Durante mucho tiempo he conocido personas que han recomendado insistentemente invertir y difundir el uso de enrutadores de software libre o código abierto debido a sus innegables beneficios y cómo puede servir de gran filtro para un sin fin de vulnerabilidades o vertientes de ataques para la rama de procesos en conexión. En cambio, desde la base, esto se corrige por sí mismo.
La medida en cuestión ha sido catalogada por alguna parte de la comunidad como «exagerada» o innecesaria, pero hoy me voy enterando de una gran vertiente de ataque que, en teoría, se ha estado explotando desde el 2002 y no ha sido corregida en su totalidad.
La vulnerabilidad se llama “TunnelVision” reciente descrita por el grupo de investigadores Leviathan Security, básicamente permite que el ISP o el enrutador local vea el tráfico VPN abusando del cliente DHCP y la opción 121. Cito:
“Recientemente, identificamos una novedosa técnica de red que evita la encapsulación de VPN. Un atacante puede utilizar esta técnica para forzar el tráfico de un usuario objetivo fuera de su túnel VPN utilizando funciones integradas de DHCP (Protocolo de configuración dinámica de host). El resultado de esto es que el usuario transmite paquetes que una VPN nunca cifra y un atacante puede espiar su tráfico. Estamos utilizando el término decloaking para referirnos a este efecto. Es importante destacar que el canal de control de VPN se mantiene para que funciones como los interruptores de apagado nunca se activen y los usuarios continúen apareciendo como conectados a una VPN en todos los casos que hemos observado”.
Conceptos básicos
- Utiliza la red de área local, por lo que estamos hablando de un enrutador hostil.
- Android es seguro de forma predeterminada y no se ve afectado.
- GNU/Linux puede ser seguro si se usa correctamente.
- Microsoft Windows y Apple son altamente vulnerables.
- Aunque Leviatán lo desvelo (más adelante descubrieron que ha habido un hilo de descubrimiento por otros grupos desde el 2015), creen que se ha utilizado en la naturaleza tal vez incluso desde 2002.
- Abusa del servidor DHCP para enrutar paquetes incorrectamente.
- Los dispositivos aleatorios pueden pretender ser el enrutador con ataques DHCP.
El protocolo DHCP opera al otorgar direcciones IP a los dispositivos conectados a una red doméstica mediante un enrutador. Dentro de este proceso, se encuentra la “opción 121”, una característica especial que permite al enrutador, actuando como servidor DHCP, dirigir el tráfico de VPN del usuario de manera más detallada que lo haría una VPN estándar. TunnelVision explota esta opción 121 para guiar deliberadamente el flujo de datos a través de su interfaz virtual, optimizando así la experiencia del usuario en su red.
Cómo pueden protegerse los usuarios de GNU/Linux, cita de Leviatán:
“El uso de espacios de nombres de red en GNU/Linux puede solucionar completamente este comportamiento. Sin embargo, según nuestra experiencia, se implementa con menos frecuencia. La documentación de WireGuard muestra cómo es posible usar un espacio de nombres para todas las aplicaciones con tráfico que deberían usar una VPN antes de enviarlo a otro espacio de nombres que contenga una interfaz física. Sin embargo, esto parece ser una funcionalidad específica de Linux y no está claro si existe una solución para Windows, MacOS u otros sistemas operativos con la misma solidez”.
Es acá cuando pienso ¿Qué más quedará por ahí suelto sin ser descubierto o qué en este momento se esté explotando? Una suposición que puede hacer volver loco a cualquier paranoico.
En fin. Muchas gracias por leer y quedo atento a cualquier contribución; saludos.
