Get best of the week

Comment Rostelecom a redirigé par erreur le trafic vers Google, AWS, Cloudflare, etc.

Plus tôt cette semaine (du 1er au 5 avril 20), le trafic destiné à plus de 200 des plus grands fournisseurs de CDN et de cloud au monde a été redirigé de manière suspecte via Rostelecom (le principal fournisseur de télécommunications de Russie).

L'incident a affecté plus de 8 800 routes de trafic Internet sur 200+ réseaux et a duré environ une heure.

Les entreprises concernées sont celles qui sont sur le marché du cloud et du CDN, y compris de grands noms tels que Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner et Linode.

Détails techniques



L'incident est le détournement BGP classique .

BGP signifie Border Gateway Protocol et est un système de facto utilisé pour acheminer le trafic Internet entre les réseaux Internet du monde entier.

L'ensemble du système de routage Internet est encore extrêmement fragile, car n'importe quel réseau participant peut simplement «mentir» et publier une publicité (route BGP) indiquant que des «serveurs Facebook» se trouvent sur son réseau, et de nombreux fournisseurs le jugeront légal et envoyer tout le trafic Facebook aux serveurs "filou".

Visite historique


Autrefois, avant que le HTTPS ne soit largement utilisé pour crypter le trafic, les pirates BGP permettaient aux attaquants de mener des attaques « man-in-the-middle » et d'intercepter / modifier le trafic Internet.

Actuellement, les hacks BGP sont toujours dangereux car ils permettent à un attaquant d'enregistrer le trafic, de l'analyser et de le décrypter plus tard, lorsque le cryptage utilisé pour le protéger a été affaibli en raison des progrès de la cryptographie.

Les hacks BGP ont été un problème pour la dorsale Internet depuis le milieu des années 90, et des efforts pour renforcer la sécurité du protocole BGP ont été déployés au fil des ans, avec des projets tels que ROV, RPKI et, plus récemment, MANRS .

Cependant, les progrès dans l'adoption de nouveaux protocoles sont lents et l'usurpation BGP continue de se produire régulièrement.

Par exemple, en novembre 2018, un petit fournisseur Internet nigérian a intercepté du trafic destiné au réseau Google, et en juin 2019, la majeure partie du trafic mobile européen a été redirigée via China Telecom , le plus grand opérateur de télécommunications détenu par l'État en Chine.

Rostelecom - un récidiviste


Dans le passé, les experts ont noté à plusieurs reprises que tous les "pirates de l'air" BGP n'avaient pas agi de manière délibérée. La plupart des incidents peuvent être le résultat d'un facteur humain: l'opérateur a scellé lors de la composition de l' ASN (le code par lequel les entités Internet sont identifiées) et a accidentellement volé le trafic Internet de cette société.

Cependant, les organisations qui surveillent régulièrement les détournements de BGP, ainsi que les incidents que de nombreux experts qualifient de suspects, suggèrent qu'il ne s'agit souvent pas seulement d'erreurs aléatoires.

China Telecom est actuellement considéré comme le plus grand criminel sur ce front [ 1 , 2 ].

Malgré le fait que Rostelecom ( AS12389) ne participe pas aux «détournements» BGP aussi répandus que China Telecom, il est également à l'origine de nombreux incidents suspects similaires.

Le dernier détournement majeur de Rostelecom a eu lieu en 2017, lorsque les routes BGP ont été remplacées pour plusieurs des plus grandes institutions financières du monde, dont Visa, Mastercard, HSBC et bien d'autres.

À ce moment-là, Cisco BGPMon a qualifié l'incident de «curieux», car il ne concernait apparemment que les services financiers, pas les ASN aléatoires.

Cette fois, tout est ambigu: le fondateur de BGPMon, Andrée Toonk, doute de la concentration de l'opérateur russe et a déclaré sur son twitterque le "piratage" s'est produit après que le sous-système de gestion du trafic interne de Rostelecom ait pu révéler accidentellement les mauvaises routes BGP sur l'Internet public, et non sur le réseau interne de Rostelecom.

Selon la situation dans son ensemble


Comme de nombreux experts Internet l'ont noté dans le passé, le détournement délibéré de BGP peut ressembler à une erreur accidentelle, et personne ne peut remarquer la différence.

Les enlèvements de BGP dans des organisations de télécommunications contrôlées par l'État dans des pays autocratiques tels que la Chine et la Russie seront toujours considérés comme suspects, principalement pour des raisons politiques et non techniques.

Plus de liens:
plus d'informations sur cette fuite de routes à partir du 2 avril: habr.com/ru/company/qrator/blog/495274
réponse des médias et réponse de Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles