NIC.br

Ir para o conteúdo
19 DEZ 2018

GTER 46 e GTS 32: Debates reforçam importância da segurança de roteamento




Evento realizado pelo NIC.br também discutiu questões relativas ao Sistema de Nomes de Domínio (DNS) e ao mercado de vulnerabilidades

O segundo encontro conjunto do GTER (Grupo de Trabalho de Engenharia e Operação de Redes) e GTS (Grupo de Trabalho em Segurança de Redes) em 2018 reforçou a importância da segurança de roteamento para o futuro e a estabilidade da Internet. Parte da programação da VIII Semana de Infraestrutura da Internet no Brasil, realizada pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), a 46ª reunião do GTER e a 32ª reunião do GTS contaram nessa quinta e sexta-feira (13 e 14 de dezembro) com mais de 350 participantes em São Paulo, além daqueles que acompanharam a transmissão ao vivo pela Internet, com destaque para os hubs remotos da Universidade Federal do Ceará (UFC) e do Instituto Federal do Rio Grande do Norte (IFRN).

O RPKI (Resource Public Key Infrastructure) foi discutido no GTER 46 a partir das apresentações de Carlos Martinez-Cagnazzo, CTO do LACNIC - e Frederico Neves, Diretor de Serviços e Tecnologia do NIC.br). O uso do framework, que utiliza certificados de chaves públicas para promover a segurança no roteamento da Internet , permite que entidades que administram recursos de numeração previnam o sequestro de rotas e outros ataques.

"Gosto de uma frase que define o BGP (Border Gateway Protocol) como um protocolo que roteia com base em 'rumores'. Isto é, funciona inteiramente baseado na confiança. Os Sistemas Autônomos injetam 'rumores' na Internet, mas o que acontece quando essas informações são falsas ou incorretas? E o que podemos fazer a respeito?", questionou Martinez-Cagnazzo, lembrando do caso que ganhou repercussão internacional envolvendo o sequestro de tráfego do YouTube pela Pakistan Telecom. Também durante o evento, o CTO do LACNIC descreveu como a validação de origem dos anúncios funciona, quais são os estados de validez e também as experiências regionais exitosas no uso do RPKI, a exemplo do NAP.ec (Equador), CRIX (Costa Rica), RENATA (Colômbia) e PIT Chile.

E o Brasil? "De forma integrada com o IX.br, o NIC.br está trabalhando em relação ao controle de anúncios inválidos e o RPKI é uma das linhas de atuação", pontuou Frederico Neves. Ele explicou ainda que a nova interface do sistema de numeração, com previsão de lançamento para maio de 2019, terá melhor usabilidade, suporte a DNSSEC e estará preparada para RPKI. "Ou seja, terá condições de fazer provisionamento em situação delegada ou hospedada no futuro". O diretor de Serviços e Tecnologia do NIC.br também comentou que a entidade oferece suporte ao desenvolvimento do software RPKI Tools da NLnet Labs, que será utilizado no serviço do '.br'. A primeira versão da produção está prevista para dezembro de 2019. "Estamos planejando tutoriais de produção de RPKI para a Semana de Infraestrutura de 2019", antecipou.

DNS Flag Day e Rollover KSK
Questões relativas ao Sistema de Nomes de Domínio (Domain Name System – DNS) também foram pautadas no GTER 46 por Hugo Salgado (NIC Chile), que abordou o fim dos patches provisórios para o DNS a partir da iniciativa "DNS Flag Day", e também por Ed Lewis (ICANN), que detalhou a troca da chave criptográfica que assina a raiz do DNS (Rollover KSK).

Hugo Salgado destacou dois pontos principais sobre o "DNS Flag Day": é uma campanha mundial que terá impacto para nomes de domínio hospedados em servidores com versões obsoletas de software de DNS e, a partir de 1º de fevereiro de 2019, os quatro principais provedores de software para DNS recursivo - Bind, Unbound, PowerDNS e Knot - lançarão conjuntamente novas versões de seus sistemas, além de alterações operacionais de operadores de DNS como Google, Cisco e Cloudflare, colocando um fim aos patches provisórios históricos. "Essas mudanças irão afetar os sítios que operam softwares fora dos padrões internacionais", afirmou.

