Con l’arrivo della prossima generazione delle reti 5G, molte ombre si stanno profilando all’orizzonte in merito alla cyber security: è dunque opportuno affrontare per tempo il problema della sicurezza dei protocolli Internet nelle future reti 5G.
Alcuni aspetti risulteranno cruciali per la difesa dai futuri attacchi informatici e, in particolare, tre sono le sfide da risolvere prioritariamente in relazione a queste caratteristiche:
- le reti 5G verranno introdotte gradualmente, quindi le reti di vecchia generazione 3G/4G e la nuova architettura 5G dovranno convivere per un certo periodo, il che aumenterà i problemi inerenti alla sicurezza;
- le reti 5G offriranno un’aumentata superficie d’attacco, con conseguenze che potrebbero rivelarsi addirittura peggiori dei danni causati dagli eventi più notori finora registrati, come WannaCry e Mirai;
- la moltitudine di possibili “use cases” delle reti 5G aumenteranno le possibilità per un attaccante di sfruttare le eventuali debolezze insite nella rete.
È utile, ai nostri scopi, esaminare in dettaglio il primo aspetto citato sopra, in quanto se la rete 5G poggerà su protocolli di vecchia generazione, sarà interessata dai ben noti problemi di sicurezza relativi ad essi. C’è un filo conduttore tra fiducia e sicurezza che rappresenta il nodo da sciogliere perché i sistemi nati negli Anni 70 e 80 che poggiavano sostanzialmente su questo concetto, oggi contengono vulnerabilità.
In particolare, facendo riferimento all’ultimo report di ENISA sulle minacce future del 5G in termini di cyber security, vengono elencati, nella “session management function” del 5G, a sua volta stabilita dallo standard 3gPP TS 23.501, i seguenti protocolli, a cui prestare attenzione in futuro:
- TCP/IP (DHCPv4);
- SS7/Diameter;
- SIP;
- TLS;
- ARP;
- BGP.
In questo elenco è da segnalare soprattutto il protocollo BGP, alla cui nativa mancanza di sicurezza si potrebbero aggiungere ulteriori vulnerabilità e possibilità di attacchi futuri.
Vediamo ora nel dettaglio qui di seguito le considerazioni di sicurezza a cui prestare attenzione in fase di progettazione delle reti 5G.
Indice degli argomenti
Sicurezza dei protocolli Internet nelle reti 5G: i casi
Esamineremo ora quelli che sono attacchi possibili e relative mitigazioni dei protocolli di Internet menzionati sopra.
Attacco e difesa al protocollo DHCP
Il protocollo Dynamic Host Configuration Protocol (DHCP) viene usato per fornire indirizzi IP automaticamente ai client abilitati a questo servizio. Il server DHCP mantiene la configurazione e i parametri degli indirizzi IP da assegnare, così quando un client necessita di avere un nuovo indirizzo IP, invia una richiesta a questo server.
Il server a sua volta richiede al client alcuni parametri e dopo averli ricevuti invia un segnale di conferma che contiene un indirizzo IP. Il client indica infine l’accettazione della proposta, selezionando l’indirizzo ricevuto e procedendo con la configurazione dei parametri TCP/IP utilizzando l’informazione DHCP disponibile nella risposta ricevuta dal server, terminando così la sua inizializzazione.
Questo è il meccanismo fondamentale del DHCP, protocollo che risale ai primi anni 90.
Il DHCP base non include alcun meccanismo per l’autenticazione. Per questo motivo, è vulnerabile a diversi attacchi i quali si dividono in due categorie principali:
- i server DHCP non autorizzati forniscono informazioni false ai client
- i server DHCP non sono protetti da attacchi di esaurimento delle risorse da parte di client DHCP malevoli.
Un esempio può essere fornito dall’attacco di tipo “Starvation”.
È un attacco della categoria DoS (Denial of Service), che avviene quando un attaccante invia richieste DHCP, ingannando il server come se arrivassero da tanti client diversi (tecnica nota come “MAC spoofing”) per esaurire tutti i possibili indirizzi IP legittimi ed impedire che altri client possano ottenere un indirizzo IP valido.
Un altro esempio è quello relativo all’attacco di tipo “spoofing”.
