Fejl hos malaysisk teleselskab gav knas med NemID- og Rejsekort

18. juni 2015 kl. 12:228
Fejl hos malaysisk teleselskab gav knas med NemID- og Rejsekort
Illustration: The Opte Project.
En fejl hos en malaysisk internetudbyder endte med at store dele af internettet fik problemer og Rejsekort og Nets fik driftsforstyrrelser.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En fejl hos Telekom Malaysia og en dårlig filtrering hos telegiganten Level3 gav for nyligt problemer på hele internettet. Også i Danmark, hvor Nets og Rejsekort meldte om driftsforstyrrelser som følge af problemer med NemID.

Fredag 12. juni kunne Version2 fortælle om driftsforstyrrelser i forhold til NemID.

Forstyrrelserne har vist sig ikke at være lokale - hverken i forhold til den danske login-løsning eller Danmark. En fejl hos det malaysiske teleselskab Telekom Malaysia endte med at brede sig som ringe i vandet og påvirke stabiliteten på hele internettet.

Det lader sig gøre på grund af den måde, den aldrende Border Gateway Protocol (BGP), fungerer på. Protokollen er udklækket i 1989 - dog opdateret siden - og den styrer hvilke router, altså veje, trafikken på internettet tager.

Artiklen fortsætter efter annoncen

Det foregår ved, at - eksempelvis - en internetudbyder via BGP annoncerer til andre udbydere, hvor godt den pågældende udbyder håndterer vejen til forskellige netværk. Og på den måde findes den bedste vej til eksempelvis serverne bag Youtube. Det er i hvert fald princippet.

Washington Post har en detaljeret artikel fra maj om BGP's historie her. Og også om de problemer, der er forbundet med BGP.

Blandt andet er det problematisk, at der ikke er nogen ordentlig validering af BGP-annonceringer. Altså om noget nu også er den bedste vej, bare fordi en internetudbyder hævder det.

Og det betyder, at enhver - i den rette position - i princippet kan råbe ud på nettet, at vedkommende har den hurtigste vej til et eller andet sted, hvorefter nettrafikken bliver sendt den vej. Og måske i den forbindelse forbi en ondsindet server, hvor trafikken kan blive opsnappet.

Artiklen fortsætter efter annoncen

Der behøver dog ikke være ondt på færde, før dårlig BGP-håndtering kan ødelægge trafikken på nettet.

Et kendt eksempel var en internetudbyder i Pakistan, der i 2008 forsøgte at blokere pakistaneres adgang til Youtube og i stedet endte med at sende al Youtube-trafik i hele verden forbi internetudbyderens servere, der ikke kunne håndtere presset. Resultatet blev, at Googles videotjeneste var utilgængelig i et par timer for alle.

I fredags kom Telekom Malaysia ved en fejlkonfiguration til at lække en stribe router til Level3. Og samtidig bevirkede en fejl hos Level3, at de fejlagtige oplysninger fra Telekom Malaysia blev taget for gode varer.

»Når man lækker sådanne router, så betyder det, man lige pludseligt kommer til at annoncerer nogle netværk, som man egentlig ikke selv har. Men det så lige pludseligt ud som om, Telekom Malaysia var den bedste vej gennem internettet for at nå bestemte netværk, og det gav så nogle kæmpe problemer,« siger Henrik Lund Kramshøj, direktør i den danske internetudbyder Solido Networks og blogger på Version2.

Artiklen fortsætter efter annoncen

Han vurderer at den form for fejl opstår et par gange om året.

Fejlen med Telekom Malaysia var en dobbeltfejl i og med, Level3 heller ikke havde orden i deres systemer, forklarer han.

Løsning på vej

Selvom der ikke er meget sikkerhed forbundet med BGP, så er det muligt at opsætte nogle import-filtre i forhold til, hvilke router, altså veje, man - i dette tilfælde Level3 - vil tillade import af. Og disse filtre, har Level3 ikke haft på plads, forklarer Kramshøj.

Men filtrene er kun en lappeløsning på det, der flere gange har vist sig at være en ganske sårbar netværks-struktur som følge af den manglende sikkerhed i BGP, fortæller han.

»Hele internettet kan sådan set overtages og ødelægges, hvis man er det rigtige sted.«

En erstatning til den aldrende BGP-protokol er på vej. Resource Public Key Infrastructure (RPKI) kan begrænse risikoen for, at internettrafikken bliver sendt forkerte veje, enten bevidst eller ved fejl.

Med RPKI bliver route-annonceringerne signerede, og så bliver det lettere at skelne mellem valide annonceringer og fejl, forklarer Henrik Kramshøj. Men der går nogle år endnu, før den form for validering bliver en realitet.

»Hvis der er tilstrækkeligt mange, der har RPKI, så kan jeg sætte min router op, så dem, der har RPKI, dem stoler jeg på, og dem der ikke har det, dem stoler jeg langt mindre på,« siger han og tilføjer:

»Men vi skal nok desværre en 2-3 år ud i fremtiden, før folk de tjekker RPKI.«

BGPMon har en teknisk gennemgang af problemerne forårsaget af Malaysia Telekom her.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
9. juli 2015 kl. 14:25

Flere gange i denne artikel anvendes router, i betydninger ruter. Og der bruges endda kræfter på at forklare det som 'veje i netværket'. En router er et substantiv for den komponent, der sørger for rutningen i netværket. Så nemt er det ;-)

6
18. juni 2015 kl. 23:04

Den nuværende RPKI vil ikke kunne forhindre denne hændelse. Den har kun origin verification og de beholdt den oprindelige origin.

Path verification er endnu kun på tegnebrættet.

5
18. juni 2015 kl. 22:08

Nu ved man hvordan man lægger resten af internettet ned? Man skal bare påstå at man er det hurtigste hop for routere og så vil alt trafik flokkes for at komme igennem netop vores routere.

Kanon - HEY NSA, her løsningen på jeres overvågnings problemer ... haha!

Spekulerer bare på, mon ikke det her er et opråb til de ansvarlige om at få omkonfigureret eller opgraderet nogle protokoller snarest?

3
18. juni 2015 kl. 18:25

Når jakob Møllerhøj, taler om at: lække en stribe router, menes der så: lægge en stribe router ?

4
18. juni 2015 kl. 19:49

Lækker er det korrekte ord. Specifikt snakker man om at lække (leake) mellem routnings protokoller f.eks fra iBGP til eBGP og mellem flere virtuelle route tabeller.

2
18. juni 2015 kl. 17:44

Det her handler om kompetent personale/planlægning/design/aftaler/ressourcer.

At antyde et problem i at BGP er en "aldrende protokol" er lige så tudetosset som at kalde hjulet for en aldrende teknologi.

RPKI er et værktøj mere i værktøjs kassen ... men internettet er først og fremmest, og helt grundlæggende,- afhængigt af at de store ISP'er (tier 1) har styr på deres ting.

1
18. juni 2015 kl. 12:38

"Det sagde jeg jo", men, det sagde jeg jo :P