Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Oracle: internetverkeer uit VS werd omgeleid via China Telecom

Internetverkeer uit onder andere de Verenigde Staten werd in de afgelopen jaren regelmatig omgeleid via de infrastructuur van China Telecom, volgens Oracle. Daarmee bevestigt het bedrijf recente claims over het manipuleren van bgp-routering.

Oracles Doug Madory, director of internet analysis, gaat niet in op de motieven voor het omleiden van internetverkeer via China Telecom, maar bevestigt wel dat dit gebeurde. Hij beschrijft hoe vanaf eind 2015 autonomous systems, groepen van ip-netwerken, verkeer van providers via China Telecom lieten lopen.

Madory adviseerde aanbieders van tier 1-netwerken filters te installeren om de reroutering te voorkomen, maar ook daarna bleven netwerken met directe peering met China Telecom, verkeer via China omleiden, zelfs als dat VS-naar-VS-verkeer betrof.

Oracle bevestigt daarmee deels de claims van het Amerikaanse Naval War College, dat twee weken geleden een onderzoek publiceerde over vermeende bgp-kaping door China Telecom. Degelijke hijacks zijn mogelijk, volgens de onderzoekers, doordat het border gateway protocol moeilijk te configureren is.

"Als netwerk as1 ten onrechte via bgp aankondigt dat het een ip-blok bezit dat in werkelijkheid eigendom is van as2, zal verkeer van een deel van internet dat bestemd is voor as2 omgeleid worden naar en door as1", aldus het onderzoek. Oracle roept daarom op een ietf-standaard te ontwikkelen voor de verificatie van as-routes.

Door Olaf van Miltenburg

NieuwscoŲrdinator

06-11-2018 • 16:49

40 Linkedin Google+

Reacties (40)

Wijzig sortering
Blijkbaar vindt men het niet een groot issue aangezien in 2008/2010 al vergelijkbare incidenten waren.

https://www.theregister.c.../17/bgp_hijacking_report/
2008?

Het eerste incident stamt uit 1997, het AS 7007 incident.

In 2004 wist het Turkse TTNet zich voor te doen als het hele internet.

In mei 2005 werd Google van het internet verwijderd.

In 2006 deed AS27506 zich voor als het hele internet.

In 2008 neemt Pakistan heel Youtube over in een poging om Youtube te blokkeren in hun eigen land.

En vanaf dat moment zijn er meerdere incidenten geweest met BGP Hijacking. Meeste per ongeluk en een handjevol met opzet voor criminele activiteiten. Zoals in 2014 toen een hacker verkeer van bitcoin miners wist te onderscheppen om voor te doen alsof hij de miner was.

Het BGP protocol leunt zwaar op vertrouwen, vertrouwen dat je buurman capabel is en niks fout doet. Nou wordt er al jaren geroepen dat BGP niet zo werken, dat het toe is aan vervanging, etc. etc. etc. en elke keer als ik dat hoor denk ik: "vervanging met wat dan"? Het probleem met BGP is niet een technologisch probleem het is een mensen probleem en je kan een mensen probleem niet oplossen met technologie.

Oplossingen zijn er al, maar het toepassen van die oplossingen heeft voornamelijk financiŽle nadelen. Daarnaast zouden Tier 1 providers hun klanten zeer strikte regels op moeten leggen. In een wereldje die zeer competitief is is er altijd wel een andere provider die lakser is met de regels en het ook nog goedkoper kan. Daarnaast kan een Tier 1 provider van zijn klanten eisen dat ze voldoen aan die strikte regels, maar vaak is die kennis niet aanwezig. Dat betekent dat ze die kennis van buiten in moeten huren en dat betekent kosten. Als een klant dan offertes aan het vergelijken is dan zien ze alleen maar het financiŽle aspect en zien ze bij de Tier 1 die het wel goed doet ineens een post die in hun ogen onnodig is, of ja iets waar ze op kunnen besparen. Waarom zouden ze kiezen voor een duurdere provider die ook nog een hoop regels oplegt als ze voor minder een provider kunnen nemen die veel vrijer is?