In questo caso un attaccante potrebbe creare in rete dei finti server DHCP (i cosiddetti Server “rogue” DHCP). Se la risposta di uno di questi server riesce a raggiungere il client per primo, il partecipante alla rete riceve le informazioni di configurazione del server malevolo. Il server “rogue” DHCP invierà quindi dati errati o manipolati e il client verrà configurato di conseguenza in modo errato.
Per quanto riguarda le possibili mitigazioni, possiamo segnalare le seguenti best practice:
- abilitare la sicurezza a livello di porte logiche di connessione sul server;
- abilitare il DHCP “snooping” cioè la funzione di sicurezza del protocollo del secondo livello del modello OSI. La funzione è integrata nello switch che collega i client con i server DHCP. In poche parole, si tratta di un protocollo che controlla tutte le informazioni DHCP che passano attraverso lo switch. Solo i pacchetti autorizzati da server affidabili raggiungono in questo modo i client;
- utilizzare sempre la connessione HTTPS e non HTTP, e, in generale, usare protocolli di collegamento o trasferimento di files “sicuri”, come SSH e SFTP;
- abilitare la cosiddetta opzione 82 del DHCP cioè attivare il DHCP relay agent information, che prevede il coinvolgimento attivo dello switch nella comunicazione tra client e server. Questa procedura è utile se client e server non fanno parte della stessa sottorete. Quando il client invia una richiesta al server DHCP, lo switch aggiunge informazioni ulteriori all’intestazione della richiesta. Grazie a queste informazioni, il server può risalire allo switch e quindi alla posizione del client.
Attacco e difesa al protocollo ARP
Il protocollo ARP (Address Resolution Protocol) è un protocollo nato negli anni ’80. Serve per conoscere il MAC address, una volta noto l’indirizzo IP di destinazione.
Per poter inviare i pacchetti nelle reti TCP/IP, un mittente ha bisogno soprattutto di tre informazioni relative all’host a cui ci si vuole collegare: la maschera di sottorete, l’indirizzo IP e l’indirizzo MAC (chiamato anche indirizzo hardware o fisico).
I primi due sono assegnati tramite il DHCP visto prima, mentre l’indirizzo MAC è una specie di numero seriale impresso dal produttore della scheda di rete del proprio computer, ma che serve per poter comunicare a livello fisico con l’Host di destinazione.
Se un Host conosce un indirizzo IP di destinazione ma non l’indirizzo MAC del destinatario, allora invia a tutta la propria sottorete una richiesta di indirizzamento. Solo l’Host destinatario che riconosce il proprio IP, risponderà con un messaggio contenente l’indirizzo MAC. In questo modo tutti i nodi della rete costruiscono una serie di tabelle di associazione tra indirizzi IP e indirizzi MAC con cui potranno comunicare senza problemi.
Proprio in questo meccanismo fondamentale si cela un noto tipo di attacco, chiamato ARP Cache poisoning, una tecnica con cui un attaccante invia messaggi ARP modificati sulla rete. Lo scopo è di associare l’indirizzo MAC (cioè l’indirizzo fisico) della macchina dell’attaccante con l’indirizzo IP di un altro host, ad esempio del default gateway, in modo che tutto il traffico diretto a quell’indirizzo passi attraverso la macchina dell’attaccante, al fine di leggerne il contenuto per catturare dati sensibili come ad esempio una password, dato che in alcuni protocolli questi dati sono trasmessi non crittografati.
Per quanto riguarda le mitigazioni, possiamo segnalare le seguenti best practice:
- utilizzare IPsec o tabelle ARP statiche, può rivelarsi una difesa efficace contro attacchi di questo tipo;
- usare il port security sugli switch ovvero fare in modo che a ciascuna porta del dispositivo possa essere associato solo un MAC Address;
- adottare S-ARP ovvero Secure ARP, un’estensione del protocollo ARP che si basa sulla crittografia asimmetrica, così da poter autenticare il mittente (presentato in un articolo IEEE da parte di ricercatori dell’Università degli Studi di Milano).
Attacco e difesa al protocollo SS7/Diameter, SIP e protocolli applicativi
Anche SS7 (Signalling System n.7) è un protocollo risalente agli Anni 70, gradualmente sostituito dal nuovo protocollo Diameter che supporta la crittografia tramite TLS, il ben noto protocollo che consente anche il funzionamento sicuro di HTTPS.
