O Low Orbit Security Radar é um boletim informativo semanal sobre segurança, sob a perspectiva de um praticante ofensivo. O foco é apresentar uma ideia, notícias selecionadas e links que valem a sua atenção.

Recentemente, durante a crise de apagão na Venezuela, ocorreram anomalias significativas no BGP. A frase "Estava escuro, as luzes de Caracas estavam em sua maioria apagadas devido a uma certa expertise que temos" chamou minha atenção, mas prefiro não comentar sobre a situação geopolítica, concentrando-me no que sei sobre segurança ofensiva.

O General John D. Caine mencionou em uma coletiva de imprensa: "Ao se aproximarem das costas venezuelanas, os Estados Unidos começaram a aplicar diferentes efeitos fornecidos pelo SPACECOM, CYBERCOM e outros membros da interagência para criar um caminho". As operações cibernéticas antes de ações militares tradicionais têm se tornado um padrão comum, o que me levou a investigar as falhas de conexão relatadas.

O BGP, que é um protocolo usado por roteadores para determinar o caminho que os dados percorrem até seu destino, surgiu como a primeira questão a ser considerada. Este protocolo é conhecido por sua insegurança, e muitos dados sobre BGP estão disponíveis em conjuntos de dados públicos. A CANTV (AS8048), telecomunicação estatal da Venezuela, é um dos principais focos nesta análise.

Dados do Cloudflare Radar em relação a vazamentos de rotas de AS8048 em 2 de janeiro revelaram algumas anomalias intrigantes, onde 8 prefixos estavam sendo roteados através da CANTV, envolvendo fornecedores de trânsito como Sparkle e GlobeNet no caminho de Sistema Autônomo (AS). Vale ressaltar que a Sparkle é classificada como "não segura" pelo isbgpsafeyet.com, pois não implementa algumas características de segurança BGP, como filtragem RPKI.

Além disso, houve um aumento notável nos anúncios BGP nos dias que antecederam os eventos, com uma queda drástica no espaço de endereços IP anunciados, embora o que isso realmente indica ainda seja incerto. Também é digno de nota que o caminho AS continha CANTV repetido 10 vezes, o que é incomum, pois isso tornaria a rota menos atraente, já que o BGP prefere caminhos mais curtos.

A análise mais aprofundada dos dados do BGP, usando uma ferramenta chamada bgpdump, revelou informações mais claras, incluindo prefixos que estavam ausentes nos dados do Cloudflare. O intervalo de endereços 200.74.224.0/20 pertence à Dayco Telecom, um provedor de hospedagem e telecomunicações em Caracas, e uma busca reversa de DNS revela que alguns desses intervalos pertencem a infraestruturas críticas, como bancos e provedores de internet.

A cronologia dos eventos é intrigante: em 2 de janeiro, um vazamento de rotas BGP foi detectado, seguido por relatos de explosões em Caracas e a chegada de soldados dos EUA ao local de Maduro. Isso levanta questões sobre o que aconteceu realmente e qual foi o papel do BGP nesse contexto.

Independentemente do objetivo real, é inegável que ocorreram manipulações de BGP durante esse período. Há uma quantidade significativa de dados disponíveis publicamente que merece uma análise mais profunda para entender exatamente o que ocorreu.

O Low Orbit Security Radar é enviado diretamente para sua caixa de entrada todas as segundas-feiras. Inscreva-se para receber! Sem spam, apenas segurança.