Sapere se il BGP del proprio fornitore internet è sicuro

Test per scoprire se il protocollo BGP del proprio ISP è messo in sicurezza dalla certificazione Resource Public Key Infrastructure (RPKI) o no

Il protocollo BGP (Border Gateway Protocol) è il protocollo con il quale su internet vengono instradati i dati tra i vari server.

Per impostazione predefinita il BGP non incorpora alcun protocollo di sicurezza, ciò significa che durante il percorso di instradamento vi è la possibilità che il traffico internet a un certo punto venga dirottato su server malevoli (una pratica nota con il nome di BGP hijack), magari per rubare informazioni (ad esempio tramite tecniche di phishing) o comunque per altri scopi malevoli.

Mettere in sicurezza il protocollo BGP spetta al fornitore internet al quale si è abbonati (ISP) che in tal senso deve provvedere a implementare il sistema di certificazione Resource Public Key Infrastructure (RPKI) per instradare il traffico internet su server legittimi senza che i dati vengano dirottati.

In tal senso Cloudflare, la nota società americana che si occupa di servizi di sicurezza internet e servizi di DNS (vedi ad esempio i DNS sicuri 1.1.1.1), ha reso disponibile il test Is BGP safe yet? per scoprire al volo se il proprio ISP ha implementato o meno lo standard RPKI.
Pagina web del test Is BGP safe yet
Per avviare il test si deve cliccare il pulsante “Test your ISP” . Se il risultato restituito è “Failure” significa che il provider non fa uso del sistema di certificazione Resource Public Key Infrastructure (RPKI), dunque il protocollo BGP non è sicuro.

C’è da dire che sono ancora pochi gli ISP virtuosi che hanno messo in sicurezza il protocollo BGP, fra i quali Telia e NTT; attualmente tanti sono i nomi noti che da questo punto di vista sono carenti, come fra gli altri: Google, Vodafone, Deutsche Telekom, Comcast.

L’aver reso pubblica questa situazione da parte di Cloudflare sicuramente contribuirà a dare uno scossone alle società carenti, dalle quali nei prossimi mesi c’è dunque da aspettarsi (almeno si spera) un adeguamento agli standard di sicurezza del protocollo BGP.

LEGGI ANCHE: Guida a DNSCrypt per impedire all’ISP di vedere i siti visitati criptando le query DNS