Rutas envenenadas (Route Poisoning) a YouTube
Esto va a dar mucho que hablar en la comunidad de ruteo. No es algo nuevo, nada que no supiéramos, o nada que no hubiera pasado antes. Las tablas de BGP (Border Gateway Protocol) son uno de los puntos más vulnerables de la infraestructura de Internet junto con los servidores de nombres (DNS). Mientras para los servidores de nombres ya se han puesto algunas medidas de seguridad para evitar los ataques de negación de servicio, para las tablas de BGP aún no hay nada definido. Los grupos de seguridad de enrutamiento del IETF han definido varios RFCs donde se enlistan precisamente los problemas que pueden existir por la falta de seguridad en los protocolos de ruteo y los requerimientos que un protocolo de ruteo seguro debe tener. Lo nuevo en este caso es el perfil del atacado (YouTube de Google) y la razón por lo que pasó (censura)
El problema de la inseguridad de BGP es real y ahora tenemos un caso que va a resonar en los medios (seguramente). Hace unos días Pakistan anunció que bloquearía el acceso a Youtube por considerarlo un sitio con contenido inapropiado (dejaremos por un momento nuestra ideología en contra de la censura por un lado). Un ISP pakistaní (PCCW que realmente está en Hong Kong y según ellos son los más grandes de la región) tuvo la grandiosa idea de bloquear los sitios por Youtube usando infraestructura de ruteo, lo cual es un práctica común cuando apuntamos rutas estáticas a null y anunciamos INTERNAMENTE la ruta de “hoyo negro” a NUESTROS enrutadores. El problema es cuando esto se hace mal y anunciamos EXTERNAMENTE la ruta y esta tiene mejor métrica que la ruta del propietario (en esta caso Google).
El resultado es que PCCW terminó haciendo haraquiri a sus enlaces al recibir todo (o una buena parte de) el tráfico de Youtube. Esto fue un doble ataque de negación de servicio (uno a Youtube por el error de los ingenieros de ruteo de PCCW) y otra al mismo PCCW al saturar sus enlaces con el tráfico de YouTube. Afortunadamente los cuerpos de rescate filtraron las rutas y después de varias horas (aproximadamente 4) YouTube comenzó a volver a la normalidad.
A pesar del final feliz (bueno, esto aun no acaba. No sé si vaya a haber algunas demandas de Google a PCCW por daños), esto nos deja una buena lección de que la infraestructura de ruteo es muy frágil. Aunque BGP es un protocolo muy estable no fue diseñado con la seguridad en mente (sino con estabilidad) y es fácilmente engañado con anuncios falsos. Ahora que hay un precedente, uno de los blancos favoritos de los hackers va a ser posiblemente los enrutadores de ISPs donde la seguridad es baja. En estos casos un enrutador secuestrado podría empezar a inyectar las rutas de la víctima con mejores métricas ocasionando una doble negación de servicio (a la víctima y al ISP al saturar los enlaces –ésto depende del perfil de la víctima-).
Más información: BBC y Znet
Update: Encontré algo más de información en la lista de correo de NANOG donde incluso pueden ver los bloques de IP que fueron erróneamente anunciados.