Border Gateway Protocol | BGP-angrep

Internettrafikk fra Norge og Sverige mot en stor amerikansk nyhetsorganisasjon ble i en lengre periode omdirigert via Kina.

Den tidligere ukjente hendelsen varte i seks sammenhengende uker i april og mai 2017.

– Det som skjedde var alt annet enn et uhell, blir det hevdet i en fersk akademisk avhandling.

Hvorfor tok datapakkene en overraskende omvei via kinesiske eid infrastruktur i USA og deretter til det kinesiske fastlandet?

Angrep eller tabbe?

Det er delte meninger om dette var en bevisst handling, altså et angrep – eller utløst av en feilkonfigurasjon.

Ingen bestrider at det skjedde en IP-lekkasje som kom etter BGP-annonsering (se faktaboks), og at dette påvirket Telia og kunder av Telia i den aktuelle tidsperioden.

Telia er en betydelig og global transittaktør. De eier også egne transatlantiske kabler. Selskapet svarer nederst i saken.

Utpeker Kina som ansvarlig for BGP-kapring

Rapporten med tittelen «China's Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom's BGP Hijacking» er skrevet av professor Chris C. Demchak (Ph.D) ved det militære U.S. Naval War College og professor Yuval Shavitt (Ph.D) fra Tel Aviv University.

Forfatterne oppgir blant annet kyberkrig og internett-infrastruktur på sine respektive lister over ekspertise og forskningsområder. 

De beskylder Kina for å utnytte den globale infrastrukturen til det statseide teleselskapet China Telecom for å kapre og omdirigere trafikk på internett, blant annet via «point of presence» (PoP) noder som selskapet eier.

China Telecom kontrollerer ti slike i Nord-Amerika, fordelt på åtte i USA og to i Canada. De har omfattende infrastruktur også i Europa, Afrika og Asia.

Hendelsen i Skandinavia på vårparten i fjor er blant en håndfull eksempler på det forfatterne mener er ledd i systematisk spionasje. De nevner også flere andre lignende episoder, blant annet:

• Trafikk fra Canada til koreanske myndigheter skal ha blitt kapret av China Telecom og rutet via Kina fra februar 2016 med en varighet på rundt seks måneder. Angrepet skal senere ha blitt gjentatt i kortere perioder.
• I oktober 2016 skal trafikk fra flere steder i USA til en amerikansk bankfilial i Milano i Italia ha blitt omdirigert til Kina. Angrepet varte i 9 timer og virket dårlig planlagt, da trafikken aldri nådde fram til banken.
• Trafikk til en epostserver og andre IP-adresser tilhørende et større finansselskap i Thailand ble kapret flere ganger i april, mai og juli 2017, og igjen sendt til Kina.

Ifølge rapporten ble kapringen av norsk og svensk internettrafikk iverksatt ved China Telecoms node i den amerikanske delstaten Maryland og videresendt til selskapets node i California. Derfra ble trafikken rutet til fastlands-Kina og videre via Hongkong før datapakkene endelig nådde målet, serverne til et ikke-navngitt amerikansk medieselskap i Japan.

Har samlet data selv

Ved siden av sin akademiske stilling er Shavitt også medgründer og daglig leder for en tech-oppstart som overvåker internettets rutingsystem for å tilby kunder beskyttelse mot IP-kapring.

– Alle data fra rapporten er samlet inn fra selskapet mitt, opplyser professor Yuval Shavitt selv til digi.no.

Shavitt ønsker ikke å navngi medieselskapet som den antatt kaprede trafikken gikk til, men utdyper at det er et stort amerikansk selskap som alle kjenner.

Han har delt enkelte sporingsdata fra den konkrete hendelsen i april og mai 2017 med digi.no. Dette er data som ikke er offentliggjort i selve rapporten.

Disse viser en rute (les traceroute) som starter med en liten nettleverandør i Stockholm, via flere hopp på Telias infrastruktur på veien over til USA. Der blir trafikken kapret og omdirigert via Kina, ifølge professoren. Han legger til at trafikken fra Norge fulgte mer eller mindre samme rute.