Il protocollo consente agli operatori telefonici globali di gestire le telefonate e gli sms sulle reti. Analisi recenti hanno rilevato che SS7 è vulnerabile a una serie di attacchi, tanto da aprire persino a intercettazioni complete di chiamate e messaggi, senza che gli utenti interessati possano accorgersene.
Infatti, spesso la crittografia non viene realizzata in modalità end-to-end, di nuovo confidando sulla fiducia tra operatori di Telecomunicazioni e Internet Service Providers, ma così rendendo possibile l’intercettazione del traffico telefonico.
Un report dell’ENISA proprio dedicato ai protocolli SS7/Diameter evidenzia questi rischi per le future reti 5G.
Nelle reti 5G saranno comunque presenti anche altri comuni protocolli di Internet (SIP, TLS) che prestano il fianco a tanti possibili attacchi.
Ad esempio: Attacchi alla disponibilità del protocollo SIP (Session Initiation Protocol) che analogamente a SS7 visto prima rappresenta il controllo usato per i servizi VoIP (Voice over IP) o brute force di credenziali per guadagnare accesso ai server e provare a fare telefonate non autorizzate.
TLS (Transport Layer Security) che sostituisce il più noto SSL (Secure Sockets Layer) come sicurezza a livello di Trasporto del modello OSI tra client e server del mondo Web, deve essere usato nella versione più recente (1.3 o al massimo la 1.2) in quanto le versioni 1.0 e 1.1 che saranno abbandonate dai browser nel 2020, supportano algoritmi deboli di crittografia e pertanto sono soggetti a numerosi attacchi come elenca il documento ufficiale della nuova versione 1.2 (RFC 5246), pubblicato dalla IETF (Internet Engineering Task Force) che fà il confronto con le precedenti versioni.
Per quanto riguarda le possibili mitigazioni, si raccomandano le seguenti best practice:
- Security Assessment sulle reti e/o apparati di comunicazione;
- un approfondito Vulnerability scanning o Penetration testing, che potrà evidenziare vulnerabilità e segnalare anche exploits su questi protocolli con un più veloce piano di reazione;
- analisi statica del codice. Il test statico di sicurezza delle applicazioni («SAST») è un insieme di tecnologie progettate per analizzare il codice sorgente dell’applicazione e/o il codice binario per la presenza di vulnerabilità della sicurezza;
- il ricorso a corrette policy di patching e aggiornamento continuo dei sistemi.
Attacco e difesa al protocollo BGP
Il BGP o Border Gateway Protocol, nato nel 1989, rappresenta uno dei meccanismi fondamentali preposti al funzionamento di tutta l’infrastruttura di Internet e il meccanismo che deve controllare l’instradamento del traffico dati in tutta la rete.
La rete Internet può essere rappresentata come un grafo di nodi, a loro volta chiamati sistemi autonomi, che sono una collezione di routers controllati da un service provider, con collegamenti creati tra questi dispositivi per scambiarsi informazioni di instradamento e raggiungibilità.
Lo scopo principale del BGP è quello di tenere aggiornati tutti i dispositivi per trasmettere e ricevere traffico dati senza errori. Ciò riguarda l’invio e la ricezione delle mail, la navigazione sui siti Web ed in generale la trasmissione di messaggi che rappresentano i cosiddetti pacchetti dati.
Come altri protocolli di rete, nati senza requisiti di sicurezza espliciti, o come diremmo oggi senza security by design, il protocollo BGP è soggetto a varie tipologie di attacchi, spesso classificati come “perdite di instradamento” anche se una delle minacce più pericolose per la privacy e la sicurezza dei dati può derivare dall’interno, rendendo più difficile una protezione efficace.
Storicamente ci sono stati vari casi di routers mal configurati o mal funzionanti che hanno causato ampi oscuramenti di traffico in Internet. Le protezioni evidenziate sopra, quindi, non possono escludere il rischio che ciò avvenga in modo legittimo dagli stessi possessori dei nodi BGP, come vedremo in seguito.
Le tipologie principali di attacco al protocollo BGP si possono riassumere in sei macro categorie:
- confidenzialità, quando i dati sono trasmessi in chiaro, senza essere crittografati, e la loro intercettazione è resa più facile;
- replay: non ci sono protezioni da attacchi di questo tipo nel protocollo BGP;
- manipolazione dei messaggi: non ci sono particolari protezioni per inserimento, cancellazione, modifica dei messaggi in transito;
- MiTM (Man-In-The-Middle): non ci sono protezioni da attacchi di questo tipo nel protocollo BGP;
- DoS (Denial of Service): accade quando un router viene inondato da un numero di pacchetti più alto di quello che può gestire. Lo stesso traffico BGP se manipolato può causare questo tipo di attacco;
- BGP Hijacking: Attacco al BGP attraverso la manipolazione dell’instradamento del traffico. Vediamo nel dettaglio di cosa si tratta.
Tra tutti gli incidenti accaduti in rete e causati da malfunzionamenti del BGP, ve ne sono alcuni particolarmente degni di nota.
Nel giugno 2015 circa un terzo di tutti i prefissi IP delle tabelle di instradamento di un provider locale furono messi fuori servizio causa una configurazione errata nei routers di un operatore di telefonia in Malesia, propagandosi in altre aree adiacenti dell’Asia.
In seguito, nell’aprile 2016, varie interruzioni di traffico si verificarono causa operazioni di manutenzione errate sui routers che ebbero impatti su un grande numero di server Amazon in America.
Nel dicembre 2017, poi, uno specifico set di prefissi (80 in totale) appartenenti a vari service e content providers in America, vennero dirottati per circa due ore attraverso un attacco al BGP.
Infine, nell’Aprile 2018 alcuni attaccanti furono in grado di inviare messaggi BGP ai router di internet e fare in modo che il traffico destinato ai server di Amazon fosse invece dirottato per circa 2 ore ad un’altra macchina.
Durante questo evento il traffico diretto al sito di criptovaluta MyEtherWallet venne invece rediretto ad un server malevolo e la criptovaluta sottratta agli ignari clienti. Il target dell’attacco era il dirottamento del traffico dei server DNS verso un server posseduto dall’attaccante, utilizzato per lanciare attacchi di phishing verso i clienti di MyEtherWallet.
Tutti gli incidenti di cui sopra furono dovuti a errori di configurazione, ma altri due, uno accaduto nel 2010 ed uno molto più recente nel novembre 2018, ebbero una connotazione completamente diversa.
Proviamo nel seguito ad analizzarli più approfonditamente.
Il giorno 8 aprile 2010, per diciotto minuti, una quota del 15 per cento dell’imponente traffico internet statunitense (pari a circa 37.000 prefissi IP contro i normali 40) venne dirottato attraverso la Cina.
La vicenda fece parecchio clamore e fu seguita dal National Defense Magazine dopo la denuncia di un rapporto di 300 pagine della U.S.-China Economic and Security Review Commission nel rapporto annuale della Commissione Usa-Cina per la sicurezza presentato al Congresso americano.
In quei diciotto lunghi minuti, infatti, i dati internet ad alta sensibilità statunitensi e di altri Paesi passarono erroneamente attraverso i server cinesi, dopo che l’operatore di Telecomunicazioni aveva inviato informazioni di instradamento sbagliate: una mole di traffico impressionante, compresi i delicati dati delle agenzie governative, seguì il percorso errato a causa della modifica dell’instradamento su internet, approdando sui server cinesi.
Il fenomeno in questione è proprio il BGP hijacking di cui si è parlato prima. In questo caso dunque il nodo cinese fu configurato per risultare come l’algoritmo di instradamento da preferire anche se il tutto venne smentito categoricamente.
Ancora oggi non si sa se i dati siano finiti nelle mani di malintenzionati o se tutto sia avvenuto a causa di un semplice sbaglio che ha stravolto l’instradamento. Certo il traffico su internet, soprattutto quello in chiaro, è troppo vulnerabile e occorrerebbero controlli più accurati sui percorsi seguiti dai pacchetti sulle reti informatiche.
Un altro caso importante simile si è verificato nel novembre 2018. Tutto nasce e si basa di nuovo sulla possibilità di che il traffico BGP sia mal configurato nei cosiddetti PoP (Point of Presence- Punti di Presenza) che un dato operatore telefonico possiede.
Un PoP è rappresentabile come un insieme di routers, servers, computers, ospitati in un certo Data Center o IXP (Internet Exchange Point), utilizzato per dare accesso alla rete da parte di un ISP. Il possedere nodi critici nello scambio dei pacchetti dati in Internet, appartiene a providers cosiddetti di livello Tier 1, la cui influenza quindi sui flussi dati che viaggiano in rete può essere enorme.
