Il dirottamento BGP, noto anche come BGP hijacking, è uno dei rischi più gravi e sottovalutati che minacciano la stabilità di Internet. Nonostante la sua natura estremamente tecnica e insidiosa, la comprensione di questo fenomeno è fondamentale per chiunque si occupi di rete.

bgp hijacking

Partiamo con ordine:

Cos’è BGP?

BGP, acronimo di Border Gateway Protocol, è il linguaggio che i router di Internet utilizzano per parlare tra loro.
Per intenderci, quando navighi su un sito web, i dati non viaggiano in una linea retta dal computer al server del sito.
Al contrario, attraversano una serie di punti dislocati in varie località del mondo.
Ogni router ha necessità di sapere esattamente dove intendiamo inviare i dati e è proprio il BGP il protocollo che glielo dice.

In termini ancor più semplici, potremmo dire che il BGP è formalmente paragonabile al GPS per i dati su Internet.
Proprio come un GPS ti guida lungo la strada da seguire per raggiungere una destinazione, il BGP dice ai router dove inviare i dati per farli arrivare alla giusta destinazione sul web.

Una premessa è fondamentale prima che possiate addentrarvi in questo approfondimento: per il momento, il protocollo BGP è intrinsecamente vulnerabile e rimarrà tale fino a quando non verrà sviluppata una versione dello stesso più sicura.

Ma veniamo a quante attività malevole sono connesse a questo protocollo e che cosa possono mai fare gli attaccanti sfruttando questa tecnologia.

Essenza del dirottamento BGP

In BGP, i router sono i dispositivi che effettuano gli annunci. Quando si dice “un router annuncia un prefisso IP”, si intende che il router comunica ai suoi peer BGP (altri router) che conosce una rotta (un percorso) verso quel particolare prefisso IP. Questi annunci sono fatti in nome del sistema autonomo (AS) a cui appartiene il router.

In un attacco di dirottamento BGP (o come ci siamo già detti BGP hijacking) avviene questo:

Fase 1: Annuncio errato

Un router, per errore o intenzione malevola, comunica ai suoi peer BGP che ha una rotta per un prefisso IP che in realtà non gli appartiene.

Fase 2: Accettazione dell’annuncio

I router peer, che ricevono questo annuncio, possono a loro volta inoltrare l’informazione ai loro peer, estendendo l’annuncio improprio in altre parti della rete.

Fase 3: Propagazione

A causa dell’annuncio improprio, il traffico destinato al prefisso IP “dirottato” può ora essere reindirizzato attraverso il router (e l’AS) che ha effettuato l’annuncio improprio, permettendo all’attaccante di intercettare o manipolare quel traffico.

Fase 4: Interferenza col traffico

Ora che il traffico passa attraverso l’AS malevolo e quindi si tratta di traffico manipolabile, l’attaccante può decidere di fare varie cose:

  1. Mettersi in ascolto: l’hacker analizza il traffico per ottenere informazioni.
  2. Bloccare il traffico, rendendo le risorse o i servizi inaccessibili.
  3. Alterare il traffico dati o inserire payload dannosi.

hijacking bgp

Tipologie di attacco

Esistono diverse varianti o tipi di BGP hijacking, basate sulla natura dell’annuncio improprio e sugli obiettivi dell’attaccante.

  1. Dirottamento del prefisso completo (Full Prefix Hijack)
    In questo scenario, un AS annuncia un prefisso IP che è identico a un prefisso appartenente a un altro AS. Se l’annuncio improprio è accettato da altri AS, tutto il traffico destinato a quel prefisso verrà reindirizzato attraverso l’AS malevolo.
  2. Dirottamento del sotto-prefisso (Sub-Prefix Hijack)
    Qui, un AS annuncia un sotto-prefisso di un range di indirizzi IP esistente. Ad esempio, se l’AS A detiene il prefisso 10.0.0.0/16, un AS malevolo potrebbe annunciare il sotto-prefisso 10.0.1.0/24. Poiché BGP tende a preferire rotte più specifiche (cioè, con prefissi più lunghi), il traffico destinato a 10.0.1.0/24 verrà reindirizzato attraverso l’AS malevolo, anche se il resto del traffico per 10.0.0.0/16 potrebbe ancora raggiungere l’AS legittimo.
  3. Dirottamento di Percorso (Route Hijack)
    In questo tipo, l’AS malevolo annuncia rotte verso prefissi IP che effettivamente gli appartengono, ma attraverso un percorso non legittimo. Questo può essere fatto per forzare il traffico attraverso un determinato percorso, permettendo all’attaccante di intercettare o influenzare il traffico.

Conseguenze

  • Deviazione del traffico dati verso fonti non autorizzate
  • Indisponibilità di servizi online o inaccessibilità di siti web
  • Perdita di dati sensibili.

Misure di mitigazione del BGP hijacking

La soluzione al dirottamento BGP non è singola, ma piuttosto una combinazione di prassi raccomandate e nuovi standard:

  • RPKI (Resource Public Key Infrastructure): un sistema di certificazione che consente agli operatori di AS di dichiarare quali prefissi IP possono essere annunciati.
  • BGPSEC: un’estensione di BGP che fornisce l’autenticazione del percorso, assicurandosi che l’intero percorso di AS attraverso il quale un annuncio è passato sia stato autorizzato.

Conclusione

La prevenzione e la difesa contro gli attacchi di BGP hijacking, per un utente o un’organizzazione, può sembrare un compito arduo dato che il problema risiede a un livello infrastrutturale di Internet. Tuttavia, ci sono alcune considerazioni chiave e azioni che si possono intraprendere:

Sapere che esistono vulnerabilità come il BGP hijacking ti rende più preparato a gestire eventuali anomalie. Assicurati comunque che le tue comunicazioni online siano sempre crittografate. L’utilizzo di HTTPS e servizi VPN è essenziale. Anche se un attaccante dirotta il tuo traffico, la crittografia rende difficile per lui comprenderlo o alterarlo.

Articoli che potrebbero interessarti: