. El blog de la Núria Masdéu: 11.2010

20.11.10

La Xina segresta el 15% d'internet durant divuit minuts



Llegeixo a renesys la notícia que la Xina va segrestar durant divuit minuts del passat 8 d'abril el 15% del tràfic total d'internet, incloent-hi adreces IP del govern dels EUA i llocs amb .mil. De fet, afectava xarxes de 170 països diferents.

L'afer sembla que ha aixecat molt rebombori als EUA, tement si s'ha tractat d'un atac xinès. L'article de renesys explica el següent (en tradueixo certes parts):

L'enrutament d'internet, encara que sembli estrany, encara funciona amb el sistema de l'honor. Les organitzacions a internet (diguem-ne 'atacants') poden afirmar que posseeixen les adreces IP de qualsevol altra organització (diguem-ne 'defensors') mitjançant l'enviament d'un únic missatge Border Gateway Protocol (BGP) als seus veïns. Aquests poden triar si creure'l o no.

Si són diligents ho comprovaran, trobaran una discrepància i ho ignoraran completament. Però si s'ho creuen, ho passaran immediatament als seus veïns, que ho passaran als seus veïns i així successivament, propagant l'afirmació falsa al planeta sencer en menys de 30 segons.

Ara l'escenari està llest per al redireccionament del tràfic. Quan es necessita enviar tràfic al 'defensor' (un correu electrònic o llegir el seu web), passa per l'organització més propera que n'ha afirmat la propietat. Una gran part del tràfic entrant del 'defensor' és redirigit potencialment directe als braços de l''atancant'. I no hi ha manera de parar-ho si no es retira la seva afirmació de la ruta BGP o els veïns comencen a filtrar-ho.

De fet, és tan simple que cada any passa a algú o altre. Ha anat passant amb diversos nivells de severitat, durant una dècada.

El 8 d'abril, a les 15.50 UTC, China Telecom va afirmar incorrectament la propietat de més de 50.000 blocs diferents d'adreces IP. Això és el '15% d'internet'. Una petita part de China Telecom va fer aquesta afirmació i ningú no en va dubtar. En qüestió de minuts, va 'créixer' més de 1000 vegades la seva mida normal i va començar a rebre part del tràfic amb destinació a aquestes 50.000 xarxes.

Els mitjans nordamericans s'han alarmat perquè incloïen aquestes adreces sensibles (el govern i els militars). Ara bé, també es van veure afectades 11.500 xarxes de la mateixa Xina. Sembla, doncs, que més que premeditat va ser accidental. Tot i que no se'n pot estar mai segur.

En el moment del segrest ningú no se'n va adonar, cosa estranya. No hi ha retards en les connexions? No hi ha connexions tancades? No hi ha twitts sobre la caiguda d'internet?

Una explicació rau en la natura del segrest. Si dues xarxes nordamericanes parlen entre elles, fins i tot si les dues han estat segrestades, el tràfic continuarà fluïnt amb normalitat, probablement perquè les dues són més properes entre elles que no pas amb el segrestador. Ambdues trien rutes legítimes perquè són més properes que les rutes falses.

Quanta informació va poder ser interceptada, doncs? Bàsicament els paquets en l'aire en el moment del segret de l'enrutament: alguns kilobyts de continguts aleatoris al mig de cada finestra TCP, multiplicant milions de converses redirigides entre participants en gran part desconeguts. Sembla difícil planejar un atac així per acabar amb gairebé res d'útil!

Cal no preocupar-se, llavors?

Doncs sí. Hi ha una diferència crítica, aquest cop. I té a veure amb la mida del segrestador. Normalment, si un operador petit segresta gran part del tràfic d'internet, simplement queda sepultat pel pes del tràfic a l'atzar que de sobte li cau a sobre. El tràfic cau i el forat mor i ràpidament alerta la gent i es resol el problema.

Però estem parlant de China Telecom: el proveïdor minorista més gran de la Terra i l'onzè proveïdor d'internet. Té la capacitat de fer front a fluxos com aquest i la seva xarxa global és suficientment gran perquè alguns enrutaments interns estranys puguin succeir.

Per exemple, és cert que part del tràfic va ser redirigit a la Xina, va passar a través de la xarxa de China Telecom i va tornar a ser enviat a internet cap a la seva destinació, sense efectes visibles per als usuaris finals excepte un increment del retard del paquet. S'ha suggerit que aquest reenrutament crea les condicions ideals d'un atac per arxivar tràfic 'man-in-the-middle' (l'home al mig), tot i que hi ha qui observa que no hi ha cap mena d'evidència que això passés el 8 d'abril.

El que pensem (els autors de renesys) que va passar és que un router de China Telecom va atraure el tràfic i el va enviar a Pequín. A Pequín un altre router de China Telecom, aquest sense la ruta falsa, va adonar-se de l'error i el va enviar a la seva destinació.

Els problemes amb la infraestructura basada en la confiança d'internet són reals, són seriosos i són trivialment explotables per part d'actors estats i no estatals que volen influir en els assumptes mundials.