Se uppdatering om Telia Carrier i slutet av artikeln.
Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner och Linode – listan över de stora CDN:s och leverantörer av molntjänster vars trafik plötsligt började routas via Ryssland är en uppräkning av ”vem är vem på internet”. Totalt handlar det det om över 8800 routes från över 200 AS som skickades via den Ryska statliga operatören Rostelecom i fyra timmar, skriver ZDNet.
BGP, Border Gateway Protocol, är både det protokoll som får internet att vara internet, och ett typiskt exempel på urgammal teknik utvecklad under en tid då säkerhet på internet byggde på att alla nätverk drevs av en liten klubb av kompisar. Så ser det tyvärr inte ut idag, och BGP är ett problem. Så kallade BGP-hijacks kan utföras av vilken operatör som helst, och det är dessutom väldigt enkelt.
Frågan är om det sker avsiktligt
Lite förenklat kan en operatör annonsera till de andra att "jag har alla vägar till Facebook” så kommer alla att skicka trafiken till Facebook via den operatören. Att detta sker råder det inga tvivel om. Frågan är om det sker avsiktligt, för att kunna avlyssna trafiken, eller av misstag, vilket kan hända (och har hänt många gånger). Bäst i världen på dessa misstag är China Telecom, men Rostelecom har hyfsade kompetensproblem, de också.
Det görs försök att råda bot på BGP-problemet genom protokoll och tekniker som ROV, RPKI och MANRS, men adaptionen går trögt. Som tur är går den mesta av trafiken idag över https och det är därför svårt att avlyssna innehållet eller utföra man-i-mitten-attacker, men metadata över trafiken kan fortfarande samlas in, och trafik kan sparas för att utföra brute-force-attacker vid ett senare skede.
Spreds snabbt över hela internet
Rostelecom skyller på ett misstag denna gång. Incidenten inträffade efter att ett internt trafikoptimeringssystem exponerat felaktiga routes mot det publika internet istället för bara inom det privata nätverket. Tyvärr såg samtidigt många uppströms-liggande operatörer knutna till Rostelecom till att sprida misstaget över hela internet. Därefter tog det bara sekunder innan denna BGP-hijack var ett faktum.
Samtidigt menar många att sådana här misstag händer, för det gör de helt klart. Grundaren av BGPMon, Andree Toonk, som annars gärna avslöjar riktiga BGP-hijacks, är av åsikten att det denna gång var ett misstag. Andra menar att dessa misstag händer Rostelecom lite väl ofta. Den senaste större BGP-incidenten involverande Rostelecom skedde 2017 då all trafik till finansiella institutioner som Visa, Mastercard och banken HSBC började gå via Ryssland.
Kommentar från Johan Gustawsson, Head of Network Engineering & Architecture på Telia Carrier:
Telia Carrier var första Tier 1-operatör i världen att rejecta alla RPKI invalids på externa BGP-sessioner, varför vi som upstream till Rostelecom inte propagerade dessa routes med registrerade ROAs vidare. Givet rådande läge där trafiknivåerna på Internet har ökat något enormt, och alla letar efter ledig kapacitet har vi sett en ökning i andel trafikoptimeringsförsök som saknar historiskt motstycke. Det har också lett till vad som verkar vara en hel del misstag, något som vi skyddar resten av DFZ mot genom att ha implementerat RPKI som komplement till våra andra skyddssystem.
Läs också:
Hur mår du, internet? Allvarliga avbrott hos flera nätjättar
Cloudflare utslaget igen – utrullning av mjukvara fick rullas tillbaka