– Vi har ikke klart å finne bevis på kapring fra andre land, men mistenker at kunder av Telia også i andre EU-land ble kapret, skriver Shavitt til digi.no.

«Ubalanse» med Vesten

Rapporten slår fast at mens Kina har 10 slike trafikknoder i Nord-Amerika fordelt på åtte i USA og to i Canada, så er derimot all kjerneinfrastruktur i Kina kontrollert av kineserne selv.

Dette gir en ubalanse som åpner for at Kina kan utføre ondsinnede handlinger via statseide China Telecom når og hvor de vil, mens USA og dets allierte nektes samme mulighet, skriver forfatterne.

Rapporten kan følgelig sies å være temmelig politisk i sin retorikk. Forfatterne tar da også til orde for å rette opp i skjevheten. Enten ved at amerikanske telekomaktører får adgang til å opprette et antall noder i Kina, eller ved å innføre en slags blokade.

Forfatterne foreslår faktisk å innføre regler i BGP-rutetabeller som nekter trafikk til eller gjennom USA og allierte å komme fra China Telecom-noder i USA eller selskapets noder i alliertes nettverk.

– Hvert enkelt land kan på eget initiativ innføre slike regler, men det vil kreve summen av alle demokratiske samfunn å gjøre dette i fellesskap, for å effektivt kunne avskrekke denne ondsinnede oppførelsen på lengre sikt, skriver de.

– Flere smutthull

– BPG stammer fra en tid da internett stort sett besto av universiteter. Da kunne man stole på endringene. Det kan man som regel fremdeles, selv om det ofte skjer at BGP-annonseringer inneholder feil, mener nettverksarkitekt Tore Anderson i Redpill Linpro.

Når det oppstår feil skyldes det som regel en feilkonfigurasjon, slik han ser det. Det finnes flere mekanismer for å validere at et IP-nett tilhører vedkommende (eller tilhører en kunde av dem) som annonserer ruting i BGP.

– Men mekanismene er ikke helt skuddsikre, og ikke alle bruker dem. Det finnes en del smutthull som en ondsinnet aktør kan benytte. Da kan man raskt klare å tiltrekke seg trafikk man ikke burde ha. Jo mer sentralt i nettverket vedkommende befinner seg, desto større del av trafikken vil bli påvirket, sier Anderson.

Han gir et høyst hypotetisk eksempel. La oss si at en norsk nettleverandør skulle ønske å stjele trafikk til Politiets sikkerhetstjeneste. Da vil potensialet for et vellykket angrep være stort, fordi angriperen befinner seg nærme den normale ruten trafikken vil ta.

– Hvis en norsk ISP derimot prøver å ta over trafikken mot den amerikanske etterretningstjenesten NSA, så ville det sannsynligvis vært mindre vellykket, kanskje bortsett fra noe trafikk lokalt fra norske internettbrukere, men igjen, dette er veldig hypotetisk, poengterer han.

Ikke veldig komplisert

Særlig vanskelig er det ikke å manipulere ruter på internett. Ifølge Anderson må du kontrollere et såkalt AS (autonomt system), det vil si infrastruktur hos en internettleverandør eller tilknyttet virksomhet som har sin egen rutingpolicy.

Telenor, Telia, Broadnet og Redpill Linpro er eksempler på slike her til lands. Selv er de knyttet direkte til flere av disse over det sentrale norske internettknutepunktet NIX, der mange norske autonome system møtes.

• Hva er NIX lurer du kanskje på? Vi tok turen til Blindern

– Så må du kunne BGP-protokollen og forstå hvordan ruting fungerer på internett. Det er ikke veldig komplisert. Det å utnytte smutthull både i protokollen og hvordan nettleverandører validerer ektheten av annonseringene krever nok en del erfaring, men du trenger ikke være noen nobelpris-vinner. Det er sikkert et tre- eller firesifret antall personer i Norge som kunne gjort det. De fleste som jobber med nettverk i en moderat til stor norsk virksomhet vil antakelig være i stand til det.

Hvis du ønsker å spionere på trafikk er det veldig nyttig å omdirigere trafikken til å gå via din egen infrastruktur

Hva er hensikten med bevisst manipulering av BGP?

– Det er opplagt etterretningshensyn. Hvis du ønsker å spionere på trafikk er det veldig nyttig å omdirigere trafikken til å gå via din egen infrastruktur. Etterretningsorganisasjoner, ikke bare kineserne, men også amerikanerne og britene er vel kjent for å drive med sånt, sier Anderson.

Pakistan slo ut Youtube

Rapporten nevner at China Telecom skal ha kapret 15 prosent av all internettrafikk over en periode på 18 minutter den 5. april 2010, en episode som «antas å ha vært et eksperiment og demonstrasjon av evnen til å kontroller dataflyten». Uten å nevne at dette er omstridt.

Enkelte forskere har ment at den hendelsen antakelig var et uhell, og med et langt mindre omfang enn nevnte 15 prosent av trafikken på internett. China Telecom har også avvist alle påstander om kapring av internettrafikk som usanne, ifølge Reuters.

Et annet kjent eksempel på statlig innblanding i rutetabellene, er da pakistanske myndigheter forsøkte å blokkere Youtube i 2008. En tabbe gjorde at rutene de annonserte spredte seg til hele verden.

– Det pakistanske televerket skulle blokkere Youtube for innbyggerne av sensurhensyn, ikke for å spionere på trafikken. Det gjorde de ved å forfalske en BGP-annonsering som, fordi den spredte seg til hele verden, gjorde Youtube utilgjengelig for alle, sier Anderson i Redpill Linpro.

Nettverksarkitekten peker også på en hendelse digi.no omtalte i 2015, da BankID og Nets ble rammet av store globale trafikkforstyrrelser etter en BGP-feil utført av Telekom Malaysia.

– Den hendelsen var sannsynligvis utløst av en feilkonfigurasjon. Jeg vil tro at en etterretningsorganisasjon vil klare å være litt mer subtil enn som så, sier han.

Kjent fra Snowden

Lekkasjene fra den amerikanske varsleren Edward Snowden har blant annet vist at etterretningsorganet NSA har en kapasitet og interesse knyttet til misbruk av BGP.

«BGP-hacking er en teknikk de store E-tjenestene benytter for å avskjære visse typer trafikk på internett. NSA kaller dette «network shaping» eller «traffic shaping» og her er et dokument fra Snowden-arkivene som beskriver hvordan teknikken virker med Yemen», skriver den amerikanske sikkerhetseksperten Bruce Schneier i en kort omtale av BGP-rapporten.

– Hvis de bruker kapasiteten vil de nok gjøre det på en måte som ikke er så synlig. Det vil si mest mulig lokalt. Det finnes offentlige BGP-data tilgjengelig, som blir tungt arkivert av flere, slik at det går an å gå tilbake i tid for å se hvordan rutene er blitt endret, forklarer Anderson.

Ønsker man derimot å spionere på trafikken mellom to punkter, og gjør det på en måte som ikke berører andre enn disse to, så vil det vanskelig kunne oppdages av andre.

– Det vil jeg tro e-tjenester gjør ofte, men det blir gjort i det stille, uten at jeg har noe dokumentasjon på dette, det er bare en antakelse, sier han.

Ser ut som feilkonfigurasjon

Det kan se ut som en feil-konfigurasjon, med mindre det er bevisst gjort for å se ut som en feilkonfigurasjon

Anderson har fått se traceroute-data fra den konkrete hendelsen i april og mai 2017, som digi.no sitter på, og som ikke er delt i selve rapporten.

Han har også gjort oppslag i andre tjenester selv, og er ikke i tvil om at det var en hendelse med IP-lekkasje som påvirket et stort teleselskap med tilstedeværelse i Norge, som også er en betydelig global transittleverandør, samt da kundene deres.

