O BGP ainda não é seguro?

 (isbgpsafeyet.com)
2 pontos por GN⁺ 27 일 전 | 1 comentários | Compartilhar no WhatsApp
  • BGP (Border Gateway Protocol), o principal protocolo de roteamento da internet, é responsável pela seleção de rotas, mas não tem verificação de segurança embutida
  • Por isso, se informações incorretas de rota forem propagadas, podem ocorrer sequestro de tráfego ou falhas em larga escala; para evitar isso, foi introduzido o RPKI (Resource Public Key Infrastructure)
  • O RPKI verifica criptograficamente a autenticidade das rotas, podendo classificar rotas incorretas como invalid e bloqueá-las
  • A Cloudflare rastreia e publica o status de adoção de RPKI por grandes ISPs e operadoras de trânsito em todo o mundo, e algumas ainda permanecem em estado unsafe
  • O roteamento da internet só poderá se tornar seguro quando todos os principais operadores de rede adotarem totalmente o RPKI e a filtragem

O BGP ainda não é seguro?

  • O Border Gateway Protocol (BGP) é como o “serviço postal” da internet, responsável por escolher o melhor caminho entre as rotas possíveis para o tráfego de dados
  • Porém, como não possui recursos de segurança embutidos, a propagação de informações incorretas de rota pode causar grandes interrupções na internet ou sequestro de tráfego
  • Para resolver isso, a adoção de um sistema de autenticação chamado Resource Public Key Infrastructure (RPKI) permite verificar a autenticidade das rotas
  • Vários ISPs globais e operadoras de trânsito estão adotando o RPKI, e a Cloudflare acompanha e publica esse progresso
  • A segurança do roteamento da internet depende da adoção do RPKI por todos os principais operadores de rede

Atualizações mais recentes

  • Em 3 de fevereiro de 2026, a operadora global de trânsito Tier-1 Sparkle (AS6762) passou a rejeitar prefixos RPKI-invalid
  • Em 1º de outubro de 2025, a principal operadora de trânsito da Eslováquia, Energotel (AS31117), começou a filtrar rotas RPKI-invalid
  • Em 28 de agosto de 2025, o grande ISP canadense Bell Canada (AS577) passou a filtrar rotas RPKI-invalid em sua rede
  • Em 22 de fevereiro de 2024, a Deutsche Telekom (AS3320), um dos maiores ISPs da Europa, aplicou o RPKI Origin Validation à sua rede global
  • Em 24 de janeiro de 2024, a Verizon (AS701) concluiu a implantação completa de RPKI Origin Validation em toda a sua rede

Status dos principais operadores

  • A Cloudflare publica o status de assinatura e filtragem RPKI de 31 grandes operadoras
  • Grandes operadoras de trânsito como Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo e Vodafone estão todas em estado safe
  • Grandes ISPs como Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom e Bell Canada também já concluíram assinatura e filtragem
  • Algumas operadoras (Google, IIJ, OCN, Vivacom etc.) têm adoção apenas parcial e são classificadas como partially safe
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH etc. ainda permanecem em estado unsafe

O que é BGP hijacking

  • A internet é uma estrutura de rede distribuída composta por milhares de sistemas autônomos (AS)
  • Cada nó decide suas rotas apenas com base nas informações recebidas de nós aos quais está diretamente conectado
  • BGP hijacking é quando um nó malicioso propaga informações incorretas de rota para interceptar tráfego
  • Sem um protocolo de segurança, essas informações incorretas podem se espalhar globalmente, fazendo com que os dados sejam enviados por rotas erradas
  • O RPKI permite invalidar e bloquear essas rotas incorretas por meio de verificação criptográfica

O papel do RPKI

  • O RPKI (Resource Public Key Infrastructure) é um framework de segurança que vincula e verifica criptograficamente rotas e sistemas autônomos
  • Como é impossível verificar manualmente mais de 800 mil rotas da internet, o RPKI automatiza esse processo
  • Quando o RPKI está ativado, mesmo que informações incorretas de rota sejam propagadas, os roteadores podem classificá-las como invalid e rejeitá-las
  • O blog da Cloudflare explica em detalhes como o RPKI funciona e apresenta casos de implantação

Por que o BGP não é seguro

  • Por padrão, o BGP não possui um protocolo de segurança embutido
  • Cada sistema autônomo precisa executar por conta própria a filtragem de rotas incorretas
  • O vazamento de rota (route leak) pode ocorrer por configuração incorreta ou ação maliciosa e pode deixar partes da internet indisponíveis
  • O BGP hijacking pode redirecionar o tráfego para outros sistemas, possibilitando roubo de informações ou espionagem
  • O roteamento só pode ser seguro quando todos os AS anunciarem apenas rotas legítimas e fizerem a filtragem adequada

Como testar

  • A Cloudflare oferece um recurso para testar se um ISP implementou BGP seguro
  • Ela anuncia uma rota legítima, mas marcada intencionalmente como invalid, e o usuário verifica se consegue acessar esse site
  • Se o acesso for possível, isso significa que o ISP em questão está aceitando rotas incorretas

Esforços adicionais de segurança

  • Operadores de rede e desenvolvedores estão trabalhando na padronização para melhorar protocolos de roteamento inseguros
  • A Cloudflare participa da iniciativa MANRS (Mutually Agreed Norms for Routing Security)
    • O MANRS é uma comunidade global voltada ao fortalecimento da infraestrutura de roteamento, e seus membros concordam em implementar mecanismos de filtragem
  • Quanto mais operadoras participarem, maior será o nível de segurança do roteamento em toda a internet

O que os usuários podem fazer

  • É possível compartilhar a página isbgpsafeyet.com para divulgar a necessidade da adoção do RPKI
  • Você pode pedir ao seu ISP ou provedor de hospedagem que adote RPKI e participe do MANRS
  • A internet como um todo só poderá se tornar segura quando os principais ISPs adotarem o RPKI
  • A Cloudflare reforça a mensagem: “quando a internet fica mais segura, todos se beneficiam”

Leituras relacionadas

1 comentários

 
GN⁺ 27 일 전
Comentários do Hacker News

  • O RPKI não torna o BGP completamente seguro, apenas mais seguro
    O hijacking de BGP ainda é possível, e o RPKI só valida a propriedade do prefixo, sem proteger o caminho em si
    Um atacante ainda pode fingir estar no caminho do AS da vítima e interceptar o tráfego
    O BGPSec, proposto para resolver isso, é considerado difícil de implantar na prática

    • Foi proposto o uso de Proof-Carrying Data para resolver os problemas de segurança do BGP
      Nesse modelo, cada mensagem inclui uma prova criptográfica de que foi gerada corretamente, e o tempo de verificação permanece constante independentemente do tamanho da rede ou do número de hops
      Como no BGP a latência não é crítica e o protocolo é simples, essa abordagem pode ser viável na prática
      Para mais detalhes, veja o texto do rot256.dev
      O RPKI continuaria necessário, mas o BGPSec deixaria de ser
    • Atualmente existe a ASPA como tentativa de mitigar esse problema
      Ainda há um longo caminho pela frente, mas instituições importantes já estão participando
      Link para o rascunho da IETF
    • O RPKI permite validar a propriedade do prefixo, mas o caminho continua baseado em confiança
      Passa a sensação de que só a parte mais fácil de verificar foi reforçada
    • O estado ideal de “segurança” é impossível
      No fim, todo sistema criptográfico depende da confiança em registros ou instituições operadas por humanos
      O RPKI é melhor do que não ter nada, mas interpretar isso como “agora já está seguro o suficiente” é perigoso

  • Vendo que grandes ISPs e operadoras móveis dos EUA oferecem suporte a isso, parece que a adoção é bem alta
    Mas fico me perguntando quantos ISPs seriam necessários para que desse para chamar de “seguro”, e se há diferenças por região

    • Se todos os principais ISPs de trânsito aplicarem isso, provavelmente já seria suficiente
      Se rotas sem RPKI não conseguirem passar pelo trânsito, acabam se tornando irrelevantes naturalmente
    • Na prática, bem mais que 4: há 254 operadoras marcadas como ‘unsafe’
      É preciso clicar em ‘Show all’ para ver a lista completa
    • Uso a Sky no Reino Unido e ela aparece como ‘unsafe’
      Seria bom ter uma tabela com filtros por país e por tipo de operadora
    • Na T-Mobile USA, os resultados de teste mostram aprovação e reprovação ao mesmo tempo, o que é confuso
    • British Telecom, NTT Docomo, Vodafone Espana, Starlink, Rogers e outras operadoras grandes também aparecem como ‘unsafe’
      Dizer que só 31 são seguras passa uma imagem otimista demais

  • É irônico que seja um site feito pela Cloudflare
    Talvez seja uma das entidades com maior chance de quebrar a internet em 2026

    • Hoje em dia é comum empresas fazerem campanhas para convencer o público em direções que lhes favorecem
      Se o RPKI for vantajoso para elas, divulgam como “tecnologia essencial para a segurança da internet”,
      e se precisarem de verificação de identidade, levantam a bandeira da “proteção infantil”
      Esse tipo de marketing já se repetiu nas indústrias de vacinas, armas e tabaco

  • RPKI agora já não é só ROA
    O hijacking de BGP pode acontecer também em pontos que não sejam o primeiro ou o último hop
    O site deveria ser atualizado para também testar prefixos ASPA-invalid

  • O ISP Free SAS aparece como ‘unsafe’, mas no teste real o resultado dá sucesso
    Em valid.rpki.isbgpsafeyet.com,
    ele lida corretamente com prefixos válidos, e em invalid.rpki.isbgpsafeyet.com também trata corretamente prefixos inválidos

  • O ISP aparece como unsafe na tabela, mas no teste consta como seguro

    • A última atualização da tabela foi em 3 de fevereiro, então parece que o RPKI foi aplicado nesse meio-tempo

  • O gráfico em que o atacante roteia o tráfego para um site malicioso é um pouco enganoso
    Se o certificado SSL não for válido, o navegador bloqueia, então o dano real é limitado
    Ainda assim, isso pode continuar sendo explorado para ataques de negação de serviço (DoS)

    • Um atacante que controle o destino pode até obter um certificado SSL válido via Let’s Encrypt ou serviço semelhante

  • RPKI e ASPA tornam a rede mais segura contra outras redes, mas aumentam a dependência de registros
    Se um país for sancionado e perder acesso ao registro, ele não conseguirá mais atualizar seus registros

    • Na verdade, os registros já podiam revogar alocações numéricas antes
      O RPKI apenas tornou esse poder mais forte
      No fim das contas, estamos fazendo networking sob aprovação da IANA,
      e para sair disso seria preciso redesenhar completamente o sistema de ASN e alocação de IP

  • O BGP só vai ficar realmente seguro quando o abandonarmos e passarmos a usar SCION
    Veja o artigo da Wikipédia sobre SCION

    • Mas o SCION é visto como snake oil entre operadores de rede
      A estrutura centrada em um único fornecedor, a falta de suporte a ASIC, blockchain e greenwashing fizeram o projeto perder credibilidade
      Ele está sendo testado na Suíça, mas no restante do setor não é levado a sério
    • Para ficar realmente seguro, seria preciso migrar para uma nova arquitetura de roteamento como o Yggdrasil
      Veja o projeto Yggdrasil
    • Fico me perguntando por que essa transição ainda não aconteceu

  • O RPKI só torna o BGP um pouco mais seguro, não é uma solução completa
    Ele bloqueia parte dos hijackings, mas ainda é só um remendo temporário sobre um sistema baseado em confiança