Alhoewel er al jaren wordt geroepen dat er iets moet gebeuren en er al jaren lijstjes worden opgemaakt van wat wel en niet veilig is, is er nog steeds niks veranderd. En dat heeft maar met 1 ding te maken, geld. Niemand is bereid om ervoor te betalen maar iedereen wil het.

https://docs.google.com/s...xPSfaC6ScEZAG8/edit#gid=0
https://www.cidr-report.org/as2.0/
http://bgpupdates.potaroo.net/instability/bgpupd.html

[Reactie gewijzigd door SizzLorr op 7 november 2018 02:11]

Het internet werkt zoals het oorspronkelijk bedoeld is. Als er geen vertrouwen is in wat een land met gerouteerde gegevens doet zit er maar een ding op: zware end to end encryptie. Landen die tegen (te) zware encryptie zijn snijden zichzelf in de vingers.
Njah dat is dan weer een verlengde van de discussie. Het ging hier specifiek om BGP en de tekortkomingen ervan.

[Reactie gewijzigd door SizzLorr op 7 november 2018 03:57]

BGP vindt beschikbare routes van zender naar ontvanger op verschillende netwerken. Het protocol is onafhankelijk en houdt van nature geen rekening met landsgrenzen. BGP maakt zeker geen onderscheid tussen "betrouwbare" en "onbetrouwbare" landen en kiest alleen op basis van beschikbaarheid. Hierdoor kan een routering over meerdere routers in meerdere landen gelegd worden. B.v. een verbinding van Noord Duitsland kan via AMX (Nederland) naar Beieren geleid worden. Als Duitsland dan Nederland niet vertrouwt (aftappen van info door AIVD) hebben ze pech gehad. Een oplossing is end to end encryotie waardoor aftappen geen zin heeft.

N.B. Het topic gaat vooral over veiligheid: USA vertrouwt China niet en wil de routing over Chinese routers daarom verhinderen. Dit is niet eenvoudig met het huidige BGP (alleen met kunst en vliegwerk en medewerkers met kennis van zaken).

Na wijziging van je commentaar: Het is geen tekortkoming van BGP. BGP werkt zoals het bedoeld is. Het is vooral een gebrek aan vertrouwen (gebaseerd op waarneembaar misbruik).

[Reactie gewijzigd door janbaarda op 7 november 2018 04:04]

Nou in dit specifieke geval is het inderdaad een Amerika/China ding (het is sowieso al dom om een partij die je niet vertrouwt toelaat om meerdere POP's te bouwen in je land), maar in het grote plaatje is er iets veel groters aan de hand. Het probleem is dat iedereen zomaar een route aan kan kondigen en als het gaat om de grote providers wordt die route ook klakkeloos overgenomen. BGP staat eigenlijk wagenwijd open, maar om effectief misbruik te kunnen maken van dit gat moet er een grote partij achter zitten. Jou internetprovider lacht zichzelf een scheur als jij ineens routes aan gaat kondigen.

Dat in het verlengde van dat probleem China hier misbruik van maakt (overigens is China niet de enige, dit is duidelijk een gevalletje potten en pannen) is weer de volgende stap. Dat bijna elk land tegenwoordig zijn eigen of andermans burgers afluistert is weer iets anders, dat staat helemaal los van BGP. Dat heeft niks met BGP of encryptie te maken maar met de zeitgeist van de mensheid. Zoals ik al zei, een mensen probleem los je niet op met technologie.

[Reactie gewijzigd door SizzLorr op 7 november 2018 04:13]

Even op aanvullen dat spionage en gebrek aan vertrouwen al zo oud is als de mensheid. Internet heeft er slechts voor gezorgd dat je thuis kan blijven.
Je vergeet het belangrijkste, RPKI BGP (oa.) https://blog.cloudflare.com/rpki/
Dit initiatief wordt bijzonder omarmd in Nederland en ik hoop van harte dat we ooit bijna volledige dekking behalen.

[Reactie gewijzigd door analog_ op 7 november 2018 02:59]

Zo heb je meerdere dingen. BGPS, SIDR, CIDR, MANRS, een paar RFC's, meerdere initiatieven (IRRDB is dacht ik de grootste) om een database met peering tables te maken, etc. etc. etc. Is allemaal leuk, maar ze stuiten allemaal op hetzelfde probleem en dat probleem heb ik hierboven omschreven. Ik vond dat er geen toegevoegde waarde was bij het vermelden. De reden waarom ik link naar CIDR is omdat ik vind dat hun rapport zeer informatief is mbt de toestand van routing.

