Als het internet een hartaanval krijgt

Maandag 24 juni was weer zo’n dag. Een dag waarop het internet een wankele verzameling netwerken blijkt, aan elkaar gelijmd met technologie die stamt uit 1989.

Door een foutje bij DQE, een lokale provider in Pittsburgh, was onder meer de populaire internetdienstverlener Cloudflare grotendeels onbereikbaar. Bijna alle verkeer naar Cloudflare werd omgeleid via metaalbedrijf Allegheny Technologies, een klant van DQE.

Alsof je de ochtendspits van de vijfbaans A2 over een fietspad probeert te persen. De doorstroom van data blokkeerde binnen enkele seconden. Dat merkten ook de 16 miljoen apps en websites die Cloudflare gebruiken – juist om storingen en vertragingen te voorkomen.

Alternatieve bewegwijzering

Het internet kreeg een hartaanval, schreef Cloudflare in een analyse achteraf, niet zonder gevoel voor drama. Het probleem werd veroorzaakt doordat DQE een alternatieve bewegwijzering voor het dataverkeer van zijn klant had bedacht, die klakkeloos werd overgenomen door een veel grotere provider: Verizon. Die stuurde de fietspad-route door naar de rest van de wereld.

Ook in Nederland was de storing voelbaar, maar het nieuws raakte ondergesneeuwd doordat op hetzelfde moment KPN’s telefoonnetwerk plat lag en alarmnummer 112 onbereikbaar was. Al had het telefoonnet ook last van routeringsfouten, dat had niets met de Amerikaanse problemen te maken, zegt KPN.

Storingen als deze leiden meteen tot discussies over onze afhankelijkheid van digitale infrastructuur. Maar minstens zo belangrijk is de vraag waarom de digitale infastructuur zo kwetsbaar is.

De ‘hartaanval’ die het internet op 24 juni kreeg, past in een patroon van andere fouten in routers, de verkeersregelaars van onze datanetwerken. Een paar beroemde voorbeelden: in 2017, na een blunder van Google, was heel Japan drieëntwintig minuten lang offline. En in 2018 waren duizend IP-adressen van Amazon Web Services onbereikbaar doordat criminelen een valse route verspreid hadden om speculanten van cryptomunten te beroven.

YouTube op zwart

Langer geleden, in 2008, was YouTube twee uur uur uit de lucht doordat routers wereldwijd de instellingen van een Pakistaanse provider hadden overgenomen die pretendeerde de legitieme route naar de videosite te hebben. Het was een zwart gat, bedoeld om YouTube te blokkeren.

Wat gaat er mis?

Internet is een verzameling van netwerken. Je verbinding begint bij je provider, die is gekoppeld aan andere netwerken en datatransporteurs om bij andere computers te komen. Netwerken praten met elkaar via het Border Gateway Protocol of BGP. Met BGP vertelt een netwerkbeheerder zijn buurmannen welke IP-adressen of ‘hosts’ er in zijn netwerk staan. Als bij een fluisterspelletje wordt die route doorgegeven aan andere buurmannen. Zo ontstaat een dynamische wegenkaart, waarbij de meest nauwkeurige route voorrang krijgt; zoals je bij een navigatiesysteem liever meteen rijdt naar een specifiek adres – bijvoorbeeld Rokin 65 in Amsterdam. Dat gaat sneller dan naar Amsterdam rijden, om vervolgens daar de weg te vragen.

Als één partij zegt de snelste route naar bestemming X te weten, dan accepteren de andere netwerken dat in principe ook. Maar BGP kan niet controleren of het verkeer ook daadwerkelijk aankomt: het vertrouwt erop dat de aangeboden informatie klopt, zoals meer oudere internetafspraken. En dat is vragen om problemen.

De database dijt uit

De BGP-technologie werd door IBM en Cisco ontworpen in 1989, de oertijd van internet, dat toen bestond uit zo’n honderdduizend computers. Het world wide web moest nog geboren worden. Ter vergelijking: er zijn nu meer dan 4 miljard internetgebruikers en nog eens miljarden online apparaten.

Naarmate het internet groeit, groeit ook de wegenkaart. Er zijn meer dan 60.000 AS’en (autonome systemen, oftewel netwerken) en meer dan 750.000 routes. De BGP-database is gigabytes groot, mede doordat aan elke route ook allerlei eigenschappen en voorkeuren worden toegevoegd. Door netwerkpaden een ‘gewicht’ te geven, wordt het verkeer een bepaalde kant opgestuurd.

Providers proberen hun netwerk zo in te richten dat ze dataverkeer bijvoorbeeld via een efficiënte route verzenden. Daarnaast gebruiken sommige netwerkbeheerders optimaliseringssoftware die belooft de latency (vertragingstijd) te verbeteren of ervoor te zorgen dat er minder datapakketjes onderweg verloren gaan.

DQE deed dat ook: de provider installeerde software die het verkeer van Allegheny naar Cloudflare opsplitste in twee reeksen adressen. Deze truc was bedoeld voor intern gebruik, maar kwam door een foutje terecht bij Verizon. Die accepteerde de ongeldige routes.

Verizon zegt de zaak te „onderzoeken”, maar in de netwerkgemeenschap is men het er al lang over eens dat de provider te laks is met BGP, zoals zovelen.

