Старый протокол, делающий уязвимым весь интернет
К концу 90-х годов интернет начал разрастаться так быстро, что некоторые специалисты засомневались, будет ли это продолжаться бесконечно. Одними из них оказались программисты Яков Рехтер из IBM и Кирк Лугхид из Cisco, которые придумали в январе 1989 года Border Gateway Protocol (BGP), протокол, помогающий компьютерам ориентироваться в интернете — месте, где никогда не было карты, — направляя трафик по наиболее эффективным маршрутам. Не сказать, что протокол тогда считали безупречным, но Рехтер и Лугхид предложили лучшее решение проблемы, и интернет спешно перешёл на BGP, теперь его рост уже ничего не сдерживало.
Для информационных технологий это обычная история: за красивым фасадом скрываются наспех созданные заплатки, которые нагромождаются друг на друга, — иногда кажется, что всё работает чудесным образом. Этим часто пользуются хакеры, и неудивительно, что Рехтер и Лугхид не задумывались о безопасности протокола в 1989 году — тогда киберпреступления казались уделом научной фантастики. В BGP до сих пор невозможно проверить достоверность данных, что не раз приводило к серьёзным сбоям, вызванным то ли случайно, то ли специально.
Примеры говорят сами за себя. В 2008 году правительство Пакистана решило заблокировать на территории страны YouTube из-за видео с пророком Мухаммедом. Ошибочные команды в BGP привели к тому, что трафик большинства пользователей YouTube перенаправлялся в Пакистан, из-за чего сайт не работал около двух часов. В 2010 году из-за некорректной команды, отправленной китайским телекоммуникационным оператором China Telecom, трафик военных ведомств США около 18 минут проходил через Китай — и ничто не мешало китайцам его перехватывать. Наконец, в 2014 году злоумышленник перенаправил трафик 19 провайдеров в Канаду для того, чтобы украсть биткоины на сумму $83 000. И это самые громкие случаи — часто на сбои в работе BGP просто не обращают внимания.
При этом роль BGP нельзя недооценивать. Благодаря этому протоколу интернет остаётся децентрализованной глобальной сетью и продолжает расти хаотично — из-за чего, правда, его основы очень сложно переделать. Протокол BGPSEC, который добавляет в оригинальный BGP криптографические ключи, пока ввели только 5% сетей — но и это, учитывая масштабы современного интернета, немало. Главное, чтобы по мере того, как это число будет приближаться к 100%, ни у кого не появилось возможностей и соблазна устроить маленький интернет-апокалипсис.
«Когда угроза безопасности станет настолько большой, что будет затрагивать интересы бизнеса, все сразу начнут решать проблему. Пока же можно просто делать заплатки, опережая хакеров на один шаг».
Кирк Лугхид, один из создателей Border Gateway Protocol