imágenes falsas
Parte del tráfico de Internet que entraba y salía de Twitter el lunes se canalizó brevemente a través de Rusia después de que un importante ISP de ese país desconfiguró la tabla de enrutamiento de Internet, dijeron los servicios de monitoreo de red.
El percance duró unos 45 minutos antes RTCOMM, un ISP líder en Rusia, dejó de publicitar su red como la forma oficial para que otros ISP se conecten a las direcciones IP de Twitter ampliamente utilizadas. Incluso antes de que RTCOMM lanzara el anuncio, las salvaguardas impidieron que la mayoría de los grandes ISP cumplieran con la directiva de enrutamiento.
Una visualización de cómo se veía el evento se ilustra en esta página de BGPStream.
Recuerda BGP
los protocolo de puerta de enlace fronteriza es el medio por el cual los ISP en una región geográfica se ubican y se conectan a los ISP en otras áreas. El sistema se diseñó en los primeros días de Internet, cuando los operadores de una red conocían y confiaban en sus pares que administraban otras redes. Por lo general, un ingeniero usaría la tabla BGP para “anunciar” que su red, conocida como “sistema autónomo” en el lenguaje BGP, era la ruta correcta para enviar y recibir tráfico a redes específicas.
A medida que Internet crecía, BGP a veces podía volverse difícil de manejar. Una configuración incorrecta en un país podría extenderse rápidamente y causar interrupciones importantes u otros problemas. En 2008, por ejemplo, YouTube dejó de estar disponible para todo Internet luego de un cambio que un ISP en Pakistán hizo a las tablas BGP. El ISP había estado tratando de bloquear YouTube dentro de Pakistán, pero no tuvo cuidado al implementar el cambio. El año pasado, un ISP que intentaba bloquear Twitter para los ciudadanos de Myanmar terminó secuestrando el mismo rango de direcciones IP de Twitter atrapado en el evento del lunes, con un resultado similar.
Sin embargo, se cree que algunas configuraciones incorrectas de BGP son actos intencionales de malicia. En 2013, los investigadores revelaron que una gran parte del tráfico de Internet perteneciente a instituciones financieras, agencias gubernamentales y proveedores de servicios de red con sede en los EE. UU. se había desviado repetidamente a ubicaciones distantes en Rusia. Las circunstancias inexplicables avivaron las sospechas de que los ingenieros de ese país desviaron intencionalmente el tráfico para po der monitorearlo o modificarlo subrepticiamente antes de enviarlo a su destino final. Algo similar ocurrió un año después.
Percances similares de BGP han redirigido repetidamente cantidades masivas de tráfico de EE. UU. y Europa a China en circunstancias igualmente sospechosas. También se sabe que los actores de amenazas motivados financieramente utilizan el secuestro de BGP para tomar el control de los rangos de IP deseables.
Censura de puño de jamón
Doug Madory, director de análisis de Internet en la empresa de análisis de redes Kentik, dijo que la poca información que se conoce sobre el evento BGP del lunes sugiere que el evento fue el resultado de que el gobierno ruso intentó bloquear el acceso de personas dentro del país a Twitter. Probablemente por accidente, un ISP hizo que esos cambios se aplicaran a Internet en su conjunto.
“Hay varias formas de bloquear el tráfico a Twitter”, explicó Madory en un correo electrónico. “Las telecomunicaciones rusas están solas para implementar los bloques dirigidos por el gobierno, y algunas optan por usar BGP para reducir el tráfico a ciertos rangos de IP. Cualquier red que aceptara la ruta secuestrada enviaría su tráfico a este rango de espacio de IP de Twitter hacia Rusia: donde probablemente se acaba de dejar caer. También es posible que puedan hacer un hombre en el medio y dejar que el tráfico continúe hacia su destino correcto, pero no creo que eso sea lo que sucedió en este caso “.
La prevalencia de la filtración y el secuestro de BGP y los ataques de intermediarios que hacen posibles subraya el papel crucial que desempeñan HTTPS y otras formas de conexiones cifradas en la seguridad de Internet. La protección asegura que incluso si una parte malintencionada toma el control de las direcciones IP que pertenecen a Google, por ejemplo, la parte no podrá crear una página de Google falsa que no se marque por tener un certificado HTTPS válido.
Madory dijo que las protecciones conocidas como Infraestructura de clave pública de recursos y Autorizaciones de Origen de Ruta—ambos diseñados para proteger la integridad de las tablas de enrutamiento BGP— impidieron que la mayoría de los ISP siguieran la ruta anunciada por RTCOMM. En cambio, las medidas afirmaron que AS13414, el sistema autónomo que pertenece a Twitter, era el origen legítimo.
Eso no significa que todos los AS ignoraron el anuncio. mingwei zhangingeniero de redes y fundador de la BGPKIT herramienta, dijo los AS que propagaron la ruta incluyeron AS60068 (Reino Unido), AS8447 (Austria), AS1267 (Italia), AS13030 (Suiza) y AS6461 (EE. UU.).
Mientras tanto, Madory dijo que otros AS que se vieron afectados fueron AS61955 (Alemania), AS41095 (Reino Unido), AS56665 (Luxemburgo) y AS3741 (Sudáfrica), AS8359 (Rusia), AS14537 (EE. UU.), AS22652 (Canadá), AS40864 (Canadá), AS57695 (EE. UU.), AS199524 (Luxemburgo) y AS211398 (Alemania). Sin embargo, algunos de estos AS se conocen como recolectores de rutas, lo que significa que simplemente pueden haber recibido la ruta defectuosa en lugar de propagarla.