Kwetsbaarheid van het Internet zet Google buiten dienst

Kwetsbaarheid van het Internet zet Google buiten dienst

Op 12 november 2018 ontdekte ThousandEyes verbindingsproblemen met Google’s G Suite, een kritische softwareapplicatie, welke door onze organisatie wordt gebruikt. Toen we de statistieken van de ThousandEyes Endpoint Agent bekeken, zagen we dat alle gebruikers op het ThousandEyes-kantoor tegen dit probleem aanliepen. De uitval beïnvloedde daarnaast niet alleen G Suite, maar ook Google Search en Google Analytics. Wat bovendien opviel, was dat verkeer van de zoekdienst Google werd omgeleid naar China Telecom. Ook zagen we een Russische internet service provider in de route, wat aanleiding gaf tot bezorgdheid.

Figuur 1: Verkeer van ThousandEyes-gebruikers in San Francisco dat wordt omgeleid naar China.

Nader onderzoek toonde aan dat verschillende ThousandEyes-agents welke over de gehele wereld geinstalleerd zijn, een vergelijkbare ongebruikelijke omleiding rapporteerden – en dat de omleidingen allemaal eindigden bij China Telecom.

Figuur 2: Verkeer van meerdere locaties naar Google wordt naar China Telecom gerouteerd.

ThousandEyes BGP Route Visualization schetste een interessant beeld. Verkeer uit Parijs naar www.google.com werd naar 216.58.204.132 geleid. Hoewel Google aangeeft dat veel /24-prefixes binnen zijn IP-adresreeks vallen, gold dat niet voor dit adres. In plaats daarvan bevatte het een /19-prefix.

Bovendien ontdekten we een verdachte melding voor 216.58.192.0/19 met een complex AS-pad dat TransTelecom (AS 20485) in Rusland, China Telecom (as4809) in China en MainOne (AS 37282), een kleine ISP in Nigeria, omvatte.

Figuur 3: Verdachte melding voor 216.58.192.0/19 die het beste pad naar Google toont via Rusland, China en Nigeria.

De routes die we zagen, weerspiegelden het BGP AS-pad, alleen werd het verkeer tegengehouden door de Chinese firewall, die eindige bij de China Telecom-edgerouter. Bovenstaand incident zorgde ervoor dat G Suite en Google Search onbereikbaar waren. Daarnaast belandde waardevol Google-verkeer in handen van ISP’s in landen met een lange geschiedenis van internetsurveillance. In totaal detecteerde ThousandEyes meer dan 180 prefixes die door dit omleidingslek werden beïnvloed; oftewel een groot deel van de Google-diensten. Onze analyse laat zien dat de bron van dit lek de BGP-peeringconnectie (Border Gateway Protocol) was tussen MainOne (de Nigeriaanse provider) en China Telecom. MainOne heeft een peeringconnectie met Google via IXPN in Lagos, en beschikt over directe routes naar Google, die naar China Telecom lekten. Deze gelekte routes verspreidden zich van China Telecom, via TransTelecom naar NTT en andere transit-ISP’s. Ook ontdekten we dat dit lek voornamelijk werd verspreid door zakelijke transitproviders en amper impact had op de ISP-netwerken van consumenten.

Op 13 november 2018 tweette MainOne dat de oorzaak van het probleem lag bij een configuratiefout.

Figuur 4: MainOne bekent dat een configuratiefout de Google-diensten platlegden.

Het incident onderstreept een van de belangrijkste kwetsbaarheden van het internet. BGP is ontworpen om een betrouwbare keten te vormen tussen goedbedoelende ISP’s en universiteiten die blind vertrouwen op de informatie de ze ontvangen. Het heeft zich niet ontwikkeld en aangepast aan de moderne complexe commerciële en geopolitieke relaties tussen ISP’s en landen. Hoewel verificatiemethodes zoals ROA’s (Route Origin Authorisations) wel bestaan, maken maar weinig ISP’s er gebruik van. Zelfs bedrijven als Google – die over veel resources beschikken – zijn niet immuun voor een dergelijk BGP-lek of kwaadwillende hijacks. Het kostte MainOne 74 minuten om het probleem te ontdekken en op te lossen – en het duurde nog eens drie kwartier, voordat de diensten weer live waren. De meeste bedrijven (die dus niet over het bereik en de resources van Google beschikken) kunnen deze issue waarschijnlijk niet zo snel oplossen. En dat is van grote invloed op de bedrijfsvoering.

BGP-gerelateerde incidenten komen steeds vaker voor. In april 2018 werd een DNS-provider (Route 53) het slachtoffer van een brutale cryptocurrency-diefstal. Een jaar eerder vond het Rostelecom BGP-routelek plaats, dat een groot aantal e-commerce- en financiële-dienstverleningswebsites benadeelde. Hoewel de ISP-community de ernst van het probleem wel inziet, en oplossingen als ROA en IRR-filtering bestaan, voorkomt dit alles bij elkaar niet, dat het internet plat komt te liggen.

Vanwege het gebrek aan garanties is het van belang dat bedrijven hun BGP-routes continu monitoren en daardoor incidenten snel opmerken. Zo voorkomen ze dat hun bedrijf en diensten schade oplopen.

Ontdek hoe je ThousandEyes kunt inzetten om BGP-hijacks en -lekken te detecteren. Abonneer je op het ThousandEyes-blog om up-to-date te blijven van uitvalanalyses en best practices voor het bieden van een betrouwbare internetervaring.