19:43
23/3/2011

Amerykańscy internauci korzystający z łącz operatora AT&T przez kilkadziesiąt minut łączyli się z Facebookiem przechodząc przez urządzenia należące do operatora China Telecom. To najprawdopodobniej niegroźny błąd routingu, ale w sieci znów zaczyna się dyskusja na temat ochrony przed “przechwytywaniem” ruchu internetowego przez “wrogie” AS-y.

Z AS do AS — tak przecież działa internet

O tymczasowej zmianie w routingu poinformował Barret Lyon, zwracając uwagę, że nie ma żadnych dowodów na to, że było to celowe działanie Chińczyków polegające na inwigilacji użytkowników Facebooka. W zmianie domyślnej trasy nie ma niczego nadzwyczajnego — w końcu na optymalnym dobieraniu tras polega routing dynamiczny. Nie wiadomo jednak dlaczego w tym przypadku routery AT&T postanowiły ustawić routing do Facebooka przez Chinanet (Data in China AS4134), ale należy pamiętać, że w pewnych warunkach protokół BGP potrafi spłatać figla.

Facebook / Chiny

Warto zauważyć, że nawet jeśli ruch internetowy został przepuszczony przez chińskiego operatora przez pomyłkę, to osoby, które w tym czasie nie korzystały z połączenia HTTPS do Facebooka mogły zostać przypadkowo (żeby nie powiedzieć standardowo) zinwigilowane. Nie jest bowiem tajemnicą, że Chiny aktywnie stosują narzędzia do kontroli i szpie^Wmonitoringu swoich internautów (por. działania Tunezji mające na celu przejmowanie kont na Facebooku).

Przełącz Facebooka na HTTPS

Dla przypomnienia, Facebooka można zmusić do połączeń po protokole HTTPS — uchroni was to nie tylko przed (małoprawdopodobnym) chińskim podsłuchem, ale przede wszystkim przed atakami przy pomocy popularnego narzędzia Firesheep. Powyższe jest prawdziwe pod warunkiem, że nikt nie bawi się w podrabianie certyfikatów HTTPS

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. A to ‘bezpieczne’ połączenie z FB nie jest czasem tylko podczas logowania się ?

    • Nie, od jakiegoś czasu jest ‘nowa’ opcja – patrz link w artykule.
      Mało tego, sam komentowałeś tamten artykuł :)

    • Protokol SSL TLS enkryptuje nie tylko podczas logowania ale tez cala sesje. Jest kilka rodzaji atakow na ktore musimy uwazac jak protocol downgrading czy MITM.

  2. A czy jest możliwe (po stronie usera lub serwera) ograniczenie/zabanowanie określonych tras? W niektórych przypadkach byłoby to całkiem dorzeczne.

    • Maszyna wysyłająca pakiet IP nie może przewidzieć jaką on trasą przejdzie. Jedynie w bardzo ale to bardzo ograniczonym zakresie można wybierać trasę, poprzez Type Of Service. Maszyna docelowa również nie dowie się którędy doszedł pakiet. Poza licznikiem TTL, nie ma w pakiecie żadnej informacji o przebytej trasie. Jedyna możliwość to przed każdym logowaniem badać trasę komendą “tracert” a to też nie daje gwaracji, że trasa nie zmieni się w czasie trwania sesji.

    • @Marcin Maziarz: w pewnych warunkach (o ile coś na trasie nie wytnie umyślnie, bądź nie zignoruje ustawionego “Record Route” w IP) to docelowy host jest w stanie poznać trasę jaką przebył pakiet. Niemniej nagłówek IP może mieć max. 60 bajtów zatem w najlepszym razie jest w nim miejsca tylko na 9 hopów.

