Get best of the week

Como a Rostelecom redirecionou por engano o tráfego para o Google, AWS, Cloudflare etc.

No início desta semana (de 1 a 5 de abril de 20), o tráfego destinado a mais de 200 dos maiores provedores de CDN e nuvem do mundo foi suspeito e redirecionado através da Rostelecom (principal provedora de telecomunicações da Rússia)

.O incidente afetou mais de 8.800 rotas de tráfego da Internet em mais de 200 redes e durou cerca de uma hora.

As empresas afetadas são aquelas que estão no mercado de nuvem e CDN, incluindo grandes nomes como Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Oceano Digital, Joyent, LeaseWeb, Hetzner e Linode.

Detalhes técnicos



O incidente é o sequestro clássico do BGP .

BGP significa Border Gateway Protocol e é um sistema de fato usado para rotear o tráfego da Internet entre redes da Internet em todo o mundo.

Todo o sistema de roteamento da Internet ainda é extremamente frágil, porque qualquer uma das redes participantes pode simplesmente "mentir" e publicar um anúncio (rota BGP) informando que os "servidores do Facebook" estão em sua rede, e muitos provedores o consideram legal e envie todo o tráfego do Facebook para os servidores "trapaceiros".

Tour histórico


Antigamente, antes que o HTTPS fosse amplamente usado para criptografar o tráfego, os hackers do BGP permitiam que os atacantes realizassem ataques " intermediários " e interceptassem / modificassem o tráfego da Internet.

Atualmente, os hacks de BGP ainda são perigosos porque permitem que um invasor registre tráfego, analise e descriptografe mais tarde, quando a criptografia usada para protegê-lo foi enfraquecida devido a avanços na criptografia.

Os hacks BGP têm sido um problema para o backbone da Internet desde meados dos anos 90, e esforços para fortalecer a segurança do protocolo BGP foram feitos ao longo dos anos, com projetos como ROV, RPKI e , mais recentemente, MANRS .

No entanto, o progresso na adoção de novos protocolos é lento, e a falsificação de BGP continua a ocorrer regularmente.

Por exemplo, em novembro de 2018, um pequeno provedor de Internet nigeriano interceptou o tráfego destinado à rede do Google e, em junho de 2019, a maior parte do tráfego móvel europeu foi redirecionada pela China Telecom , a maior operadora de telecomunicações estatal e maior da China.

Rostelecom - um reincidente


No passado, os especialistas observaram repetidamente que nem todos os "seqüestradores" do BGP agiram de propósito. A maioria dos incidentes pode ser resultado de um fator humano: a operadora fechou o telefone ao discar o ASN (o código pelo qual as entidades da Internet são identificadas) e acidentalmente roubou o tráfego da Internet dessa empresa.

No entanto, as organizações que monitoram regularmente os seqüestros de BGP, bem como os incidentes que muitos especialistas chamam de suspeitos, sugerem que esses geralmente não são apenas erros aleatórios.

Atualmente, a China Telecom é considerada o maior criminoso nessa frente [ 1 , 2 ].

Apesar do fato de Rostelecom ( AS12389) não participa dos "seqüestros" do BGP tão difundidos quanto a China Telecom, também está por trás de muitos incidentes suspeitos semelhantes.

O último grande seqüestro da Rostelecom ocorreu em 2017, quando as rotas do BGP foram substituídas por várias das maiores instituições financeiras do mundo, incluindo Visa, Mastercard, HSBC e muitas outras.

Naquela época, o Cisco BGPMon descreveu o incidente como "curioso", porque aparentemente afetava apenas serviços financeiros, não ASNs aleatórios.

Desta vez, tudo é ambíguo: o fundador da BGPMon, Andree Toonk, duvida do foco da operadora russa e disse em seu twitterque o "hacking" ocorreu após o subsistema de gerenciamento de tráfego interno da Rostelecom poder revelar acidentalmente as rotas BGP incorretas na Internet pública, e não na rede interna da Rostelecom.

Em toda a situação


Como muitos especialistas em Internet observaram no passado, o seqüestro deliberado de BGP pode parecer um erro acidental e ninguém pode notar a diferença.

Os seqüestros de BGP em organizações de telecomunicações controladas pelo estado em países autocráticos como China e Rússia sempre serão considerados suspeitos, principalmente por causa da política, não por razões técnicas.

Mais links:
mais sobre esse vazamento de rotas de 2 de abril: habr.com/ru/company/qrator/blog/495274
resposta da mídia e resposta da Rostelecom: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku- seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

More articles:


All Articles