Så sänkte internetoperatör Google under amerikanska valnatten

Valnatten i USA förra veckan var det nog ingen som missade. Världens uppmärksamhet var riktad mot USA och hur det amerikanska folket skulle rösta. Det gick att följa valet via gammelmedia, nätet men även via mobilappar. Det var dramatiskt och spännande in i det sista. Men de flesta är omedvetna om en incident som drabbade nätet just denna natt och som ingen skrev något om av förklarliga skäl. En händelse som återigen visar hur sårbart nätet fortfarande är inom vissa områden.

Någon gång efter midnatt natten till den 6 november ”försvann” Google, och därmed Youtube, från internet under cirka 30 minuter.

Det berodde inte på någon driftstörning hos Google, och inte heller något hårdvarufel fel hos dem. Google hade inget med incidenten att göra. Det var inte heller någon överbelastningsattack eller liknande som låg bakom. Orsaken till att de försvann kan spåras till Indonesien och då en viss internetoperatör.

Nu ställer sig säkert många frågan hur en internetoperatör i Indonesien kan släcka Google som har en av de största och driftsäkraste tjänsterna i världen. Svaret finns i något som heter BGP och routing. För att förstå vad som hände som måste vi först förstå vad BGP och routing är.

Så funkar routing

Alla datorer på nätet har en egen unik IP-adress som möjliggör att de kan kommunicera med varandra. Dessa kommer ur ett större block med IP-adresser som alla tillhör den internetoperatör man ansluter sig via (till exempel Telia eller Bredbandsbolaget). Men vissa företag kan få egna block med IP-adresser vilket även Google fått. Alla internetoperatörer pratar med varandra, direkt eller indirekt, för att kunna skicka trafiken rätt mellan de IP-adresser som vill koppla upp sig mot varandra. Detta görs via något som kallas routing och då med ett protokoll som heter BGP (Border Gateway Protocol).

I princip så fungerar det som med telefonnummer – man vill hålla ihop sina IP-adressblock så att alla nummerserier kan hållas ihop för att prestandan ska bli så bra som möjligt. I telefonivärlden så vet vi att alla nummer som börjar på +46 är Sverige och sedan 08 för Stockholm. Principen är densamma för IP-adresser där en viss IP-adresserie ligger hos en internetoperatör (men jämförelsen med telefonnummer långt ifrån helt korrekt). Exempel på detta är till exempel att alla IP-adresser som börjar på 62.20 tillhör TeliaSonera.

En del internetoperatörer har miljontals IP-adresser (IPv4) medan andra kan ha mycket färre. När internetoperatörerna ska utbyta informationen om vilka IP-adresser de själva har så rabblar den inte upp alla sina miljontals adresser varje gång utan anger istället något som kallas AS-nummer (Autonomous System) vilket är ett unikt ”Routing-ID” för den operatören. Under detta AS-nummer samlar operatören alla sina IP-adressblock och talar sedan om för resten av internet att IP-adressen x.x.x.x kan nås via ASxxx vilket är operatörens egna nät.

Detta kallas oftast för att man ”annonserar” ut vilka adresser man har.  Men det är inte bara internetoperatörer som har ett eget AS-nummer. Det finns som sagt ett stort antal företag och organisationer som även de har ett eget AS-nummer. Däribland Google. De har AS15169 och under detta AS-nummer finns ett stort antal IP-adresser som tillhör dem och som Google annonserar ut. Vad Google gör är att säga till resten av världen att vill man nå en utav deras IP-adresser (till exempel den till Youtube) så gör man det via deras förbindelse och att den sedan finns inne i deras nät.

Bygger på att alla internetoperatörer litar på varandra

BGP är ett exempel på där säkerheten till stor del bygger på att alla internetoperatörer litar på varandra. Att alla har koll på vilka IP-adressblock de själva har och vilka de *inte* har. För det säger sig själv att problem uppstår om någon internetoperatör skulle börja annonsera ut en annan operatörs IP-adressblock. Det skulle som jämförelse med telefonins värld innebära att till exempel Sverige och något annat land samtidigt skulle säga att båda har landsprefixet +46.

