Get best of the week

Bagaimana Rostelecom salah mengarahkan lalu lintas ke Google, AWS, Cloudflare, dll.

Awal pekan ini (1-5 April) lalu lintas yang diperuntukkan bagi lebih dari 200 penyedia CDN dan cloud terbesar dunia dicurigai dialihkan melalui Rostelecom (penyedia telekomunikasi utama Rusia).

Insiden ini mempengaruhi lebih dari 8.800 rute lalu lintas Internet dari 200+ jaringan dan berlangsung sekitar satu jam.

Perusahaan yang terpengaruh adalah mereka yang berada di pasar cloud dan CDN, termasuk nama-nama besar seperti Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner dan Linode.

Rincian teknis



Insiden itu adalah pembajakan BGP klasik .

BGP adalah singkatan dari Border Gateway Protocol dan merupakan sistem de facto yang digunakan untuk merutekan lalu lintas Internet antara jaringan Internet di seluruh dunia.

Seluruh sistem perutean Internet masih sangat rapuh, karena salah satu jaringan yang berpartisipasi dapat "berbohong" dan mempublikasikan iklan (rute BGP) yang menyatakan bahwa "server Facebook" ada di jaringan mereka, dan banyak penyedia akan menganggapnya legal dan kirim semua lalu lintas Facebook ke server "penipu".

Tur sejarah


Di masa lalu, sebelum HTTPS digunakan secara luas untuk mengenkripsi lalu lintas, peretas BGP mengizinkan penyerang melakukan serangan " manusia di tengah " dan mencegat / memodifikasi lalu lintas internet.

Saat ini, peretasan BGP masih berbahaya karena memungkinkan penyerang untuk mendaftarkan lalu lintas, menganalisis dan mendekripsi kemudian, ketika enkripsi yang digunakan untuk melindunginya melemah karena kemajuan dalam kriptografi.

Peretasan BGP telah menjadi masalah bagi tulang punggung Internet sejak pertengahan 90-an, dan upaya untuk memperkuat keamanan protokol BGP telah dilakukan selama bertahun-tahun, dengan proyek-proyek seperti ROV, RPKI, dan yang terbaru, MANRS .

Namun, kemajuan dalam mengadopsi protokol baru lambat, dan spoofing BGP terus terjadi secara teratur.

Sebagai contoh, pada bulan November 2018, penyedia internet kecil Nigeria mencegat lalu lintas yang ditujukan untuk jaringan Google, dan pada Juni 2019, sebagian besar lalu lintas seluler Eropa dialihkan melalui China Telecom , operator telekomunikasi milik negara dan operator telekomunikasi terbesar di Cina.

Rostelecom - pelaku berulang


Di masa lalu, para ahli telah berulang kali mencatat bahwa tidak semua "pembajak" BGP bertindak dengan sengaja. Sebagian besar insiden dapat disebabkan oleh faktor manusia: operator disegel ketika memanggil ASN (kode yang digunakan entitas Internet) dan secara tidak sengaja mencuri lalu lintas Internet perusahaan ini.

Namun, organisasi yang secara teratur memantau pembajakan BGP, serta insiden yang oleh banyak pakar dianggap mencurigakan, menunjukkan bahwa ini sering kali bukan hanya kesalahan acak.

China Telecom saat ini dianggap sebagai penjahat terbesar dalam hal ini [ 1 , 2 ].

Terlepas dari kenyataan bahwa Rostelecom ( AS12389) tidak berpartisipasi dalam "pembajakan" BGP yang tersebar luas seperti China Telecom, ia juga berada di balik banyak insiden mencurigakan serupa.

Pembajakan besar terakhir dari Rostelecom terjadi pada tahun 2017, ketika rute BGP diganti untuk beberapa lembaga keuangan terbesar di dunia, termasuk Visa, Mastercard, HSBC dan banyak lainnya.

Pada saat itu, Cisco BGPMon menggambarkan insiden itu sebagai โ€œpenasaran,โ€ karena tampaknya hanya memengaruhi layanan keuangan, bukan ASN acak.

Kali ini, semuanya ambigu: pendiri BGPMon Andree Toonk meragukan fokus operator Rusia dan tweetedbahwa "peretasan" terjadi setelah subsistem manajemen lalu lintas internal Rostelecom secara tidak sengaja dapat mengungkapkan rute BGP yang salah di Internet publik, dan bukan pada jaringan internal Rostelecom.

Menurut situasi secara keseluruhan


Seperti yang telah dicatat oleh banyak pakar Internet di masa lalu, pembajakan BGP yang disengaja mungkin terlihat seperti kesalahan yang tidak disengaja, dan tidak ada yang bisa melihat perbedaannya.

Penculikan BGP di organisasi telekomunikasi yang dikendalikan oleh negara di negara-negara otokratis seperti Cina dan Rusia akan selalu dianggap mencurigakan, terutama karena politik, bukan alasan teknis.

Lebih banyak tautan:
lebih lanjut tentang kebocoran rute ini mulai 2 April: habr.com/ru/company/qrator/blog/495274
respons media dan respons Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-tekan-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles