Как Ростелеком ошибочно перенаправлял траффик Google, AWS, Cloudflare и др

Original author: Catalin Cimpanu for Zero Day
  • Translation
Ранее на этой неделе (1-5 апреля'20) трафик, предназначенный для более чем 200 крупнейших в мире CDN и облачных провайдеров, был подозрительно перенаправлен через Ростелеком (главный телекоммуникационный провайдер России)

Инцидент затронул более 8 800 маршрутов интернет-трафика из 200+ сетей и продолжался около часа.

Затрагиваемые компании — это те, кто есть кто на рынке облачных технологий и CDN, включая такие громкие имена, как Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner и Linode.

Технические детали



Инцидент является классическим «BGP hijack».

BGP расшифровывается как Border Gateway Protocol и является де-факто системой, используемой для маршрутизации интернет-трафика между интернет-сетями по всему миру.

Вся система интернет-маршрутизации до сих пор чрезвычайно хрупкая, потому что любая из участвующих сетей может просто «лгать» и публиковать объявление (маршрут BGP), утверждающее, что «серверы Facebook» находятся в их сети, и многие провайдеры будут считать его законным и отправлять весь Facebook трафик на серверы «обманщика».

Экскурс в историю


В прежние времена, до того как HTTPS широко использовался для шифрования трафика, BGP хакеры позволяли злоумышленникам выполнять атаки «человек посередине» и перехватывать/изменять интернет-трафик.

В настоящее время взломы BGP по-прежнему опасны, поскольку позволяют злоумышленнику регистрировать трафик, анализировать и расшифровывать его позднее, когда шифрование, используемое для его защиты, ослабло из-за достижений в области криптографии.

Взломы BGP были проблемой для интернет-магистрали с середины 90-х годов, и усилия по укреплению безопасности протокола BGP предпринимались годами, с такими проектами, как ROV, RPKI и, совсем недавно, MANRS.

Тем не менее, прогресс в принятии новых протоколов медленный, и подмены BGP продолжают происходить на регулярной основе.

Например, в ноябре 2018 года небольшой нигерийский интернет-провайдер перехватил трафик, предназначенный для сети Google, а в июне 2019 года большая часть европейского мобильного трафика была перенаправлена через China Telecom, государственный и крупнейший оператор связи Китая.

Ростелеком — неоднократный нарушитель


В прошлом эксперты неоднократно отмечали, что не все «угонщики» BGP действовали целенаправлено. Большинство инцидентов могут быть результатом человеческого фактора: оператор опечатался при наборе номеров ASN (код, по которому идентифицируются интернет сущности) и случайно похитил интернет-трафик этой компании.

Тем не менее, организации которые регулярно следят за угонами BGP, а также за инцидентами, которые многие эксперты называют подозрительными, предполагают, что часто это не просто случайные ошибки.

China Telecom в настоящее время считается крупнейшим преступником на этом фронте [1, 2].

Несмотря на то, что Ростелеком (AS12389) не участвует в «угонах» BGP, таких же распространенных, как China Telecom, он также стоит за многими аналогичными подозрительными инцидентами.

Последний крупный угон «Ростелекома» произошел в 2017 году, когда были подменены маршруты BGP для нескольких крупнейших мировых финансовых организаций, включая Visa, Mastercard, HSBC и многие другие.

В то время подразделение Cisco BGPMon охарактеризовало этот инцидент как «любопытный», поскольку он, по-видимому, влиял только на финансовые услуги, а не на случайные ASN.

На этот раз все неоднозначно: основатель BGPMon Andree Toonk сомневается в целенаправленности российского операторв и в своем твиттере сказал, что «взлом» произошел после того, как внутренняя подсистема управлением трафиком Ростелекома могла случайно раскрыть неправильные маршруты BGP в общедоступном Интернете, а не во внутренней сети Ростелекома.

По ситуации в целом


Как отмечали многие интернет-эксперты в прошлом, преднамеренный угон BGP может выглядеть как случайная ошибка, и никто не может заметить разницу.

Похищения BGP, происходящие в контролируемых государством телекоммуникационных организациях в таких автократических странах, как Китай и Россия, всегда будут считаться подозрительными — в первую очередь из-за политики, а не по техническим причинам.

Еще ссылки:
подробней об этой утечке маршрутов от 2 апреля: habr.com/ru/company/qrator/blog/495274
реация в сми и ответ Ростелекома: tjournal.ru/news/156008-zhurnalist-poprosil-rostelekom-obyasnit-peregruzku-seti-iz-za-karantina-press-sluzhba-otvetila-emu-a-potom-oskorbila
tech.slashdot.org/story/20/04/07/0018229/russian-telco-hijacked-internet-traffic-of-google-aws-cloudflare-and-others

Only registered users can participate in poll. Log in, please.

У вас были проблемы с зарубежным траффиком в период с 1 по 7 апреля'20?

  • 63.9%Да62
  • 36.1%Нет35

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 5

    0
    «Ошибочно», дооо…
      +1
        0
        добавил ссылку в статью, тут в сабже ретроспективно с общим обзором ситуации.
        +1

        И как проверить?
        у меня со своим сервером на Хецнере проблемы с сильно заниженной скоростью, файл 1 Гб качается со скоростью 400 кб/сек, такого раньше не было. Немцы тоже клянутся что с их стороны все нормально, не могу найти виновного… MGTS GPON

          0
          вот так это выглядело вечером первого апреля:
          Report from: Amsterdam
          Traceroute to 104.26.5.X:
          unn-185-59-222-190.cdn77.com (185.59.222.190) 14.559 ms
          ae3.cr6-ams1.ip4.gtt.net (46.33.88.249) 31.053 ms
          ae3.cr4-ams1.ip4.gtt.net (89.149.181.54) 38.035 ms
          ae-8.edge7.Amsterdam1.Level3.net (4.68.38.121) 117.71 ms
          * * *
          RASCOM-CJSC.ear2.Stockholm2.Level3.net (212.73.250.178) 108.078 ms
          * * *
          * * *
          * * *
          * * *
          217.161.68.34 (217.161.68.34) 165.68 ms
          217.161.68.33 (217.161.68.33) 170.218 ms
          * * *
          * * *

          — трейс прислал мониторинг сайта из точки в Амстердаме. таргет у мониторинга тоже в Амстердаме (Cloudflare в ams-ix). почти такой же маршрут через Level3/Стокгольм/Раском был из Франкфурта. в мирное время трейс из Амстера в Cloudflare не покидает пределов города с пингом 2ms

          Only users with full accounts can post comments. Log in, please.