Experiência de roteamento BGP encerra com falhas

Um experimento para tornar a internet mais segura acabou quebrando partes dela na semana passada

Os pesquisadores estavam testando uma maneira de tornar o Border Gateway Protocol (BGP) mais seguro. O BGP é a linguagem que direciona o tráfego entre redes de sistemas autônomos (Autonomous System Networks – ASNs), que são as grandes redes que compõem a Internet. No entanto, o BGP é vulnerável a vários ataques, incluindo sequestro de rotas, em que alguém corrompe as tabelas de roteamento do BGP para alterar a maneira como o tráfego viaja entre sistemas autônomos.

Os pesquisadores estavam testando um conceito chamado (Decentralized Infraestructure for Securing and Certifying Origins – DISCO) – Infraestrutura Descentralizada para Proteger e Certificar Origens. Esse sistema de sequestro anti-rota, supostamente resolve os problemas associados à abordagem existente, que atribui manualmente certificados digitais aos blocos de endereços IP. O problema com o método manual, de acordo com os pesquisadores, é que é preciso trabalho, o que significa que poucas pessoas fazem isso. Quando eles fazem isso, os registros costumam estar errados, acrescenta o trabalho de pesquisa da DISCO. Isso pode causar problemas de roteamento por conta própria.

A DISCO adota uma abordagem alternativa, observando o tráfego ao longo do tempo para verificar se está indo para o destino certo. Seus inventores dizem que isso elimina a necessidade de mudar os roteadores BGP e os testou na internet pública para ver como funcionava.

Quebrando rotas

Nem todos os roteadores lidaram bem com o experimento.Travou roteadores que executavam o FRR (Free Range Routing), um conjunto de protocolos de roteamento IP que começou a ser desenvolvido em março de 2017. Esse projeto, bifurcado de um switch de roteamento existente chamada Quaggo, agora faz parte da Linux Foundation e está ganhando força.

O pesquisador da DISCO, Italo Cunha, explicou o que aconteceu em um post para o Grupo de Operadores de Rede Norte-Americano (NANOG):

“Apesar do anúncio estar em conformidade com os padrões BGP, os roteadores FRR redefiniram suas sessões ao recebê-lo. Após a notificação do problema, paramos os experimentos. Os desenvolvedores do FRR confirmaram que esse problema é específico para uma consequência não intencional de como FRR manipula o atributo 0xFF (reservado para desenvolvimento) que usamos. Os desenvolvedores FRR já fundiram uma correção e usuários notificados “.

O projeto FRR atualizou seu software para resolver o problema e a equipe DISCO realizou o experimento novamente. Desta vez, outro problema surgiu.

Ben Cooper, CEO da PacketGG, fornecedora australiana de data center, respondeu com uma mensagem na lista da NANOG:

“Você pode parar com isso?

Você causou novamente um enorme pico / flap de prefixo, e como a internet não está centrada na NA (América do Norte), Vários operadores na Ásia e na Austrália são afetados pelo seu “vencimento” e não tinham ideia do que estava acontecendo ou por quê.

Obter um sandbox como qualquer outro pesquisador, a partir de agora temos black holes filtrando todo o seu ASN, e tenho recomendado que outros façam o mesmo”.

Outros foram mais simpáticos, argumentando que o problema parecia ser o software de roteamento BGP da PacketGG. Ele não foi atualizado para oferecer suporte à versão mais recente do protocolo de roteamento do BGP, e responderam:

“Obter um sandbox como qualquer outro pesquisador” não é uma afirmação justa, pode-se também postular “Obtenha uma implementação BGP-4 compatível como qualquer outra operadora de rede”.

O desacordo levou tudo por água abaixo, porém,a equipe DISCO já havia anunciado que o projeto seria permanentemente cancelado. O fracasso deixa a internet ainda vulnerável a ataques de sequestro do BGP. Em um dos mais recentes ataques reportados, a China teria roteado o tráfego de países ocidentais através de sua própria infraestrutura para espionar suas comunicações.