Аномалии в маршрутизации оказались BGP-утечкой, а не признаками перехвата трафика.
История началась как типичный сюжет про "кибератаку перед ударом", а закончилась куда прозаичнее: Cloudflare утверждает, что в венесуэльских сетях в тот момент, скорее всего, сработала обычная интернет-неаккуратность, а не секретная операция.
Поводом стала заметка ред-тим инженера Грэма Хелтона. Он обратил внимание на заявления Дональда Трампа о том, что США применили "определённые компетенции", чтобы погасить свет в Каракасе перед операцией, а также на слова председателя Объединенного комитета начальников штабов генерала Дэна Кейна, который упоминал участие US Cyber Command. Хелтон решил проверить, не оставило ли это следов в инфраструктуре, и полез в публичные данные Cloudflare Radar, где видны сбои и аномалии интернет-трафика.
Фокус он взял на AS8048, это автономная система госоператора CANTV. По его наблюдениям, 2 января, за день до военной операции, часть префиксов внезапно пошла по странным маршрутам: в цепочке появлялись Sparkle (итальянский транзитный провайдер) и колумбийский GlobeNet. Сопоставив это с данными RIPE NCC, Хелтон предположил, что такие маршруты теоретически могли бы пригодиться для атаки типа man-in-the-middle, когда трафик можно незаметно перехватывать или наблюдать.
На этой неделе Cloudflare решила разобрать эпизод подробно. Главный сетевой инженер компании Брайтон Хердес подтвердил ключевое: Хелтон действительно заметил BGP route leak, то есть утечку маршрутов. В упрощенном виде это похоже на ситуацию, когда один участник сети по ошибке начинает "раздавать" чужие пути не тем соседям, и трафик едет объездом, медленно и ненадёжно. Но дальше вывод Cloudflare расходится с версией про злой умысел: утечки BGP происходят постоянно и чаще всего из-за рутинных ошибок конфигурации, а не из-за атак.
Хердес отдельно подчеркнул, почему наблюдаемая картина плохо подходит под MITM. Маршрут в результате утечки становился хуже, а при реальном перехвате атакующий обычно делает наоборот: старается выглядеть самым "удобным" путём, чтобы трафик охотнее пошёл через него. Кроме того, затронутые префиксы принадлежали венесуэльской компании Dayco Telecom (AS21980), а CANTV (AS8048) и так выступает для неё провайдером, то есть находится "на дороге" легально, без необходимости устраивать эффектную подмену маршрутов.
В Cloudflare считают более вероятным объяснением слишком "широкие" правила экспорта маршрутов у CANTV в сторону одного из апстримов. Компания также напоминает, что подобные утечки в регионе не редкость, и у AS8048 за последние недели было немало похожих инцидентов. А снизить число таких случаев, по мнению Хердеса, помогли бы более строгие механизмы ролей и валидации маршрутов, включая подходы, описанные в RFC 9234, и дальнейшее развитие RPKI-экосистемы.
В сухом остатке получается так: публичные графики действительно показывают сетевую аномалию накануне операции США, но Cloudflare не видит в ней убедительных признаков целенаправленной атаки. А то, как именно "погасили свет" в Каракасе, остаётся частью закрытой истории, тогда как главным подозреваемым снова оказывается капризный и не всегда аккуратно настроенный BGP.
Комментарии
Ну да. Случайно отключили интернет. Случайно отключили электроснабжение. Случайно отключили ПВО. Ну да.
Вопрос к специалистам, работающим(работавшим) в(с) ФСК в части связи, телесигнализации и телеуправления. Вот случилось так что отключили в стране интернет и сотовую связь (не дай Бог). В глушняк, вернулись в 80-е годы. Генерация и высоковольтные сети (110 кВ и выше) будут работать? Если да, то будут нормально работать? Устойчиво? Сети не развалятся? Связь по высоковольтным проводам сохранилась? Ответьте если это не закрытая информация.
И по среднему напряжению. Там, где эксплуатируются «умные сети и подстанции», в случае отключения интернета и сотовой связи, случится коллапс. Оперативные и аварийные бригады будут в пене. Я правильно понимаю?
Как раз таки очень вероятный способ атаки)) и очень удобный, т.к. BGP - это штука довольно закрытая - осуществляется или аппаратным маршрутизатором (полностью закрытый код, весьма вероятно снабженный множественными бэкдорами)), или же программным, типа Quagga (Zebra), имеющий открытый код, но много ли найдется людей, которые анализировали его код на предмет дыр (а они там 100% есть, так как он написан на Си) и самостоятельно собиравшие его из исходников, а не бравшие готовые бинарники из репозиториев.
А главное - всегда можно перевести стрелки на криворуких админов)))
Помнится, некоторое время назад было много шума насчет DNS, так вот BGP - это гораздо более серьезная "ахиллесова" пята интернета, нежели DNS: тут возможен и тот самый MITM, упомянутый в статье, и целенаправленное нарушение связности, которое весьма сложно побороть без физической замены роутров на заведомо исправные, то есть без скрытых бэкдоров. В час Х как сработает эта бомба, так все, тушите свет - быстро устранить проблему не получится. Причем замена своих роутеров может ничего не дать (заработает связность только между ними), а вот международная связность так и будет лежать (например, можно блочить все или ключевые AS какой-то страны, но по всему миру, во всех роутерах, обладающих нужным бэкдором))
Я собственно не настаиваю на том что виновата условная уборщица. Тем не менее банан иногда просто банан. Во-вторых любую аварию можно подвести подо что угодно от "Это лично Трамп...." до ... "ваааще ничо не было,... какая психушка..." Мне вот как учителю информатики и самому интересно чего и как... Так что допуская как вариант... "так совпало" до "так совпало потому что к этому готовились..."
К Вам претензий нет.)
Статья, как мне кажется, явно отмазывают США. Зачем? Вот что интересно.
Статья - очень хорошее подтверждение, что всем вертят, как хотят, архитекторы железа и оборудования (особенного сетевого). И ничего с этим сделать невозможно - кто первый встал, того и тапки)) Тут или зависимое положение, или "чебурнет", против которого все так возмущаются, не понимая, что только он не вырубит (но это не точно)) в час Х их любимые мессенджеры, соцсети с котиками и умные колонки)))
Потому что чувак полез описывать механизм работы - о чем его никто не просил и спалил алгоритм. А клаудфаре стоит по всему миру.
Это значит что уже срисовали фичу.
Но обычно после этого инструмент меняют.
Тут дело не в клаудфларе, а by-design уязвимости базовых элементов интернета. Думаете, просто так его разработкой занимались DARPA? ;)))))
Ps. Кстати, именно за разработку и распространение своих роутеров (этих самых, упомянутых в статье - BGP)) и закрыли одну большую компанию на букву Х во всем подконтрольном Западу мире - не хотят пускать других козлов в свой огород))) И даже какую-то начальничиху их в Канаде мурыжили месяц, санкциями пугали)))
Дочку одного из основателей брали в заложницы вроде бы :)
Небольшое уточнение: в довесок к итак уже уязвимому элементу изобретатели интернета придумали новый «финт ушами» - RPKI. То есть обмен маршрутами между роутерами посредством зашифрованных сообщений, в которых гарантами (authority) будут выступать (внезапно)) удостоверяющие центры одной известной всем страны))
Иными словами, для блокировки AS можно будет просто отозвать ее сертификат)) Под предлогом санкций, неоплаты, «нарушения порядка, основанного на правилах (с)» или еще чего-нибудь)))
За день до похищения в сети появились аномалии, позволяющие атаковать сети, но США тут не причём, это админ что-то попутал.
Конечно же верим)