Sicurezza dei protocolli Internet nelle reti 5G: le evoluzioni
La situazione già abbastanza difficile dal punto di vista tecnico, si complica ulteriormente se aggiungiamo i dubbi circa un utilizzo legittimo da parte degli operatori di rete delle proprie apparecchiature e connessioni. La guerra commerciale tra USA e Cina, che coinvolge ultimamente anche i fornitori cinesi di apparati di telecomunicazione, non fa che rendere più fosco il quadro entro cui cercare soluzioni al problema.
Varie accuse di manipolazione di schede madri destinate alle infrastrutture critiche americane e violazione di sanzioni internazionali, mostrano la tensione che si sta preparando tra le superpotenze, per primeggiare in campo tecnologico.
Numerose sfide digitali si presentano all’orizzonte nei prossimi mesi: non solo 5G ma anche Blockchain, Intelligenza Artificiale, Quantum Computing, Criptovalute e Big Data saranno il terreno di grandi battaglie sia sulle capacità tecniche sia sugli aspetti diplomatici e di potere. Cercare un coordinamento tra le grandi aziende del pianeta su aspetti di sicurezza può diventare estremamente difficoltoso.
Per quanto riguarda le possibili mitigazioni, possiamo fare le seguenti considerazioni.
Le difese attuali non sono sufficienti per proteggere le reti da attacchi al protocollo BGP. Sono infatti tecniche fondamentalmente di tipo reattivo, mentre servirebbero tecniche preventive e pro attive, che però incontrano ostacoli da parte degli operatori sia di tipo tecnico che finanziario per poter essere implementate in tutto il mondo.
Il rilevamento e la successiva mitigazione di un evento di attacco al BGP richiedono ancora tempi lunghi. Migliorare la velocità ed efficacia di questi aspetti diventa di cruciale importanza. Soprattutto è necessario riuscire ad abbassare il numero dei cosiddetti falsi positivi, cioè eventi innocui di BGP Hijacking scambiati per eventi di attacco.
Cambi legittimi nelle policy di instradamento di rete (tramite annunci di sotto-prefissi o quando di stabilisce una nuova connessione) potrebbero essere considerati sospetti dai sistemi di rilevamento anomalie che sono gestiti dai fornitori di servizi digitali. Per evitarlo, gli operatori dovrebbero tempestivamente informare la rete circa ogni decisione di instradamento e condividere informazioni private.
D’altro lato, adottando una policy meno restrittiva per compensare la mancanza di informazioni aggiornate e ridurre i falsi positivi, si incorre nel pericolo di trascurare eventi reali di dirottamento, cioè assecondare i falsi negativi.
Una delle questioni aperte che impedisce l’adozione delle tecniche di rilevamento da terze parti, é la privacy, perché è difficile che gli ISP forniscono facilmente le loro policy. Similmente gli operatori sono riluttanti ad adottare servizi di mitigazione che richiedano ad altre organizzazioni di fornire informazioni sui prefissi da annunciare.
Sebbene possano essere di aiuto varie tecniche crittografiche di verifica delle informazioni trasmesse dai vari sistemi autonomi, esse introducono un overhead nell’elaborazione dei routers rendendo difficile una loro adozione in tempi brevi.
Esiste anche una community on line (MANRS) ovvero “Mutually Agreed Norms for Routing Security”, di operatori di rete e IXP che si pone l’obiettivo di creare una baseline globale di aspetti di sicurezza dedicati all’ instradamento, supportato dall’Internet Society che elenca azioni tipo filtraggio, anti-spoofing, monitoraggio e via dicendo.
Al momento di scrivere, il NIST (National Institute of Standards and Technology) ha appena pubblicato il documento SP 800-189, dal titolo “Secure Interdomain Traffic Exchange: BGP Robustness & DDOS Mitigation”.
Esso contiene ben 65 raccomandazioni dedicate alla sicurezza del BGP, volte ad indirizzare tutte le principali problematiche di questo protocollo ed in particolare due di esse saranno dedicate alla possibile soluzione della perdita di instradamento (accidentale o malevola).
Vedremo se questi sforzi di standardizzazione daranno il loro frutto nel futuro prossimo.