Och ibland blir det, trots alla säkerhetsåtgärder, fel.

Enter: Moratel

Det var just den Indonesiska internetoperatören Moratel som på valnatten plötsligt började annonsera ut Googles IP-adressblock. Det innebar att de operatörer som ”lyssnade” på Moratels felaktiga annonsering skickade sina användare in i Moratels nät när de ville till Google och Youtube. Självklart så fungerade det inte för dessa användare eftersom det inte fanns varken några IP-adresser, servrar eller innehåll i Moratels nät. Uppkopplingen dog bara och troligtvis så upplevde de drabbade användarna att det bara stod och tuggade och att inget hände.

Så varför hände detta? Var det ett teknisk fel eller mänskligt misstag hos Moratel som gjorde att de började annonsera ut IP-adresser som inte var deras och i det här fallet drabbade en av de största sajterna i världen?

Spekulationerna går isär här. Felet upptäcktes snabbt och Moratel blev därefter uppmärksammade på vad de hade gjort och kunde återställa allt. Efter felet var avhjälpt så började diskussionerna bland internetoperatörerna där man försökte förstå hur Moratel kunde få för sig att annonsera ut Google av alla sajter på nätet.

Moratel kommenterade det och sa att det var ett teknisk fel i en hårdvara som orsakade felet. Många har dock haft svårt att köpa den förklaringen eftersom detta påminner alldeles för mycket om en händelse 2008 då exakt samma sak hände.

Liknande händelse i Pakistan några år tidigare

Den gången var det en Pakistansk internetoperatör som felaktigt annonserade ut Google och Youtubes IP-adressblock. De hade på anmodan av regeringen fått uppmaningen att blockera Pakistanska användare att nå Youtube eftersom regeringen ansåg att det fanns innehåll där som inte var förenligt med deras tro.  Blockeringen skulle vara från Pakistan och ut mot Youtube. De trodde att det skulle fungera om de internt inom det egna nätet annonserade ut Youtubes IP-adressblock att det fanns någonstans i deras nät.

Eftersom det inte fanns något där som svarade i andra änden skulle trafiken dö och därmed blockeras. Men vad de lyckades med var i stället att läcka ut denna felaktiga annonsering och säga till hela världen att de hade Youtubes alla IP-adresser. Det här pågick i flera timmar innan man fick stopp på den falska annonseringen.

Det är många som tror att det som hände på valnatten i Indonesien var precis detsamma som hände 2008 i Pakistan. Att någon med uppsåt försökte blockera tillgången till Google och Youtube för deras egna användare men att det av misstag läckte ut.

Händelserna pekar på svagheten som finns i routing

Det är bara spekulationer men det pekar på den svaghet som fortfarande finns i just routingen. Vi har säkerhetscertifikat, krypterade förbindelser och innehåll, VPN-tunnlar och TOR-nätverk. Men de förlitar sig alla på att routingen är att lita på.

I rättvisans namn så finns det många förbättringar som har gjorts inom BGP och routingen de senaste åren och arbetet fortsätter. Men vi kanske inte skall lita helt blint på tekniken och att alla har ärligt uppsåt. Om en liknande incident kommer att upprepa sig igen är det ingen som vet.

Vi får dock hoppas att detta inte blir en återkommande metod för blockera användare eller stjäla någon annans trafik. Det vore mycket illa.

Etiketter: , , , , , , , , , , , , Foto: IMG_3772 av Zanaca (CC BY 2.0)

Om bloggaren

Amar Andersson F.d Registrar Manager, IIS Amar Andersson var fram till 2015 den som hade kontakten med våra registrarer (återförsäljare). Tidigare har han arbetat från TeliaSonera där han var med och startade upp Telias Internettjänster -95.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

  • Carl W 16 november 2012, kl 19.45

    När det gäller kryptering så är industristandarden TLS lyckligtvis ett hyfsat robust protokol. Attacker/fel av denna typ kan inte äventyra payloadens integritet/konfidentialitet, bara dess tillgänglighet.

    Svara