3 января 2024 года произошло уникальное событие: крупный испанский провайдер Orange Spain практически исчез из глобальной сети. Это был первый в истории случай масштабного сбоя, вызванного преднамеренным манипулированием системой RPKI (Resource Public Key Infrastructure).
Хронология событий
- Утро (09:00 UTC): Нарушитель получил доступ к учетной записи Orange Spain в системе RIPE NCC.
- Причина взлома: На аккаунте отсутствовала двухфакторная аутентификация (2FA). Позже выяснилось, что компьютер администратора был заражен вредоносным ПО, а пароль был крайне простым — ripeadmin.
- Атака: Нарушитель не стал красть данные. Вместо этого он зашел в портал RPKI и создал фальшивые записи ROA (Route Origin Authorization) для сетевых префиксов Orange, указав в качестве владельца случайный номер автономной системы (ASN).
- Результат: Маршруты провайдера мгновенно стали «невалидными» (invalid) для всего мира. Фильтры RPKI по всему интернету начали сбрасывать трафик Orange Spain как подозрительный.
- Вечер (17:00 – 18:00 UTC): Инженерам удалось вернуть контроль над аккаунтом и удалить вредоносные записи. Связь начала восстанавливаться.
Технические последствия и наблюдения
- Скорость «падения» vs «подъема»: Трафик начал исчезать примерно через 40 минут после внесения изменений в RPKI, так как автономным системам нужно время на распространение данных по BGP. Однако восстановление заняло больше времени: префиксы возвращались в таблицы маршрутизации медленнее, чем исчезали.
- Кто продолжал работать: Связь не упала до нуля. Некоторые сети (например, Amazon) странным образом продолжали видеть Orange Spain. Также трафик шел через тех провайдеров, которые до сих пор не внедрили фильтрацию RPKI (на тот момент это были Tata, Sparkle и частично Orange Open Transit).
- Ошибки Orange: Выяснилось, что магистральный оператор Orange Open Transit не фильтрует маршруты своего клиента — Orange Spain, что является нарушением лучших практик безопасности.
Использование SLURM или как защищаться
Бен Картрайт-Кокс подчеркивает, что такие инциденты можно быстро купировать на стороне получателя трафика с помощью инструмента SLURM (RFC 8416).
SLURM (Simplified Local Unconstrained Routing Metadata) — это небольшой JSON-файл, который позволяет сетевому инженеру локально переопределять данные RPKI.
- Фильтрация: Можно заставить свой роутер игнорировать конкретную (ошибочную) запись ROA.
- Инъекция: Можно локально пометить маршрут как «валидный», даже если во всем мире он считается «невалидным».
При таком раскладе всем операторам рекомендовано заранее настроить поддержку SLURM в своих RPKI-клиентах (Routinator, StayRTR, Fort), чтобы в случае подобного кризиса мгновенно восстановить связность, не дожидаясь действий пострадавшей стороны, ведь на устранение сетевого инцидента могут уйти часы или даже сутки.
Взгляд в будущее
- 2FA обязательна: Отсутствие двухфакторной аутентификации на критической инфраструктуре (RIPE NCC, регистраторы) недопустимо.
- RPKI — это мощное оружие: Инцидент показал, что теперь для атаки на сеть страны не нужно захватывать BGP-сессии, достаточно получить доступ к веб-панели управления ресурсами.
- Коллекторы маршрутов важны: Подобный детальный анализ стал возможен только благодаря публичным проектам по сбору BGP-данных (Route Views, RIPE RIS, BGP.tools), в которые операторам рекомендуется передавать свои таблицы маршрутизации.