Persoonlijk ben ik van mening dat Tier 1 providers hier een veel grotere rol in moeten nemen. Ze moeten ervoor zorgen dat er op z'n minst een minimale database van peers komt en die ook daadwerkelijk gebruiken om te filteren. Alleen het moeilijk is dat er dan weer het financiŽle plaatje om de hoek komt kijken. Het gaat om gigantische hoeveel heden data en dat tracken en filteren heb je weer duur apparatuur en goed opgeleide mensen voor nodig.

[Reactie gewijzigd door SizzLorr op 7 november 2018 03:32]

Wij draaien het, jij ook? Zoals bij SPF records kan je soft-fail doen.

[Reactie gewijzigd door analog_ op 7 november 2018 03:11]

Ik denk dat je het probleem niet zo goed begrijpt. RPKI beschermt tegen spoofing of block hijacking. Het beveiligt de bron/doel, maar niet het pad. Iedereen is nog steeds vrij om elk route aan te kondigen en dat is waar het fout gaat in dit geval.
In de toekomst zal je bij je peering agreement moeten meedelen wat jouw policy is. Er zal dus een wolk AS nummers RPKI protected zijn. Op de edges van de wolk kiezen spelers welke policy ze hanteren. Dit is ook gemakkelijk genoeg af te checken (of hij zich aan zijn eigen aangekondigde policy houd) als je peert met zon Edge speler.

Het staat ook niks in de weg om meerdere systemen te hebben en al dan niet te combineren op edges, zolang je policy daarin maar duidelijk is naar je peering partners.

[Reactie gewijzigd door analog_ op 7 november 2018 18:27]

Ja leuk, maar er hoeft er maar eentje tussen te zitten die dat niet doet en je systeem valt al. Daarnaast claim je dat in de toekomst de peering agreements aangepast zullen worden, maar van wie moet dat? De AMS-IX doet het al, dat wel, maar de rest van de wereld niet en niemand die ze dwingt om het te doen. En wat as ze hun policy veranderen of zich er niet aan houden?

Dan heb jij misschien je eigen safe zone, maar wat als jij daarbuiten moet zijn? Daarnaast vang jij dit specifieke probleem nog steeds niet af. Wat CT heeft gedaan is een 10 tal POP's opkopen in Amerika, dus voor hun is dit interne routing. CT kan met het argument komen dat het voor hun goedkoper is om de data via China te routen en dat zou ook zomaar eens waar kunnen zijn. Dat kan je met geen enkel peering contract afvangen.

Daarnaast, waar je eigenlijk mee bezig bent is het internet een beetje ondermijnen, of eigenlijk een internet binnen het internet oprichten. De kracht van het internet is juist de flexibiliteit in de routing en daar moet je zeer voorzichtig mee omgaan. Als je die routing beperkt of in vast paden leidt dan wordt het internet weer vatbaar voor andere ziektes.

[Reactie gewijzigd door SizzLorr op 8 november 2018 00:49]

Zoals eerder gezegd, om er effectief gebruik van te maken moet je een grote partij zijn. Er moet een land achter zitten en meestal hebben die er geen baat bij om het internet op een dergelijk wijze te ontregelen.

Sinds het begin van het internet zijn er "maar" 12 incidenten bekend en het gros daarvan zijn simpelweg foutjes van de beheerder en die vielen binnen minuten en zelfs seconden op en werden direct omgedraaid. Laten ik het zo zeggen, als he hele internet ineens verdwijnt dan valt dat wel op. Meeste RIR's en AS'en hebben tegenwoordig filters draaien waardoor grootschalige misbruik bijna onmogelijk is en per direct ook wordt terug gedraaid.

Je zegt RPKI is een alternatief, dat klopt alternatief. Zoals eerder gezegd negeer je daarmee de vele voorgestelde oplossingen. Dat jij linkt naar de site van RPKI zelf is hetzelfde als een slager die zijn eigen vlees keurt. Met RPKI los jij alleen maar een deel van het probleem op, namelijk dat niemand zomaar jou IP block kan claimen, het beveiligt het doel en de bron, maar niet het pad. Dat is wat hier wordt bedoelt met hijacking, China Telecom kondigt een pad aan wat er eigenlijk niet is of welke lijkt alsof het korter en sneller is.

Daarnaast kom je met RPKI weer terug op het probleem wat ik al had aangekaart. Het vereist kennis aan de kant van de klant en de klant heeft die kennis meestal niet. Het vergt extra investeringen en beheer, daar wil de klant meestal niet in investeren. En als laatste is RPKI zelf ook niet 100%

http://rpki.me/quality.html

Ook al zou het 100% zijn, het lost nog steeds niet het hele probleem op. Begrijp me niet verkeerd, het is een goed initiatief, maar al die initiatieven lossen nog steeds niet de kern van het probleem op.
Er is ook al eerder door tweakers zelf een mooi achtergrond stuk over geschreven: reviews: Border gateway protocol: de achilleshiel van internet
Het is een groot issue. Alleen weten we niet hoe het op te lossen. Puur technische oplossingen zijn niet genoeg. Zie dit artikel van Russ White recentelijk, dat uitlegt dat de business-drives van een ISP nog altijd groter zijn dan de noodzaak van een 100% secure Internet:

https://rule11.tech/bgp-s...t-networking-is-business/
Als niet-netwerk techneut heb ik me altijd al afgevraagd waarom het zo moeilijk is om te controleren dat zoiets gebeurt. Dat is me nu wel iets duidelijker. Hopelijk gaat iedere netwerkbeheerder nu aan de slag om dit goed op te zetten en het netwerk op die manier te beveiligen.
Als niet-netwerk techneut heb ik me altijd al afgevraagd waarom het zo moeilijk is om te controleren dat zoiets gebeurt.
Er worden 750 duizend ipv4-prefixen geadverteerd op het Internet. Er zijn 65 duizend verschillende netwerken/organisaties die samen het Internet vormen.
https://www.cidr-report.org/as2.0/

Als je goede security doet, dan moet alles precies kloppen. Iedere keer als je iets veranderd, dan moet je de security ook aanpassen. Als je een foutje maakt ergens, werkt het niet meer. Als je peer/upstream/klant een foutje maakt, dan werkt het niet meer. Erg riskant. ISPs kiezen er voor om iets flexibeler te zijn. Zeker naar hun klanten toe. Als ze dat niet zouden doen, dan gaan die klanten naar andere ISPs toe, die niet zo moeilijk doen. ISPs vinden geld verdienen belangrijker dan een perfecte internet-burger te spelen.

Zie: https://rule11.tech/bgp-s...t-networking-is-business/
Uitleg hoe het probleem lastiger is dan je op het eerste gezicht zou denken.
Het is niet alleen een technisch probleem. Het is meer een business/people probleem.
Het voordeel van BGP (en slimme uitbreidingen daarop) is dat je automatisch inspeelt op veranderingen in het netwerk. Je daartegen beschermen betekend impliciet het inperken van die flexibiliteit. Het kan wel, en het gebeurt ook wel (ook ivm kosten etc), maar het is hoop extra werk, vooral op momenten dat er ergens een storing is.
Tweakers die met hun neus in de BGP tabellen zitten weten dat dit veel vaker voorkomt. En niet alleen richting China. Deutsche Telekom kan er ook wat van.
Ons eigen Ziggo routeert ook Nederlands verkeer (stad > Amsterdam) via Duitsland of Engeland.
In de beginjaren van het internet in Europa vond ik in eerste instantie verbazingwekkend waarom het verkeer tussen de TU Delft en METU in Ankara via New York ging. Blijkbaar was dat toen de snelste route, want als om wat voor reden de pakketjes door Europa moesten dan was het niet vooruit te branden. Hoe nu de gebruikelijke route is zou ik niet weten.
Je hebt klaarblijkelijk het idee dat routes op het Internet worden gekozen op basis van wat "het snelste" is. Dat is niet het geval. IGPs doen dat, BGP niet. BGP kiest routes op basis van policies. Policies die door mensen worden opgesteld, en geconfigureerd in hun routers (Via ingress en egress routemaps/policies). Die policies zijn het gevolg van afspraken en contracten tussen ISPs. Alle verbinding moeten betaald worden. Wie betaald bepaalt.

