno 2016 (archiviato dall'url originale il 19 aprile 2012).
- ^ Bgpmon.net
- ^ wired.com
Voci correlate
[modifica | modifica wikitesto]- Bogon filtering
- Border Gateway Protocol
- Resource Public Key Infrastructure
Collegamenti esterni
[modifica | modifica wikitesto]- BGPmon.net: Un sistema specifico per BGP per rilevare dirottamenti, route leakage ed instabilità.
- Cyclops Archiviato il 28 giugno 2008 in Internet Archive.: Un audit tool BGP (prefix hijack, route leakage) sviluppato dalla UCLA
- NetViews: Un visualizzatore in tempo reale di topologie BGP e per il rilevamento dell'IP Hijacking sviluppato dalla University of Memphis.
- AS-CRED: Un servizio basato sulla fiducia e reputazione, con allerte in tempo reale (prefix hijacking, annuncio di prefissi instabili), per l'instradamento inter dominio sviluppato dalla University of Pennsylvania.