    • Teoretycznie router BGP w momencie podejmowania decyzji o skierowaniu ruchu danym łączem ma informacje na temat całej ścieżki, którą pakiet IP powinien trafić do docelowego ASa. Oczywiście zmiany trasy propagują się z lekkim opóźnieniem, ale odpowiednią konfiguracja można znacząco ograniczyć prawdopodobieństwo kierowania ruchu danymi ASami tranzytowymi. Mniejsze panowanie ma się nad ruchem przychodzącym, ale także tu przy pomocy odpowiedniego community można nieco mieszać w sposobie rozgłaszania trasy i mniej lub bardziej skutecznie przekonywać o nieatrakcyjności tras prowadzących przez niechciane ASy, czy wręcz próbować się przez nie w ogóle nie rozgłaszać. Faktem jest natomiast, że w dużej mierze BGP opiera się na wzajemnym zaufaniu i od czasu do czasu można obserwować różne tego efekty.

  3. to w końcu ta inwigilacja chińska jest “standardowa” czy “mało prawdopodobna”?

    • chodzilo mi o to ze dla polakow maloprawdopodobne jest przeroutowanie sie przez chiny, ale jesli to juz nastapi to tam standardowo ruch jest inwigilowany.

    • @igH
      Pytanie, co to znaczy “inwigilowany”. U nas u kazdego ISP’ka stoi policyjny sniffer. Czy to znaczy, ze wszyscy jestesmy inwigilowani? A moze “inwigilowani” sa tylko ci, ktorymi bezposrednio interesuja sie wladza, na bierzaco monitorujac podejmowane przez uzytkownika akcje? Co wiecej moga Chiny oprocz tego co robi sie u nas w standardzie?

    • @Rawr
      “[…]U nas u kazdego ISP’ka stoi policyjny sniffer.[…]” – jesteś pewien, że tak jest. Możesz podać ISP mające takie sniffery? Nigdy czegoś takiego nie zauważyłem. Co innego pytania policji o klienta o zadanym IP i o zadanej dacie.

    • @RWrynsk

      Podłączenie central telefonicznych i ISP do służb specjalnych wynika z ustawy. Sposób podłączenia jest informacją niejawną i za to już ściga ABW. Podam ci, że ABW ma podłączenia nie tylko do ISP, ale też do wszystkich ważnych systemów w tym kraju, włącznie ze wszystkimi ważnymi masowym zobiorami danych osobowych – że to tak ujmę…

      ps. tym postem ABW tez sie zainteresuje ;) kwestia czasu.

  4. Kolejny przypadek ;-)
    Ale poważnie gdyby to było zamierzone działanie to jakie praktyczne zyski by z tego mieli?

  5. A ja mam przewrotne pytanie.
    Czy jeśli ktoś już używa facebooka to nie zgadza się dobrowolnie na znacznie większą inwigilacje?

  6. A inwigilacja sieci w USA przez FBI, to już nie jest taka groźna? Wydaje mi się, że groźniejsza niż ta chińska, bo chińczycy ścigają tylko swoich – amerykanie wszystkich, europejczyków też!

  7. Chciałem nadmienić że to nie tylko problem z facebookiem ale zauważyłem wczoraj i przedwczoraj jak wpisywałem stronę google.pl to standardowo pokazywała się wersja chińska. po sprawdzeniu systemu i programu tor ( był wyłączony ) oraz privoxy ( tak samo jak tor) do kilkukrotnym odświeżeniu strony dopiero ładowała się polska wersja z wybranym tłem.

  8. W moim mieście w jednym zakładzie dostęp do stron internetowych jest realizowany przez japońskie serwery. Innego dostępu do neta niestety nie ma.

    Więc albo inwigilacja, albo metoda zabezpieczenia systemu.

  9. Mam nieprzyjemne przeczucie, że Niebezpiecznik zniknie, jednak liczę, że się mylę i nigdy się tak nie stanie.
    Nie popieram przeciwników teorii spiskowej i zbyt ograniczonego spoglądania na świat.

  10. Hmmm
    Bylam w wakacje w Pekinie z laptopem i nie mialam zadnych problemow. Poza jednym – facebook byl zupelnie zablokowany. Moj mail i blog na google tak samo. A przegladarka google wydawala sie byc nieco ocenzurowana.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.