Ruch internetowy Europy przechodził przez Chiny. To nie była awaria

Jeśli nie masz problemów z korzystaniem z internetu, nie masz powodu, by się interesować trasą pokonywaną przez twoje pakiety. Może się jednak zdarzyć, że podążają drogą dość niespodziewaną – na przykład z Austrii do USA będzie podróżował przez Chiny, choć powinien trafiać do Europy w Amsterdamie.

Taka sytuacja miała miejsce 6 czerwca 2019 r. Ruch internetowy z Austrii przechodził przez węzły China Telecom.

Internet to taka sama sieć jak mapa komunikacji zbiorowej. Pakiety z naszych komputerów są zbierane przez routery operatora, jakby poszły na przystanek. Z niego wsiadają do „autobusów” i po mniejszych łączach podróżują do większych stacji – węzłów złożonych z routerów grupowanych w AS-y (ang. Autonomous System).

W AS-ach zarządzanych przez operatorów telekomunikacyjnych i opatrzonych indywidualnymi numerami pakiety mogą wsiąść do pociągów i pojechać do innego miasta, innego kraju albo polecieć samolotem na drugą stronę świata. W rzeczywistości podróżują tysiące kilometrów po światłowodach łączących AS-y na różnych kontynentach.

Trasę do dowolnego miejsca na świecie możesz sprawdzić poleceniem tracerooute (na Windowsie tracert).

Zwykle wszystkie pakiety podróżują według rozkładu, ale chińskie węzły ten rozkład zmieniły.

Incydent zaczął się o 11:43 naszego czasu. Ruch ze szwajcarskiego centrum danych, prowadzącego AS21217, był kierowany przez AS należący do China Telekom. Pakiety trafiały do AS AS4134 zlokalizowanego we Frankfurcie, zarządzanego przez China Telecom. Z tego miejsca podróżowały do węzła w Chinach i z powrotem do Europy. Efekt zaobserwowano na ponad 70 tys. tras.

Incydent opisał Oracle. Oto jedna z tras, z której pakiety zbaczały do chińskiego węzła, gdzie prawdopodobnie były przeglądane i analizowane.

Efekty było widać w największych sieciach Europy we Francji, Szwajcarii i Holandii. Przekierowania miały wpływ głównie na ruch operatorów mobilnych.

Takie anomalie oczywiście zdarzają się w realnych warunkach. Mogą być wynikiem awarii, która wymaga zmiany trasy między AS-ami. Przekierowania są jednak aktywne najwyżej kilka minut. Trasa przez Chiny była aktywna przez ponad 2 godziny.

O 11:57 do przekierowań dołączyło 1,3 tysiąca holenderskich prefiksów. O 12:10 rozgłaszane były trasy na tyle precyzyjne, że nie mogło być mowy o wypadku. Abonenci atakowanych telekomów również zaczęli zauważać problemy ze swoim ruchem. Zgłoszenia dotyczyły Bouygues Telecom, Swisscom, KPN i innych.

Co więcej, propagowane były zbyt szczegółowe informacje o konkretnych węzłach, jak na losową awarię. To sugeruje, że w użyciu były specjalistyczne narzędzia do wyznaczania optymalnych tras. Incydent pokazuje też, że jeden z największych telekomów nie wprowadził zabezpieczeń przeciwko takim wyciekom. To wygodna wymówka, jeśli Chińczycy rzeczywiście zrobili to celowo, by podsłuchać ruch europejski. Oracle nie oskarża wprost chińskiego rządu, ale podkreśla precyzję błędnych tras.

Możesz. Twoje połączenia sieciowe prawdopodobnie są już szyfrowane przez przeglądarkę, a jeśli nie, możesz skorzystać z rozszerzenia wymuszającego używanie protokołu HTTPS.

Do tego wypadałoby zatuszować ruch do serwera nazw (DNS) – to pozwoli ukryć przed ciekawskimi informacje o tym, jakie strony odwiedzasz i jak często. Łatwym rozwiązaniem będzie skorzystanie z VPN-a, który ukryje cały twój ruch w wirtualnym tunelu. O ile punkt wyjściowy nie znajduje się w AS-ie, twój ruch jest bezpieczny.

Zaawansowanym polecam zapoznać się ze specjalistycznymi narzędziami, na przykład którąś z implementacji protokołu DNSCrypt. Więcej takich rozwiązań znajdziecie na wiki projektu DNSPrivacy.

Telekomom Oracle poleca przyłączenie się do inicjatywy Mutually Agreed Norms for Routing Security (MANRS), prowadzonej przez organizację Internet Society.