Представьте себе Интернет сам по себе вдруг решил, что ты теперь живёшь где-нибудь в центре Азии, и весь трафик, который должен идти на твой ноут или смартфон, начинает блуждать (bgp route hijacking) по ряду других стран, прежде чем добраться до твоих устройств, но тебя там нет, ты по-прежнему у себя дома и не собираешься вообще никуда ехать. Все твои TCP и IP пакеты, которые обычно имеют маршрут до твоего провайдера, теперь гуляют в другом сегменте сети. Письма, которые тебе кто-то отправляет либо не доставляются, или их читают уже другие люди – это примерно то, о чём мне рассказал сбежавший из США в июне Эдвард Сноуден.
Ни одну банковскую операцию ты провести не можешь. HTTPS сообщает о недопустимых ошибках при получении сертификатов. Конфиденциальность, целостность и доступность твоих персональных данных полностью нарушена, причём не только твоих, и всё из-за того, что твой IP адрес кто-то благополучно угнал (bgp hijack).
А как вообще возможно угнать чей-то IP-адрес?
Автономная система (Multihomed AS) в нашем случае принадлежит NedZone BV Интернет-провайдеру в Нидерландах. Где она зарегистрирована можно посмотреть с помощью запросов Whois для AS 25459 по адресу https://bgp.he.net/AS25459
По данным RIPE эта автономная система объявляла и приземляла 369 префиксов в течение последних 30 дней, из них 310 были необычно малы. Обычно объявление префикса при помощи BGP происходит по маске /24 или 256 уникальных IPv4-адресов пространства Интернет.
Однако в нашем случае их было слишком большое количество, причем с маской /32, то есть объявлялся (bgp spoofing) всего лишь один единственный IP-адрес, с которого и осуществлялся потом весь скам процессинга. Любой поставщик услуг Интернета (ISP), который является частью глобальной сети Border Gateway Protocol (BGP) может объявлять (bgp route injection) маршруты, которыми он владеет. У других провайдеров просто обновляется таблица маршрутизации, в которой адреса прописываются уже в другом месте, а затем обновления уже распространяются по интернету в другие сети.
Обновления маршрутов от AS 25459 можно увидеть по адресу:
https://stat.ripe.net/resource/AS25459
Примеры некоторых из владельцев диапазонов и пространств IP-адресов, которые были захвачены:
1 AMAZON-AES – Amazon.com, Inc.
2 AS-7743 – JPMorgan Chase & Co.
1 ASN-BBT-ASN – Branch Banking and Trust Company
2 BANK-OF-AMERICA Bank of America
1 CEGETEL-AS Societe Francaise du Radiotelephone S.A
1 FIRSTBANK – FIRSTBANK
1 HSBC-HK-AS HSBC HongKong
1 PFG-ASN-1 – The Principal Financial Group
2 PNCBANK – PNC Bank
1 REGIONS-ASN-1 – REGIONS FINANCIAL CORPORATION
Некоторые пространства в этом списке принадлежали этому провайдеру, однако размер префикса был изменен намеренно, что выглядит весьма странно. Большая же часть анонсировавшегося блоков IP-адресов принадлежит совершенно другим хостинг-провайдерам на других концах планеты.
Можно посмотреть на видео и прочесть в презентации о том, как осуществляется скам процессинга с использованием утечек маршрутов BGP глобальной таблицы маршрутизации (bgp route leaking) сети интернет.
Более подробно обсудить со мной вопрос практического применения этого материала можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.