– Det kan se ut som en feilkonfigurasjon, med mindre det er bevisst gjort for å se ut som en feilkonfigurasjon. Så skjer en ny feil ved at China Telecom aksepterer rutene. De skulle nok ha filtrert dem bort i stedet.

Nå sitter ikke noen av oss på alle tekniske detaljer om hendelsen, men Anderson kan identifisere først en feilkonfigurasjon og to påfølgende feil at typen «blind trust», som betyr at oppstrømsleverandør eller andre har stolt på endringer i BGP, som de burde ha filtrert vekk.

At dette skal ha vært et bevisst, målrettet angrep mot internettbrukere i Norge og Sverige, slik rapporten konkluderer med, får imidlertid ingen støtte av Tore Anderson.

– Man kan lure på hvor mange nordmenn det er som surfer på de japanske sidene til en amerikansk nyhetsaktør, og hvor interessant det er for kinesiske myndigheter å spionere på det spesifikt. Det høres litt usannsynlig ut for meg, sier han.

Godt argument for krypto

Etter drøyt 15 år som nettverksarkitekt kommer ikke Tore Anderson på eksempler på ondsinnede BGP-angrep som har berørt hans arbeidsgiver, Redpill Linpro.

– Vi har ikke sett det. Samtidig vil det være bortimot umulig for meg å vite det, hvis for eksempel en argentinsk internettleverandør bestemmer seg for å stjele trafikk mot oss fra en annen argentinsk internettleverandør, sånn at det faktisk får konsekvenser for nordmenn på ferie, sier nettverksarkitekten.

Saken gir Anderson en anledning til å trekke fram behovet for kryptert samband på internett.

– Jeg vil gjerne legge til at du ikke nødvendigvis har kontroll på hvor datatrafikken går mellom et punkt A og Z på internett. Det er et veldig godt argument for å benytte kryptering, blant annet at nettsteder tar i bruk SSL/TLS og HTTPS. Med bruk av moderne kryptering vil det være veldig vanskelig å kunne avlese trafikken.

Telia avviser angrep

Hos den involverte transittleverandøren Telia blir det avvist at omrutingen av trafikk ut fra Skandinavia var et angrep eller noen bevisst handling.

– Den konkrete hendelsen det henvises til var ingen kapring, men snarere en svikt i håndteringen av rutingpolicy i et nettverk langt borte, som førte til unormal trafikkadferd. Det kan således oppsummeres som en feilkonfigurasjon i et nettverk flere BGP-hopp unna Telia/ASN1299, skriver talsperson Ralf Bagner fra Telia Group i en epost til digi.no.

Han legger til at det nevnte nettverket ikke har noen tilknytning til China Telecom.

– Ved å konstatere dette om den spesifikt refererte hendelsen, så sier vi ikke at det ikke kan forekomme andre tilfeller av ondsinnet oppførsel, avslutter Bagner.

Professor: – Så mange hendelser som involverer én aktør lar seg ikke forklare med feilkonfigurasjon

– Det absolutt mulig at en feilkonfigurasjon kan resultere i trafikkadferd som fremstår som en bevisst ondsinnet handling, og dette kan godt være et slikt tilfelle, svarer professor Yuval Shavitt etter å ha blitt forelagt uttalelsen fra Telia.

Uten føtter på bakken og direkte kontakt med de ulike nettverksoperatørene som er involvert, er det rett og slett umulig å fastslå, mener han.

– Fra de mange tilfellene vi observerer, klarer vi noen ganger å validere årsak bak den uvanlige oppførselen (og vi har sett både angrep og konfigurasjonsfeil som simpelthen ikke er til å begripe) men i mange tilfeller er det veldig vanskelig. Når det er sagt, så er antall hendelser som involverer China Telecom rett og slett for mange til å bli forklart med feilkonfigurasjoner, skriver Shavitt til digi.no.