Некоторые сервисы Google, включая системы широкополосного беспроводного доступа и VPN, оказались недоступны для пользователей из-за действий нигерийского интернет-провайдера MainOne. Африканская компания неправомерно изменила маршрут для ряда подсетей Google, в результате чего та больше чем на час потеряла контроль над несколькими миллионами IP-адресов, так как трафик был заблокирован «Великим китайским фаерволом».

Проблемы начались вечером понедельника, когда MainOne анонсировала для своей AS-системы 212 префиксов подсетей Google. Изменения поддержал китайский провайдер China Telecom, а за ним — российский «ТрансТелеКом» и другие транзитные провайдеры первого уровня.

Новый маршрут оказался неработоспособным, поскольку китайский шлюз сразу блокировал трафик. Это и вызвало сбои сервисов Google. Восстановить их работоспособность удалось только через 74 минуты, когда провайдеры отменили внесенные MainOne изменения.

Эксперты определяют подобные инциденты как угон трафика BGP (Border Gateway Protocol). Система глобальных интернет-коммуникаций во многом построена на доверительных отношениях крупных провайдеров. Если один участник делает BGP-анонс, другие компании, как правило, принимают изменения.

Недобросовестные провайдеры анонсируют новый маршрут, чтобы вести вредоносный трафик в обход защитных фильтров, а также облегчать MitM-атаки и кражу финансовых данных. В некоторых случаях такое поведение может годами оставаться безнаказанным, пока участники интернет-обмена не договорятся о блокировке нарушителя.

На этот раз эксперты сходятся в том, что проблемы возникли из-за человеческой ошибки. В своем комментарии для СМИ ситуацию подробно объяснил Мэттью Принс (Matthew Prince), глава интернет-компании Cloudflare. Его организация также пострадала от MainOne — события разворачивались параллельно с угоном трафика Google.

«Пару недель назад в Нигерии состоялась крупная встреча [сетевых провайдеров]. После таких событий всегда происходят изменения [в маршрутизации интернет-каналов]. Когда нигерийский провайдер настраивал новые связи, он наверняка по ошибке направил [некорректную] информацию China Telecom, который, в свою очередь, поделился ей с остальным миром».

Эксперт отметил, что в случае злого умысла эти действия не вызвали бы проблем с интернет-сервисами, поскольку перехватившие трафик преступники постарались бы как можно дольше оставаться незамеченными. По его словам, Google и Cloudflare попали под удар просто потому, что другие крупные провайдеры пока не начали работать на нигерийском интернет-рынке.

Представители Google тоже уже заявили, что не рассматривают версию сознательного угона, и подчеркнули, что все перехваченные данные были зашифрованы. В то же время инцидент вызвал нервную реакцию у многих СМИ на фоне недавнего исследования о том, как все тот же China Telecom перехватывает и прослушивает западный трафик.

Интернет-эксперты в свою очередь призывают сообщество задуматься о повышении надежности BGP, который за 40 лет работы перестал отвечать существующим реалиям и рискам. Они подчеркивают, что работающая на доверии инфраструктура маршрутизации недостаточно безопасна.

Проект защищенного BGP поступил на общественное обсуждение в сентябре, в настоящее время идет его доработка по полученным предложениям. Новый стандарт предполагает введение цифровых подписей для подтверждения заявленных маршрутов, фильтрацию BGP-объявлений и ряд других специальных мер.

Категории: Уязвимости