Perché serve un nuovo livello di sicurezza a internet

Man mano che il traffico della rete continua a crescere, occorre proteggere meglio aziende e consumatori dalle minacce legate al routing dei dati spiega Adam Davenport, Director of interconnection strategy di GTT

Durante la pandemia COVID-19 la rete internet è stata fondamentale per permettere a milioni di persone di lavorare da remoto, e il traffico è aumentato del 30% nel solo mese di marzo: una crescita che in tempi normali richiede un anno intero. Gestire questo boom del traffico e trasportare tutti i dati da un capo all’altro del mondo senza compromettere la velocità delle trasmissioni e la user experience è stata ed è una sfida enorme per gli operatori di rete “Tier1” come GTT, le cui infrastrutture costituiscono il nucleo di internet. Ma un altro problema altrettanto importante – e purtroppo più sottovalutato – è che un tale aumento del traffico richiede nuovi strati e meccanismi di sicurezza per i siti internet e le applicazioni cloud che sono indispensabili per il lavoro quotidiano di milioni di utenti.

Le minacce per il traffico internet

Il traffico dei dati come sappiamo “salta” da punto a punto attraverso i milioni di sistemi autonomi che costituiscono la rete internet. Gli indirizzi IP, simili agli indirizzi delle nostre case e uffici nella vita reale, servono a identificare il sistema a cui vogliamo collegarci: il router domestico, un blog sul web, o il sito e-commerce del nostro retailer preferito. Tradizionalmente i possibili percorsi (route) sulla rete sono protetti da filtri che sono applicati dagli upstream provider. Filtri che sono generati dalle iscrizioni (entry) dei percorsi nell’IRR (Internet Routing Registry), un database di percorsi internet registrati. Tuttavia, siccome chiunque può iscrivere un input nell’IRR senza necessità di verifiche o convalide, il sistema è chiaramente vulnerabile agli abusi.

Ciò significa per esempio che malintenzionati possono fare iscrizioni nell’IRR per indirizzi IP che non sono autorizzati a usare, provocando così quelli che si definiscono route leaks e hijack, e cioè dirottamenti e perdite degli instradamenti dei dati. Per esempio un hacker interessato a intercettare dei numeri di carta di credito o delle transazioni in criptovaluta può in teoria registrare nell’IRR i prefissi IP dei sistemi di destinazione di tali numeri o transazioni, e poi “annunciare” tali indirizzi all’upstream provider, che li accetta senza richiedere autorizzazioni e convalide. In questo modo l’hacker può intercettare tutto il traffico destinato all’indirizzo IP per tutto il tempo in cui l’annuncio è attivo. Altro rischio arriva dagli errori involontari di configurazione. Un operatore di rete può semplicemente sbagliare a digitare l’indirizzo IP mentre crea una entry nell’IRR e il relativo “network announcement”. Quando questo succede, e l’indirizzo IP errato è accettato e propagato dagli upstream provider, il legittimo titolare dell’indirizzo e i siti ad esso associati diventano irraggiungibili e quindi inutilizzabili fino a quando l’errore viene individuato e corretto.

Rendere sicuri i sistemi di routing di internet

Alla luce di tutto questo, è essenziale sviluppare nuovi modi di proteggere aziende e consumatori sulla rete. Una iniziativa molto interessante in tal senso è un nuovo sistema di verifica degli indirizzi IP chiamato Resource Public Key Infrastructure (RPKI), che permette alle persone e alle organizzazioni che sono legittime titolari di indirizzi IP di registrarli ufficialmente come propri, ma soltanto – come ulteriore garanzia – se autorizzati da uno dei cinque Regional Internet Registries (RIR), le organizzazioni che gestiscono e assegnano gli indirizzi IP.

L’esistenza di un registro ufficiale che certifica i legittimi titolari degli indirizzi IP permette un ulteriore livello di validazione, rendendo molto più difficile per i criminali imitare o falsificare (spoof) tali indirizzi e reindirizzare il traffico verso siti simili ma malevoli. Questo livello di validazione permette ai network operator di rifiutare immediatamente qualunque annuncio IP che non è registrato nel RPKI.

Rendere internet un luogo più sicuro e affidabile è la missione continua di tutti gli IP network provider, che così possono garantire che l’ormai enorme volume di traffico internet possa viaggiare in modo protetto da un punto all’altro del mondo. GTT è uno dei primi provider Tier1 globali ad aver implementato la validazione dei percorsi basata su RPKI su tutto il suo IP backbone globale. Di conseguenza se il percorso IP di un cliente è garantito da un record ROA (Route Origin Authorization) RPKI, quel cliente può stare tranquillo che il suo traffico internet sarà sicuro sull’intera rete globale di GTT.

Il prossimo passo

La disponibilità del RPKI è una tappa importante nel cammino verso la creazione di una rete internet sicura. Tutte le organizzazioni che possiedono indirizzi IP possono ora intraprendere il prossimo passo per garantire i propri servizi, ottenendo l’autorizzazione da parte del RIR di competenza per creare record RPKI ROA. Prima di farlo è opportuno comunque fare dei controlli. Se per esempio l’organizzazione utilizza dei servizi di hosting online da qualcuno che detiene indirizzi IP, deve assicurarsi che questo fornitore registri tali indirizzi nel modo giusto per rendere l’esperienza dei propri clienti più sicura.
Man mano che sempre più persone e organizzazioni dipendono da internet, gli operatori di rete sono collettivamente responsabili di rendere e mantenere la rete sicura e affidabile, e per realizzare questo obiettivo la strada è ancora lunga. L’implementazione di RPKI è un passo nella giusta direzione, e aggiungerà un nuovo livello di protezione e sicurezza a un mondo sempre più digitale.