Get best of the week

Cómo Rostelecom redirigió el tráfico por error a Google, AWS, Cloudflare, etc.

A principios de esta semana (del 1 al 5 de abril, 20) el tráfico destinado a más de 200 de los proveedores de CDN y nube más grandes del mundo fue redirigido sospechosamente a través de Rostelecom (el principal proveedor de telecomunicaciones de Rusia).

El incidente afectó a más de 8,800 rutas de tráfico de Internet de más de 200 redes y duró aproximadamente una hora.

Las empresas afectadas son aquellas que están en la nube y en el mercado de CDN, incluidos grandes nombres como Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner y Linode.

Detalles técnicos



El incidente es el clásico secuestro de BGP .

BGP significa Border Gateway Protocol y es un sistema de facto utilizado para enrutar el tráfico de Internet entre redes de Internet en todo el mundo.

Todo el sistema de enrutamiento de Internet sigue siendo extremadamente frágil, porque cualquiera de las redes participantes puede simplemente "mentir" y publicar un anuncio (ruta BGP) que indique que los "servidores de Facebook" están en su red, y muchos proveedores lo considerarán legal y envíe todo el tráfico de Facebook a los servidores "embaucadores".

Tour de historia


En los viejos tiempos, antes de que HTTPS se usara ampliamente para encriptar el tráfico, los piratas informáticos de BGP permitían a los atacantes llevar a cabo ataques " intermedios " e interceptar / modificar el tráfico de Internet.

Actualmente, los hacks BGP siguen siendo peligrosos porque permiten a un atacante registrar el tráfico, analizarlo y descifrarlo más tarde, cuando el cifrado utilizado para protegerlo se debilitó debido a los avances en la criptografía.

Los piratas informáticos BGP han sido un problema para la red troncal de Internet desde mediados de los 90, y los esfuerzos para fortalecer la seguridad del protocolo BGP se han realizado a lo largo de los años, con proyectos como ROV, RPKI y , más recientemente, MANRS .

Sin embargo, el progreso en la adopción de nuevos protocolos es lento, y la suplantación de BGP continúa ocurriendo regularmente.

Por ejemplo, en noviembre de 2018, un pequeño proveedor de Internet nigeriano interceptó el tráfico destinado a la red de Google, y en junio de 2019, la mayor parte del tráfico móvil europeo fue redirigido a través de China Telecom , el operador de telecomunicaciones más grande y de propiedad estatal en China.

Rostelecom - un delincuente repetido


En el pasado, los expertos han señalado repetidamente que no todos los "secuestradores" de BGP actuaron a propósito. La mayoría de los incidentes pueden ser el resultado de un factor humano: el operador se cerró al marcar el ASN (el código por el cual se identifican las entidades de Internet) y robó accidentalmente el tráfico de Internet de esta empresa.

Sin embargo, las organizaciones que monitorean regularmente los secuestros de BGP, así como los incidentes que muchos expertos llaman sospechosos, sugieren que a menudo no se trata solo de errores aleatorios.

China Telecom se considera actualmente el mayor criminal en este frente [ 1 , 2 ].

A pesar del hecho de que Rostelecom ( AS12389) no participa en los "secuestros" de BGP tan difundidos como China Telecom, también está detrás de muchos incidentes sospechosos similares.

El último secuestro importante de Rostelecom ocurrió en 2017, cuando las rutas BGP fueron reemplazadas por varias de las instituciones financieras más grandes del mundo, incluidas Visa, Mastercard, HSBC y muchas otras.

En ese momento, Cisco BGPMon describió el incidente como "curioso", ya que aparentemente solo afectaba a los servicios financieros, no a los ASN aleatorios.

Esta vez, todo es ambiguo: el fundador de BGPMon, Andree Toonk, duda del enfoque del operador ruso y dijo en su twitterque el "pirateo" se produjo después de que el subsistema de gestión del tráfico interno de Rostelecom pudiera revelar accidentalmente las rutas BGP incorrectas en Internet pública, y no en la red interna de Rostelecom.

Según la situación en su conjunto


Como muchos expertos de Internet han notado en el pasado, el secuestro deliberado de BGP puede parecer un error accidental, y nadie puede notar la diferencia.

Los secuestros de BGP en organizaciones de telecomunicaciones controladas por el estado en países autocráticos como China y Rusia siempre se considerarán sospechosos, principalmente por razones políticas, no técnicas.

Más enlaces:
más sobre esta filtración de rutas del 2 de abril: habr.com/ru/company/qrator/blog/495274
respuesta de los medios y la respuesta de Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles