Hoe een omleiding langs China en Rusland Google enkele uren platlegde
Een Nigeriaanse ISP die onterecht het verkeer van verschillende Google-diensten omleidde via China en Rusland, heeft voor storingen en vertragingen gezorgd. Google zegt dat het waarschijnlijk niet om een aanval gaat, maar de problemen leggen wel de kwetsbaarheid van BGP-protocollen bloot.
Gebruikers van enkele Google-diensten zoals YouTube ondervonden maandagavond vertragingen of storingen. Twee uur lang waren er problemen met zowel de enterprise-diensten als met consumentenapps zoals YouTube. Google geeft nu aan dat Google Cloud IP-adressen verkeerdelijk door andere internet service providers werden geadverteerd, waardoor het verkeer werd omgeleid.
De oorzaak lijkt te liggen bij MainOne Cable Company, een kleine ISP in Nigeria. Die heeft maandag zijn tabellen van het wereldwijde routingsysteem aangepast en daar verkeerdelijk aangegeven dat zijn eigen systeem de juiste manier is om een reeks IP prefixes te bereiken die eigenlijk aan Google toebehoren. Enkele minuten later accepteerde China Telecom die route en stuurde ze dat wereldwijd uit. Daardoor gingen ook andere providers, zoals het Russische TransTelecom, de route volgen en werd een hoop verkeer omgeleid. Zo zou mogelijk ook gevoelige data zoals Google’s eigen WAN-infrastrutuur en VPN-verkeer omgeleid zijn via Rusland en China.
Verdacht of niet?
Volgens securitybedrijf ThousandEyes op Twitter, kan de omleiding van het verkeer als verdacht worden aanzien. Het bedrijf heeft het over een zogeheten BGP hijack. Google zelf ziet het echter eerder als een ongelukkige fout. Volgens het bedrijf zijn er geen bewijzen dat het om een aanval gaat. Google vertelt aan de Wall Street Journal dat er geen data gelekt is en dat encryptie vermeden heeft dat iemand de omgeleide data kon inkijken. Het start wel een intern onderzoek om te zorgen dat dit in de toekomst niet meer (of alvast minder) zal gebeuren. Volgens MainOne gaat het ondertussen om een administratieve fout die gebeurde bij het updaten van de BGP-protocollen. Maar hoe kon dat gebeuren?
Het zorgenkindje van het internet
De border gateway protocol, of BGP-infrastructuur beheert een groot deel van het wereldwijde internetverkeer en is verantwoordelijk voor het automatisch linken van de verschillende netwerken van providers. Dat moet het mogelijk maken dat iemand vanop het Proximus of Telenet netwerk gegevens doorstuurt naar iemand die in de VS op het AT&T netwerk zit, bijvoorbeeld.
BGP is een protocol dat jaren geleden werd ontworpen op een servet, en waar niemand van dacht dat het zo lang zou overleven”
Die BGP is de laatste jaren echter een zorgenkindje van beveiligers. De infrastructuur is voornamelijk op vertrouwen gebaseerd, namelijk op tabellen die de providers zelf uitsturen. Zoals de problemen maandag aantoonden, maakt dat de infrastructuur erg gevoelig voor fouten en zou het ook mogelijk moeten zijn om hem te hijacken. “Een van de problemen die BGP heeft is dat het een protocol is dat jaren geleden werd ontworpen op een servet, en waar niemand van dacht dat het zo lang zou overleven,” zei Jan-Peter Kleinhans, project director bij de denktank Stiftung Neue Verantwording daarover op een Kaspersky-bijeenkomst deze week. Het systeem is, zoals wel meer van de basisinfrastructuur van het internet, aan een update toe.
Verouderde infrastructuur
BGP hacking kan een dreiging vormen, omdat het criminelen en landen de mogelijkheid kan geven om dataverkeer te onderscheppen en bijvoorbeeld mee te kijken met gebruikers of bepaalde diensten zou kunnen tegenhouden.
Omdat het systeem echter vrij complex en ondoordacht in elkaar zit, komen ook zogeheten ‘prefix leaks’ vrij vaak voor. Net als bij een kwaadaardige BGP hijack wordt verkeer daar omgeleid omdat een ISP uitzendt dat het eigenaar is van IP-adressen die het niet echt beheert. Veel ISP’s gebruiken systemen en best practices om te zorgen dat zoiets niet per ongeluk gebeurt, en hebben filters die fouten kunnen vinden voordat ze worden doorgestuurd. Iets wat in dit geval China Telecom nagelaten heeft te doen.
Het lijkt er dus op dat in dit geval Google’s verkeer via een prefix leak niet meer langs de meest efficiënte route werd doorgestuurd, maar over een hele reeks netwerken die geen BGP-filters gebruiken.
Fout opgemerkt of meer nieuws? Meld het hier