От кражи криптовалюты до сбоев в работе интернета.
/ фото Javier Allegue Barros Unsplash
Border Gateway Protocol (BGP) — это динамический протокол маршрутизации. Наряду с DNS он является одним из главных механизмов, обеспечивавших функционирование интернета.
Идея его создания пришла в голову двум инженерам из Cisco и IBM в 1989 году. Встретившись за обедом, они расписали основные концепции протокола на двух салфетках. Идеи, записанные в кафетерии, были доработаны и позже оформлены в виде стандарта IETF.
Финальную версию BGP представили в 1994 году, и с тех пор он практически не изменился.
С помощью BGP маршрутизаторы интернет-провайдеров обмениваются информацией о доступности сетей. Такой подход позволяет определиться с оптимальным маршрутом для передачи пакетов между автономными системами. Однако BGP не имеет встроенных механизмов верификации маршрутов. Ошибка, закравшаяся в таблицу маршрутизации провайдера (из-за программного сбоя или действий хакеров), может привести к сбоям в глобальной сети.
Еще в 1998 году бывший член группы хакеров L0pht давал показания перед Конгрессом США. Тогда он высказал предположение, что атака на BGP может «положить» весь интернет в течение 30 минут.
Сегодня ИБ-специалисты фиксируют тысячи инцидентов, связанных с BGP. Большинство из них незначительные, однако есть и довольно крупные кейсы.
2014 год — кража криптовалюты
Специалисты из ИБ-подразделения Dell зафиксировали 22 хакерские атаки, связанные с перенаправлением трафика девятнадцати интернет-провайдеров. Злоумышленники атаковали BGP-маршрутизаторы, взломав служебный аккаунт сотрудника одной из канадских телеком-компаний.
Одной из целей были майнинговые пулы сети WafflePool, участники которой объединялись для заработка криптовалюты. Подключенные к системе компьютеры перенаправлялись на подменный командный сервер, который переводил сгенерированную ими криптовалюту на счета хакеров. Каждая атака длилась не более 30 секунд. Но даже за такое короткое время злоумышленникам удалось украсть биткоинов и альткоинов на сумму, эквивалентную 83 тыс. долларов. По текущему курсу криптовалют, который с того момента существенно вырос, они могут оцениваться в сотни тысяч долларов.
2017 год — отключение интернета в Японии
Около часа интернет в Стране восходящего солнца работал с перебоями. Специалисты Google допустили ошибку при настройке протокола BGP, неверно анонсировав блоки IP-адресов японских провайдеров. В итоге другие мировые операторы, включая крупные телекоммуникационные компании вроде Verizon, направили японский трафик на серверы Google. Их машины не были предназначены для маршрутизации, и пакеты просто уходили «в никуда».
/ фото Liam Burnett-Blue Unsplash
В результате в Японии оказались недоступны многие сервисы, включая сайты государственных организаций, системы бронирования и др. Пользователи не могли подключиться к серверам Nintendo и нескольким торговым площадкам.
По данным специалистов из компании BGPMon, предлагающей инструмент для мониторинга BGP, сильнее всех пострадал провайдер NTT Communications Corp, клиентская база которого насчитывает семь миллионов пользователей (хотя точные цифры ущерба, который понес провайдер, не раскрываются).
2019 год — европейский трафик ушел в Китай
Месяц назад ошибка в маршрутизации BGP привела к тому, что трафик нескольких европейских провайдеров два часа шел через сети китайской компании China Telecom. Перенаправлены были более 70 тыс. маршрутов — пострадали сети швейцарской компании Swisscom, нидерландской KPN, а также французских Bouygues Telecom и Numericable-SFR.
Клиенты компаний не могли проводить операции с банковскими картами. Также наблюдались перебои в работе WhatsApp. Пока эксперты не знают, был ли это технический сбой или результат хакерской атаки на интернет-инфраструктуру.
2019 год — сбой в работе интернета по всему миру
Инцидент затронул такие крупные компании, как Cloudflare, Facebook, Apple и Linode. Еще пострадали Reddit, платформа Twitch, мессенджер Discord, а также сервис Downdetector, который отслеживает сбои в интернете.
Причина — утечка BGP-маршрутов и ошибка телекома Verizon. Весь трафик направлялся через дата-центр небольшого провайдера в Пенсильвании — DQE Communications, который не справился с нагрузкой.
В DQE Communications использовали инструмент BGP Optimizer. Он оптимизирует скорость доставки пакетов клиентам, разделяя крупные IP-блоки на небольшие части. Но по какой-то причине в DQE передали эти маршруты одному из своих клиентов, у которого было настроено транзитное подключение к Verizon. Крупный провайдер начал транслировать неверную информацию всему интернету. Утечку перекрывали на протяжении трех часов.
Как усилить BGP
Чтобы сократить количество инцидентов, связанных с BGP, сегодня разрабатываются несколько инструментов. Например, с 2014 года ведется работа над сводом практик для повышения безопасности BGP — MANRS (Mutually Agreed Norms for Routing Security). Это — своеобразные «правила хорошего тона» при обмене маршрутами в сети. Участники программы MANRS (сегодня их около 170) обязуются предотвращать распространение некорректной маршрутной информации и предоставлять инструменты для поиска и устранения возможных проблем.
/ фото Brendan Church Unsplash
Также в 2017 году Национальный институт стандартов и технологий (NIST) совместно с Министерством внутренней безопасности США начал разработку стандартов для защиты маршрутов в интернете. В прошлом году организации опубликовали инструмент, который поможет интернет-провайдерам бороться с атаками BGP hijacking. Система называется ARTEMIS и засекает подмену маршрутов за несколько секунд.
Сейчас перед авторами MANRS и разработчиками ARTEMIS стоит задача — сделать так, чтобы мировые интернет-провайдеры внедрили у себя новые инструменты и практики. Аналитики из Cloudflare отмечали, что системы проверки маршрутов в сети Verizon помогли бы предотвратить масштабный сбой.
Некоторые крупные провайдеры уже внедряют лучшие практики — среди них можно выделить AT&T, NTT Communications и NetNod. Эксперты надеются, что в будущем их станет только больше.
Дополнительное чтение по теме из нашего Telegram-канала: