La compañía de telecomunicaciones rusa secuestra el tráfico de Net para Google, AWS, Cloudflare y otros


Tráfico del mapa de Internet DDoS Globe

A principios de esta semana, el tráfico de más de 200 de las redes de entrega de contenido (CDN) y proveedores de alojamiento en la nube más grandes del mundo fue redirigido sospechosamente a través de Rostelecom, el proveedor estatal de telecomunicaciones de Rusia.

El incidente afectó a más de 8,800 rutas de tráfico de Online de más de 200 redes.

Las empresas afectadas son un quién es quién en el mercado de la nube y CDN, incluidos grandes nombres como Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner y Linode.

(Para obtener una lista completa de las redes de víctimas, vea esto flujo de Twitter filtrado.)

El incidente es un clásico «Secuestro de BGP«.

BGP significa el Protocolo de Gateway Fronterizo y es el sistema de facto utilizado para enrutar el tráfico de Net entre redes de Online en todo el mundo.

Todo el sistema es extremadamente frágil porque cualquiera de las redes participantes puede simplemente «mentir» y publicar un anuncio (ruta BGP) alegando que los «servidores de Fb» están en su red, y todas las entidades de World wide web lo tomarán como legítimo y enviarán todo el Fb. tráfico a los servidores del secuestrador.

En los viejos tiempos, antes de que HTTPS se usara ampliamente para encriptar el tráfico, los secuestros de BGP permitían a los atacantes ejecutar ataques de hombre en el medio (MitM) e interceptar y alterar el tráfico de Net.

Hoy en día, los secuestros BGP siguen siendo peligrosos porque permiten que el secuestrador registre el tráfico e intente analizarlo y descifrarlo en una fecha posterior cuando el cifrado utilizado para protegerlo se ha debilitado debido a los avances en las ciencias de la criptografía.

Los secuestros BGP han sido un problema para la pink troncal de Online desde mediados de los 90, y los esfuerzos para reforzar la seguridad del protocolo BGP han estado en marcha durante años, con proyectos como ROV, RPKI y, más recientemente, MANRS.

Sin embargo, el progreso en la adopción de estos nuevos protocolos ha sido lento, y los secuestros de BGP continúan sucediendo regularmente.

Por ejemplo, en noviembre de 2018, un pequeño ISP nigeriano secuestró el tráfico destinado a la red de Google, mientras que en junio de 2019, una gran parte del tráfico móvil europeo se redirigió a través de China Telecom, el operador de telecomunicaciones más grande y de propiedad estatal de China.

Rostelecom, un reincidente

Los expertos han señalado muchas veces en el pasado que no todos los secuestros BGP son maliciosos. La mayoría de los incidentes pueden ser el resultado de un operador humano que escribe incorrectamente un ASN (número de sistema autónomo, el código a través del cual se identifican las entidades de Online) y secuestra el tráfico de Web de esa empresa por accidente.

Sin embargo, algunas entidades continúan detrás de los secuestros de BGP de manera frequent y detrás de incidentes que muchos expertos etiquetan como sospechosos, lo que sugiere que son más que simples accidentes.

China Telecom se considera actualmente el mayor delincuente en este frente (1, 2).

Si bien no está involucrado en secuestros BGP tan comunes como China Telecom, Rostelecom (AS12389) también está detrás de muchos incidentes igualmente sospechosos.

El último secuestro importante de Rostelecom que acaparó los titulares ocurrió en 2017 cuando la compañía de telecomunicaciones secuestrado rutas BGP para algunas de las entidades financieras más grandes del mundo, incluyendo Visa, Mastercard, HSBC y más.

En ese momento, la división BGPMon de Cisco describió el incidente como «curioso, «ya que parecía afectar solo los servicios financieros, en lugar de los ASN aleatorios.

Esta vez, el jurado aún está fuera. El fundador de BGPMon, Andree Toonk, está dando a la empresa de telecomunicaciones rusa el beneficio de la duda. En Twitter, Toont dijo que cree que el «secuestro» ocurrió después de que un sistema interno de configuración de tráfico de Rostelecom pudiera haber expuesto accidentalmente las rutas incorrectas de BGP en Web público, en lugar de la pink interna de Rostelecom.

Desafortunadamente, este pequeño error se exacerbó cuando los proveedores de Rostelecom tomaron las rutas BGP recientemente anunciadas y las retransmitieron a través de Internet, amplificando el secuestro de BGP en segundos.

Pero, como muchos expertos de World wide web también han señalado en el pasado, es posible hacer que un secuestro intencional de BGP parezca un accidente, y nadie puede notar la diferencia.

Los secuestros de BGP que ocurren en entidades de telecomunicaciones controladas por el estado en países autocráticos como China y Rusia siempre se considerarán sospechosos, principalmente debido a la política, en lugar de razones técnicas.

Artículo actualizado 30 minutos después de la publicación para aclarar que el incidente ocurrió solo una vez, no dos veces. La transmisión de BGPMon volvió a anunciar hoy los secuestros del 1 de abril, dando la impresión de una repetición del incidente original. ZDNet lamenta el mistake.





Enlace a la noticia primary