Geen leugens verspreiden

„Dit soort BGP-lekken komen duizenden keren per jaar voor” zegt Job Snijders. Hij is netwerkexpert bij internetgigant NTT en actief in de IETF, de Internet Engineering Task Force. Dat is een verzameling techneuten die proberen de onderliggende architectuur te verbeteren – de loodgieters van het internet noemen ze zich.

Snijders verwijt de optimaliseringssoftware „leugens te verspreiden” die in de publieke BGP-tabellen belanden. Weliswaar leidt niet elk BGP-lek tot grote storingen, maar het principe is hetzelfde: „Zonder discipline is het een zooitje.”

Eigenlijk is het onvoorstelbaar dat het BGP-systeem functioneert op basis van wederzijds vertrouwen, omdat criminelen BGP gebruiken om websites te kapen en computers om de tuin te leiden.

Zonder discipline is het een zooitje

Job Snijders netwerkexpert

Routes moeten daarom strikter gefilterd worden. „Bedrijven zouden alleen routes moeten accepteren waar een correcte administratie voor bestaat, en de rest weigeren”, zegt Snijders. Dat kost tijd en expertise. Je kunt ook BGP-fouten voorkomen door alleen routes te accepteren die voorzien zijn van een digitale handtekening (RPKI of resource public key infrastructure) en routes die in strijd zijn met zo’n handtekening weigeren. Daarvoor moeten de routers wel software gebruiken die de sleutels controleert. Dat is te vergelijken met beveiligde websites; in je browser zijn die te herkennen aan een groen slotje in de adresbalk.

KPN is al met RPKI begonnen, demonstreert Oscar Koeroo, hoofd netwerkbeveiliging van de Nederlandse provider. Koeroo pleit ervoor dat de overheid RPKI als voorkeursstandaard bij de aanbesteding van nieuwe projecten, om leveranciers te stimuleren ‘routes met handtekening’ te gaan gebruiken. „Zo zeg je als overheid: andere mensen moeten kunnen controleren dat deze site echt van ons is. En voorkom je dat overheidsdiensten via BGP gekaapt worden.”

Financiële schade

Op dit moment is zo’n 16 procent van de BGP-routes beveiligd met RPKI. „Nederland is wel het beste jongetje van de klas”, zegt Erik Bais van A2B Internet in Purmerend. Hij is een van de experts die zich hard maken voor het gebruik van gecertificeerde routes. „KPN begon al met RPKI en ook Liberty Global, het moederbedrijf van Ziggo, overweegt het serieus.”

Het argument waar Liberty Global gevoelig voor was, aldus Bais: klanten zouden de provider aansprakelijk kunnen stellen als ze schade ondervinden door gekaapte BGP-adressen.

Bais moet „duwen en trekken” om bedrijven te overtuigen routebeveiliging in te voeren en betere BGP-filters te installeren. Waarom die weerstand? „Aanpassen van je routerinstellingen kost tijd en geld”, zegt Bais. „Het is makkelijker om een router uit de doos te halen, aan te sluiten en er verder niet naar om te kijken. Ga je kritisch filteren, dan loop je kans fouten te maken met grote impact.”

Hij logt in op een BGP router om een configuratie te laten zien. Zo worden sommige IP-reeksen bij voorbaat gefilterd omdat ze niet op het internet mogen voorkomen – adressen voor thuisnetwerken bijvoorbeeld die beginnen met 192.168. of 10.0. Daarnaast probeert Bais zijn klanten „op te voeden” door fouten resoluut te weigeren. Al te specifieke routes worden meteen ‘gedropt’ – het dataverkeer wordt niet doorgelaten.

Aanval afweren

Tenzij zulke routes voorzien zijn van een speciaal label, bijvoorbeeld het verzoek om de weg naar één specifiek adres expres te blokkeren, om zo een ddos-aanval af te weren (een stortvloed aan data die een website blokkeert) . Zo wordt via BGP bewust een zwart gat gecreëerd.

Het gaat nog te vaak per ongeluk mis, zegt John Graham-Cumming, technisch directeur van Cloudflare. Hij beschouwt BGP-optimizers als „het echte gevaar”. Een verbod op die technologie is niet mogelijk, net zo min als je RPKI kunt afdwingen. „Er is geen centraal gezag op internet. Er is sociale druk nodig om over te stappen op gesigneerde routes. Internet wordt door mensen overeind gehouden.”

Die mensen moeten overtuigd worden. Een van de manieren is het publiceren van duidelijke ‘post mortems’, storinganalyses waarbij man en paard genoemd worden. De schandpaal is een goede motivator in de netwerkwereld.

Lees ook: De 112-crisis was vermijdbaar

De aandacht neemt toe omdat de impact van internetstoringen groeit. Niet alleen omdat de maatschappij meer leunt op de digitale infrastructuur, ook omdat de netwerken zich concentreren in steeds grotere blokken. Een storing bij Cloudflare heeft wereldwijd gevolgen. Dat geldt ook voor een kink in de kabel bij Amazon Web Services, Microsoft Azure of Google Cloud. Dat heeft effect op de miljoenen partijen die gebruik maken van zulke diensten. Deze machtsconcentraties vormen een risico maar hebben ook één voordeel, zegt Job Snijders: „Ik hoef maar een handjevol partijen ervan te overtuigen dat ze RPKI moeten gebruiken.”