En fejl hos Telekom Malaysia og en dårlig filtrering hos telegiganten Level3 gav for nyligt problemer på hele internettet. Også i Danmark, hvor Nets og Rejsekort meldte om driftsforstyrrelser som følge af problemer med NemID.
Fredag 12. juni kunne Version2 fortælle om driftsforstyrrelser i forhold til NemID.
Forstyrrelserne har vist sig ikke at være lokale - hverken i forhold til den danske login-løsning eller Danmark. En fejl hos det malaysiske teleselskab Telekom Malaysia endte med at brede sig som ringe i vandet og påvirke stabiliteten på hele internettet.
Det lader sig gøre på grund af den måde, den aldrende Border Gateway Protocol (BGP), fungerer på. Protokollen er udklækket i 1989 - dog opdateret siden - og den styrer hvilke router, altså veje, trafikken på internettet tager.
Det foregår ved, at - eksempelvis - en internetudbyder via BGP annoncerer til andre udbydere, hvor godt den pågældende udbyder håndterer vejen til forskellige netværk. Og på den måde findes den bedste vej til eksempelvis serverne bag Youtube. Det er i hvert fald princippet.
Washington Post har en detaljeret artikel fra maj om BGP's historie her. Og også om de problemer, der er forbundet med BGP.
Blandt andet er det problematisk, at der ikke er nogen ordentlig validering af BGP-annonceringer. Altså om noget nu også er den bedste vej, bare fordi en internetudbyder hævder det.
Og det betyder, at enhver - i den rette position - i princippet kan råbe ud på nettet, at vedkommende har den hurtigste vej til et eller andet sted, hvorefter nettrafikken bliver sendt den vej. Og måske i den forbindelse forbi en ondsindet server, hvor trafikken kan blive opsnappet.
Der behøver dog ikke være ondt på færde, før dårlig BGP-håndtering kan ødelægge trafikken på nettet.
Et kendt eksempel var en internetudbyder i Pakistan, der i 2008 forsøgte at blokere pakistaneres adgang til Youtube og i stedet endte med at sende al Youtube-trafik i hele verden forbi internetudbyderens servere, der ikke kunne håndtere presset. Resultatet blev, at Googles videotjeneste var utilgængelig i et par timer for alle.
I fredags kom Telekom Malaysia ved en fejlkonfiguration til at lække en stribe router til Level3. Og samtidig bevirkede en fejl hos Level3, at de fejlagtige oplysninger fra Telekom Malaysia blev taget for gode varer.
»Når man lækker sådanne router, så betyder det, man lige pludseligt kommer til at annoncerer nogle netværk, som man egentlig ikke selv har. Men det så lige pludseligt ud som om, Telekom Malaysia var den bedste vej gennem internettet for at nå bestemte netværk, og det gav så nogle kæmpe problemer,« siger Henrik Lund Kramshøj, direktør i den danske internetudbyder Solido Networks og blogger på Version2.
Han vurderer at den form for fejl opstår et par gange om året.
Fejlen med Telekom Malaysia var en dobbeltfejl i og med, Level3 heller ikke havde orden i deres systemer, forklarer han.
Løsning på vej
Selvom der ikke er meget sikkerhed forbundet med BGP, så er det muligt at opsætte nogle import-filtre i forhold til, hvilke router, altså veje, man - i dette tilfælde Level3 - vil tillade import af. Og disse filtre, har Level3 ikke haft på plads, forklarer Kramshøj.
Men filtrene er kun en lappeløsning på det, der flere gange har vist sig at være en ganske sårbar netværks-struktur som følge af den manglende sikkerhed i BGP, fortæller han.
»Hele internettet kan sådan set overtages og ødelægges, hvis man er det rigtige sted.«
En erstatning til den aldrende BGP-protokol er på vej. Resource Public Key Infrastructure (RPKI) kan begrænse risikoen for, at internettrafikken bliver sendt forkerte veje, enten bevidst eller ved fejl.
Med RPKI bliver route-annonceringerne signerede, og så bliver det lettere at skelne mellem valide annonceringer og fejl, forklarer Henrik Kramshøj. Men der går nogle år endnu, før den form for validering bliver en realitet.
»Hvis der er tilstrækkeligt mange, der har RPKI, så kan jeg sætte min router op, så dem, der har RPKI, dem stoler jeg på, og dem der ikke har det, dem stoler jeg langt mindre på,« siger han og tilføjer:
»Men vi skal nok desværre en 2-3 år ud i fremtiden, før folk de tjekker RPKI.«
BGPMon har en teknisk gennemgang af problemerne forårsaget af Malaysia Telekom her.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.