Obstáculos no caminho
É um fato comum que a implementação do IPv6 é bastante lenta – cerca de 21% dos sites suportam o trabalho com ele. Os especialistas esperam que a migração em massa para um protocolo de nova geração não ocorra antes de dez anos. Há vários motivos para isso: dificuldades técnicas e financeiras, bem como a presença do NAT, que “suaviza” a escassez de endereços IPv4. No entanto, o processo também é prejudicado por questões relacionadas à segurança das informações.
O lançamento oficial do IPv6 ocorreu há quase dez anos, mas os engenheiros ainda estão encontrando vulnerabilidades na pilha técnica. Assim, em 2020, foi descoberto um bug relacionado ao ICMPv6, que usa o mecanismo de declaração do roteador (CVE-2020-16898).
Um dos problemas mais recentes foi identificado por especialistas do Max Planck Institute of Informatics no final de março. De acordo com seu relatório, os dispositivos que usam o mecanismo EUI-64 para gerar o identificador de interface (a segunda parte do endereço IPv6) comprometem a operação da rede em que estão localizados.
Como isso aconteceu?
Existe um mecanismo SLAAC que permite que o dispositivo obtenha informações de prefixo do roteador sem a ajuda de um protocolo de configuração de nós DHCPv6. Essas informações e o identificador de interface (IID) de 64 bits são necessários para obter um endereço de rede IPv6 individual.
Uma maneira de gerar um IID exclusivo é gerá-lo com base no endereço MAC do dispositivo (mecanismo EUI-64). No entanto, atualmente, essa abordagem é considerada não apenas não confiável, mas até mesmo perigosa, pois revela o identificador de hardware no nível da rede. Portanto, a comunidade desenvolveu extensões especiais para a pilha IPv6, por exemplo, descritas em RFC4941, que “randomizam” a parte do endereço selecionada pelo host. Ao mesmo tempo, os provedores de serviços de Internet substituem os prefixos de endereço para proteção adicional.
Mas, infelizmente, vários desenvolvedores de hardware (em sua maioria, dispositivos da Internet das Coisas) ainda usam o EUI-64 “puro” para gerar o IID. Com sua ajuda, os invasores podem identificar o fabricante do dispositivo de rede (e, como resultado, possíveis vulnerabilidades), bem como monitorar outros dispositivos na rede usando um IID semelhante.
O que deve ser feito
Em geral, a solução para o problema recai sobre os desenvolvedores de hardware e software – eles devem prestar atenção à segurança das informações dos dispositivos e ativar os mecanismos de segurança disponíveis por padrão.
De acordo com os especialistas, a questão também pode ser resolvida em nível governamental, se os órgãos reguladores exigirem que os fornecedores certifiquem os produtos quanto à conformidade com os padrões que permitem fechar as vulnerabilidades da EUI-64. Ao mesmo tempo, os provedores de serviços de Internet podem verificar os roteadores antes de entregá-los aos seus clientes.