Als je dus vroeger traffic via de USA zag gaan, dan was dat omdat jouw ISP en die Turkse ISP kennelijk daar voor betaald hadden. En niet voor meer directe connectivity. En dan krijg je dat. Een goede ISP heeft goede peerings, en betaald voor upstream connectivity met tier-2 of tier-1 ISPs. Dat is tegenwoordig allemaal iets beter geregeld, denk ik. Maar 15-20 jaar geleden stond alles nog in de kinderschoenen. Dan krijg je dat.
Maar dat zal eerder te maken hebben met de prijs dan een misdirection.
Hoe kun je dat uit bijv. een traceroute eenvoudig merken? Ik zie ook wel eens vreemde dingen namelijk als ik verbinding met mijn VPS in de VS maak, maar was nog niet in me opgekomen dat het wel eens omgerouteerd zou kunnen worden. Opeens hops er tussen die wel heel lang duren zeg maar.
mtr (of WinMTR op Windows) is daar leuk tooltje voor. Als je het vaak gebruikt leer je na verloopt van tijd vanzelf wat een normale traceroute is wat niet.
brew install mtr op macOS / Unix...

Super! Nuttig voor ons allen!
Vroegah had ik daar McAfee Visual Traceroute NeoTrace voor .. perfect. je zag meteen als de route veranderde, kon elke node pingen als je dat wilde, erg handig bij het troubleshooten. Waar het nu is gebleven.. ik heb geen idee, het wordt in ieder geval niet meer door McAfee gevoerd

zo jammer, ben op zek gegaan naar een alternatief, maar ik heb er nog geen kunnen vinden die hetzelfde, en ook grafisch ok , kon bieden.
https://windows-cdn.softp...oTrace-Professional_1.png

[Reactie gewijzigd door Tweak3D op 6 november 2018 19:36]

Het zou me niks verbazen als de Chinezen al het verkeer hebben opgeslagen.
Zou me niks verbazen als ze niet de enige zijn die dat doen
Het zou me niks verbazen als de Chinezen al het verkeer hebben opgeslagen.
Zoals de NSA doet?
Linkje: https://en.wikipedia.org/wiki/PRISM_(surveillance_program)

edit: fix quote tag.

[Reactie gewijzigd door PPie op 6 november 2018 21:18]

Het is algemeen bekend dat. China, Rusland, Verenigde Staten & en nog meer landen met waar content wordt geblokkeerd (Niet dat dat in de VS gebeurt).
Ik begrijp je reply niet, er lijkt een deel van de zin te missen?
Dit laat goed zien dat het van belang is dat iedereen secure AS routing gaat gebruiken! Er zijn al methodes om dit te valideren! Hopelijk gaan steeds meer mensen dit toepassen in hun netwerk!
Het is ook wel eens zo dat verkeer naar China eerst naar de VS gaat en dan pas richting China. Leuke pingtijden van rond de 400 tot gevolg.
Het ding is dat binnen de VS een ping van enkele honderden vrij normaal is. Zoveel gaat het niet opvallen.

Ik heb een veel betere ping (100-120) naar hun oost kust dan mensen in het zuiden van de VS (200-300).
Wellicht dat we nu eindelijk meer aandacht gaan besteden aan de implementatie van onder andere rpki. Er zijn wel mogelijkheden om bgp beter te beveiligen, maar dan moet het wel breed geadopteerd worden. Als we nu hard checken op valid roa’s, dan is binnen ripe pas 20,78% valid. Het gaat met een paar procentpunten per dag, omdat er geen juiste aandacht voor is helaas :(
Het overschakelen van alle routers op andere protocollen (wel/niet versleuteld) zie ik niet zo snel gebeuren, daarvoor is het gewoon veel te complex.
Wat wel een oplossing is, is dat de Transit-providers controleren of de route wel met het juiste AS in de RIR's staan voor ze een route overnemen van hun peering-provider.
Dat kan volledig automatisch zonder dat er aan de protocollen moet worden geprutst. Interoute (nu GTT) doet dit bijv.
Geeft ook voor de enduser alleen maar voordelen (geen kans meer op een typo)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True