Para checar se o seu sítio será impactado, Salgado recomenda utilizar a ferramenta de verificação disponível no sítio da campanha. Já para corrigir os erros, ele pontua a necessidade de usar um software DNS moderno, de acordo com padrões internacionais, e também ater-se às regras de firewall.

Já Ed Lewis (ICANN) apresentou o status e lições aprendidas sobre a troca da chave criptográfica que assina a raiz do DNS (Rollover KSK). Uma das dificuldades do projeto, de acordo com Lewis, foi mobilizar os atores envolvidos para que a troca da chave acontecesse de forma coordenada. "Temos o desafio de comunicar uma grande mudança na Internet para uma audiência que não conhecemos. Não temos uma lista de todos os operadores que configuram as chaves, pois a própria Internet foi construída de forma que não há necessidade de pedir permissão para operar na rede", afirmou.

Uma das alternativas encontradas pela ICANN foi a realização de uma pesquisa com Sistemas Autônomos (AS). "Mais de 16 mil AS de todo o mundo informaram que estão se preparando para a troca da chave criptográfica. Tivemos uma grata surpresa: 18% dos sistemas são do Brasil. Esse é um número muito expressivo e mostra que a comunidade local está bem informada sobre a iniciativa".

Trânsito pago sob demanda
Outro assunto de destaque na 46ª reunião do GTER, foi o trânsito pago sob demanda debatido a partir da modalidade Burstable e medição do percentil 95 (baseada nos picos de uso desprezando 5% do total das maiores amostras). "No trânsito Burstable, o cliente se compromete contratualmente com uma quantidade mínima de uso mensal denominada CIR (Commited Information Rate) e recebe uma porta com capacidade maior que pode ser utilizada em pico a qualquer momento de necessidade", explicou Fernando Frediani (consultor) em apresentação introdutória.

Uma das vantagens para quem compra trânsito por este tipo de modalidade, de acordo com Frediani, é o uso mais flexível do link de trânsito IP em momentos de necessidade ou de emergência. Já para quem vende trânsito Burstable, o principal benefício é a expectativa de faturamento extra do cliente. Para ambos: a possibilidade de atendimento pontual da demanda de clientes sem necessidade de renegociação contratual com o upstream é um grande benefício.

Quais aspectos os clientes devem levar em consideração e como as empresas devem preparar o backbone para ter um produto lucrativo? "Controle e infraestrutura são as palavras-chaves", pontuou Edivan Silva (Angola Cables). Em complemento, Fábio Monteiro (Sparkle - Sales Manager) comentou que "do ponto de vista da operadora, é necessário olhar todos os clientes do backbone, calcular não só a entrada, mas também todas as saídas de rede, verificar como está o peering". Em relação ao preço, Tiago Carrijo Setti (NuiTec) opina que "a competição está tão feroz que eu acredito que o valor do megabit não irá aumentar". O consultor recomenda que os clientes invistam na negociação antes de fechar negócio. "Não existe uma regra padrão para o trânsito pago sob demanda, é algo que varia bastante, pois depende da rede, da operadora, da região. Vale negociar", aconselhou.

Roteamento
Além das apresentações sobre RPKI, questões sobre a segurança de roteamento também foram discutidas no GTER 46 por Douglas Fischer (Unioeste), que explicou como os provedores de acesso e serviços (ISP - Internet Service Provider) podem fazer a automatização de listas de prefixos em peering BGP. O tema voltou a ter destaque na programação da 32º reunião do GTS, com as apresentações de Leandro Bertholdo (PoP-RS da RNP) sobre ataques a infraestrutura BGP e medidas de contenção; de Lucimara Desiderá (NIC.br), que detalhou a iniciativa do LACNOG e M³AAWG que estabelece requisitos mínimos de segurança para aquisição de CPE (equipamentos que conectam os usuários à rede dos provedores); e também de Gilberto Zorello (NIC.br) a respeito das atualizações do programa 'Por uma Internet mais Segura' – assunto que também foi debatido em painel durante o IX Fórum 12 com a presença de Zorello e Desiderá.

