Проект BGPMon, выполняющий мониторинг изменения BGP-маршрутов, зафиксировал аномальное перенаправление значительной части трафика крупнейших финансовых сервисов, включая Visa, MasterCard и некоторых банков. Из-за внесения изменений в анонсируемые через BGP маршруты, значительная часть трафика ряда финансовых сервисов начала направляться в сеть Ростелекома. Трафик перенаправлялся в течение 5-7 минут, после чего маршрутизация нормализовалась.
Аномалия была вызвана добавлением в таблицы маршрутизации Ростелекома 50 префиксов автономных систем (37 уникальных AS), среди которых были подсети ряда крупных финансовых сервисов и банков, что привело к тому, что данные автономные системы были анонсированы по BGP как находящиеся в сети Ростелекома. Подобные инциденты, вызванные ошибками персонала, возникают в глобальной Сети регулярно и будут продолжаться, пока не будут внедрены методы авторизации BGP-анонсов (сейчас любой оператор может анонсировать подсеть с фиктивными сведениями о длине маршрута и инициировать транзит через себя части трафика от ближних систем, не применяющих фильтрацию анонсов).
В случае Ростелекома вопросы вызывает присутствие известных финансовых сервисов в списке перенаправленных сетей (случайные утечки обычно менее избирательны) и то, что характер префиксов свидетельствует о ручном изменений таблиц маршрутизации, а не типичной утечке анонсов по цепочке "BGP - OSPF - BGP"). Тем не менее, скорее всего проблема вызвана ошибкой в конфигурации, так как проведение столько заметной и грубой атаки по перехвату трафика маловероятно.
Но даже если была совершена ошибка, настораживает сам факт интереса инженеров Ростелекома к сетям финансовых сервисов (возможно, ошибка была совершена в ходе настройки внутреннего мониторинга/зеркалирования проходящего через Ростелеком трафика для всплывших автономных систем, как в своё время заворачивание в Пакистане подсетей YouTube на null-интерфейс привело к появлению этих подсетей в BGP анонсах и стеканию трафика YouTube в Пакистан). В случае получения доступа к транзитному трафику Visa и MasterCard дешифровка почти исключена, но имеется возможность изучить характер трафика и источники запросов, что может быть использовано для проведения целевых атак на менее защищённые партнёрские компании.
Комментарии
И к Чебурашке.
К такому:
?
Вряд ли этим интересуются инженеры Ростелекома.
А теперь переведите это на язык Пушкина. Чувствую себя полным дебилом.
русские хакеры шалят! не обращайте внимания )
Путин готовится к финансовому суверенитету идя по путям Сталина, вот по Русски так!
Вроде слова знакомые, а смысл предложений непонятен.
Любая продвинутая тема для не посвящённого не будет отличаться от шизофазии..
Любая достаточно развитая технология неотличима от магии.
+Тыщща!!
А так-то, вцелом, кому-то что-то просто продемонстрировали.
здесь нет ничего особенного - потянуть "одеяло" на себя. Вышибить бордер рутеры у Визы, Мастер и Ко было можно раньше, можно сейчас и потом будет тоже можно ;-)
Вот инжекшин для PE-CE трафика действительно действенно, только в том окошке это видно не будет.
ПС: хотя _один_ АС из списка действительно и необычно интересен
Очень похоже на то, что Ростелеком делает у себя зеркала сервисов платежных систем. То есть в случае отключения от визы и т.д., в российском сегменте сети подменят днс, который будет указывать на наши аналогичные сервисы. Из известного приходит на память "Мир". Если все действительно так, то отключение от визы и т.д. произойдет полностью незаметно и без паники.
а хттпс сертификаты украдут?
Анонсы на подобное перестроение не разлетелись более, чем на 2-3 хопа или только у тех операторов, кто получает fullview от ростелека... трастелек такой фигнёй не страдал...
Тестируют
Чуть чаем не подавился, когда номер AS увидел, почти мой :-)
Гулять -- так гулять, пойду 8/10 анонсить, им можно, а мне что, нельзя? :-)
Как ничего не понимающий в зеркалах и 21-ом прерывании, скажу афоризмом КозьмЫ Пруткова:
"Не для какой-нибудь Анюты
В войсках делают салюты!"