El 8 de abril, el hardware de red que redirige el tráfico en Internet recibió nuevas órdenes: Las solicitudes de datos del 15 por ciento de las direcciones de Internet—incluyendo a Dell.com, Yahoo.com, Microsoft.com, y los sitios del gobierno de EE.UU.—tenían que ir a través de China.
Incidentes como éste son conocidos como secuestros de Internet. Aunque por lo general no son el resultado de un acto de mala fe, pueden reducir la eficacia habitual del enrutamiento de Internet y hacer que algunas páginas web dejen de estar en línea. El secuestro de abril pasado sucedió cuando un pequeño proveedor de servicios de Internet de China actualizó su información de enrutamiento, anunciando que su red era la mejor manera de llegar a varios bloques de direcciones de Internet asignadas a agencias gubernamentales y empresas en todo el mundo. El PSI de propiedad estatal chino, China Telecom, debidamente reprodujo las actualizaciones utilizando la lengua franca de los routers de Internet, el protocolo de gateway fronterizo (BGP).
Los expertos han debatido sobre si el secuestro fue un accidente, tal y como afirma China Telecom. La mayoría acepta la explicación, ya que un fallo en la estructura de Internet lleva a este tipo de accidentes de vez en cuando, y los hace difíciles de detener. La esencia del fallo es que el método de actualizaciones de router funciona bajo un sistema de honor.
"No existe una autoridad central que diga qué actualizaciones son buenas y cuáles son malas", afirma Earl Zmijewski, vicepresidente y gerente general de operaciones de la empresa de Internet Renesys. "Ahora mismo, si usted comete un error, 30 segundos más tarde, todos los routers en Internet se actualizan con él.
El historial de incidentes similares se remonta a más de una década, incluyendo un episodio en el que Pakistán Telecom afirmó que su red era la mejor ruta de acceso para determinadas direcciones de Internet propiedad de YouTube. El resultado: la red del PSI fue eliminada temporalmente de Internet por todo el tráfico, y muchas personas en todo el mundo no pudieron acceder a YouTube.
El último incidente destaca en parte porque China Telecom fue capaz de dirigir su tráfico secuestrado a los destinos correctos, alimentando las acusaciones de que podría haber captado las comunicaciones para su análisis. El incidente de abril fue descubierto en el momento, pero ha disfrutado de una renovada atención este mes en un informe dirigido al Congreso de los Estados Unidos de la Comisión de Revisión Económica y de Seguridad entre China y EE.UU..
Resolver el problema de las actualizaciones de router y los secuestros de Internet no es fácil. El BGP fue diseñado para un solo propósito: hacer que Internet fuera fiable, afirma Steve Santorelli, director de una empresa de seguridad de Internet, Team Cymru Reserach NFP. "El BGP nunca fue diseñado pensando en la seguridad", afirma Santorelli. "Fue diseñado para comunicar de manera eficiente cientos de miles de rutas entre diferentes proveedores de red".
Los PSIs pueden tomar medidas básicas para prevenir que sus routers adopten malas rutas. Las principales empresas de Internet deberían bloquear las malas rutas denunciadas por sus clientes. Por ejemplo, si una empresa afirma que su red es una ruta válida para ciertas porciones de Internet, el proveedor de Internet de la compañía debe detectar el error y detener la actualización. China Telecom no lo hizo. Además, las empresas de infraestructura de Internet deberían filtrar aquellos anuncios que obviamente no sean válidos, asegura Santorelli.
Una propuesta más detallada pide la creación de un sistema de cifrado y autenticación que verifique la legitimidad de enrutamiento de los anuncios. Conocido como BGP Seguro, la tecnología señalizaría de forma digital las actualizaciones BGP para evitar anuncios falsos e incluir información sobre el rango de direcciones IP de las que un router es responsable.
Estas adiciones eliminarían la amenaza de secuestros en la red, aunque no sin pagar un cierto precio. Agregar encriptación a las tecnologías de infraestructura requiere más memoria y procesadores, obligando a los proveedores de Internet a comprar nuevos routers. Sin un mandato de una coalición de gobiernos o de la industria—que es lo que pasó con la reforma de la seguridad del sistema DNS—es poco probable que el BGP Seguro sea adoptado. Y a menos que sea adoptado en todas partes, el BGP Seguro no ofrecerá ningún beneficio, afirma Zmijewski desde Renesys.
"Con el BGP Seguro, tenemos el problema de la gallina y el huevo", señala. "Ninguna empresa quiere ser la primera en adoptarlos, debido a los costes involucrados".
Una solución más razonable que ofrece beneficios incluso antes de su adopción generalizada es la conocida como "Pretty Good BGP" ("BPG Bastante Bueno"), una propuesta de investigadores de la Universidad de Nuevo México y la Universidad de Princeton. Este plan básicamente sugiere que los PSIs congelen cualquier actualización del router durante 24 horas. Como la mayoría de las malas actualizaciones pueden arreglarse mucho antes de acabar esa franja de tiempo, se podría reducir drásticamente el impacto de cualquier secuestro de Internet. "El período de espera eliminaría una gran cantidad de errores, y el Pretty Good BGP podría implementarse hoy día," afirma Zmijewski.
Sin embargo también habría un inconveniente con este método. Podría evitar que los routers respondiesen a los anuncios diseñados para esquivar las fallos repentinos y los cambios en Internet.
No hay comentarios:
Publicar un comentario