Mercado de vulnerabilidades
Também durante o GTS 32, Vinícius Oliveira Ferreira (IBM) fez um resgate histórico das guerras cibernéticas e explicou como funciona o mercado de vulnerabilidades. A partir de 2010, com a Stuxnet, todas as grandes potências passaram a encarar a Internet como domínio oficial de guerra, com um braço nas Forças Armadas voltado a questões de conflitos cibernéticos. Por que as guerras cibernéticas prosperaram tanto desde então? "Por uma série de questões, algumas óbvias e outras nem tanto. As infraestruturas críticas controladas pelos sistemas computacionais, o alto potencial de impacto e custos reduzidos, as dificuldades de atribuição de autoria e da classificação de um ato de guerra são alguns dos motivos", alegou.

O uso de vulnerabilidade Zero Day (quando o fabricante não sabe que ela existe) possibilitou que muitas operações de guerra fossem possíveis. Ferreira pontua que, para tanto, é necessário ter um estoque considerável dessas vulnerabilidades. Geralmente há duas opções: desenvolve-las ou comprá-las do mercado. Na opinião do estudioso, houve uma expansão do mercado branco, declínio do mercado negro e o surgimento de um mercado cinza. "São vulnerabilidades vendidas a Governos, defense contractors e brokers. Ou seja, instituições legítimas estão adquirindo vulnerabilidades que não são corrigidas e não se sabe para que o exploit será usado". Ainda na avaliação de Ferreira, qualquer atacante sério encontra meios possíveis para explorar vulnerabilidades em praticamente qualquer alvo. "Não é uma questão de 'se', mas de 'quando'. No momento que você começa a pensar dessa forma, dá mais ênfase à contenção e os planos de resposta a incidentes".

Seguro contra riscos cibernéticos
De forma complementar, Mariana Ortiz (Generali Seguros) trouxe a perspectiva das seguradoras sobre incidentes no mundo digital. Na palestra "Seguros contra riscos cibernéticos", enfatizou a necessidade de resposta a incidentes de forma ágil para mitigar os danos. Ortiz pontuou o aumento dos riscos cibernéticos no Brasil, os prejuízos financeiros e ataques mais comuns, lembrando ainda de casos de vazamento de dados que se tornaram públicos. "Grande parte dos ataques tem origem no fator humano. Pode ser, por exemplo, um funcionário que não se adequou à política de segurança da empresa", alertou.

Ainda no que diz respeito ao cenário brasileiro, a especialista questionou quantas empresas têm um plano de resposta a incidentes de segurança que não envolvem somente a equipe de segurança da informação? "As seguradoras sabem que existe uma deficiência grande nas empresas em relação a essas equipes. A remediação é muito mais cara do que a proteção", destacou. "O seguro passa a ser a última linha de defesa. Indiretamente, vai forçar que os operadores tecnológicos passem a ter cuidados que não tinham, pois na hora de contratar o seguro precisam ter adotado boas práticas que regulem aquele risco que vai ser segurado", completou Adriano Cansian (pesquisador da UNESP).

Realizada pelo NIC.br com recursos do registro de domínios .br, a VIII Semana de Infraestrutura da Internet no Brasil contou também com o patrocínio platina do Google, Abranet e Oath, além do patrocínio ouro da Cisco, TDec Extreme, Seaborn, EPS Finisar, NTT Communications e Globenet.

Acesse todas as apresentações do GTER 46 (ftp://ftp.registro.br/pub/gter/gter46/) e do GTS 32 (ftp://ftp.registro.br/pub/gts/gts32/) e também a playlist com os vídeos da reunião conjunta na íntegra: https://www.youtube.com/NICbrvideos/videos.

A próxima reunião conjunta do GTER e GTS será realizada nos dias 23 e 24 de maio de 2019, com local a confirmar.