Siendo aproximadamente las 11 horas de Lima – Perú (1651 UTC), de ayer lunes 5 de octubre, muchos usuarios empezaron a registrar problemas para acceder a las aplicaciones de whatsapp, facebook, e instagram, particularmente la mayoría empezó a detectar estos problemas primero con la aplicación de mensajería instantánea whatsapp. Al parecer todo apunta a un fallo en los servicios DNS propios de Facebook, al momento de la caída de los servicios, los registros DNS que direccionaban a los diferentes servicios de Facebook estaban caídos, es decir estaban borrador de todos los servidores DNS del mundo, lo que generó que nadie pueda acceder a los servicios del dominio de Facebook -incluyendo whatsapp e instagram-.
Durante aproximadamente las 6 horas que facebook y sus servicios asociados estuvieron fuera de internet, también se vieron afectadas las herramientas de comunicación internas de Facebook, incluso esta fue una de las causas por la que los responsables de la configuración de rutas tuvieron que apersonarse hasta las instalaciones físicas de los principales elementos enrutadores, para realizar la configuración en el mismo centro de datos, pues al no estar publicadas las rutas de acceso de facebook en internet, ningún acceso remoto era posible que sea realizado.
La figura muestra como en su momento de caída, apelando al comando nslookup -el cual nos permite tener el mapeo de la resolución DNS con IP-dominio y otra información complementaria-, nos mostraba que el dominio www.facebook.com era inalcanzable, es decir no se encontraba la infraestructura IP que alojaba sus servicios.
El servicio de facebook, whatsapp, e instagram se restituyeron aproximadamente sobre las 5pm -minutos antes el servicio era accesible de manera intermitente-. Sin embargo, algunas preguntas quedaron pendientes de conocer, pues especialmente porque no se trata de la primeras vez que se cae whatsapp / facebook durante este año, siendo esta caída de servicio una de las mas largas que se han registrado históricamente.
¿PARA QUE SIRVE EL BGP –BORDE GATEWAY PROTOCOL-?
Como sabemos, internet es la suma de múltiples redes interconectadas, estas grandes redes se identifican por Sistemas Autónomas o AS, y para el intercambio de rutas entre estos AS -es decir las rutas para alcanzar un servicio, contenido, o aplicación de internet-, se utiliza el protocolo BGP -Border Gateway Protocol-, el cual es un protocolo de enrutamiento entre AS -Sistemas Autónomos- de internet, no es un protocolo de enrutamiento interno. Los grandes enrutadores que hacen que Internet funcione, poseen tablas de enrutamiento enormes constantemente actualizadas, y estas hacen posible identificar las rutas a seguir para entregar cada paquete a su destino final.
Por ejemplo, en la figura que se muestra a continuación, los paquetes tienen que trasladarse del AS 1 al AS 3, y como se puede ver, las dos opciones de caminos a tomar depende de las métrica configurada, en este caso se trata de números de saltos (esto es configurable). Por tanto, al ser el camino con menor costo se realizará la opción 1, quedando el camino de la opción 2 como una ruta de contingencia ante la caída de la opción 1.
De esta forma sencilla, pero extrapolando a un escenario inmenso de cantidad de redes o sistemas autónomos de internet, es como funciona el protocolo BGP. Por ello, al ser borrada las rutas BGP para alcanzar un destino, simplemente ese destino nunca será alcanzado.
EL PRONUNCIAMIENTO DE FACEBOOK
Según un comunicado oficial de facebook, un día luego de ocurrido el incidente. se trataría de un error en el cambio de configuración dejando claramente que no se trato de algún tipo de ataque malicioso.
¿SE TRATO DE UN ATAQUE CIBERNÉTICO?
Considerando que facebook posee años liderando temas tecnológicos en sus servicios en internet, y que posee profesionales expertos de primer nivel, podría resultar complicado pensar que se haya tratado solo de un error a la hora de actualizar las rutas BGP. Entrando en este escenario un posible contexto de vulnerabilidad asociadas al protocolo BGP, lo configura el ataque BGP, el cual es un tipo DDoS, y que busca tomar el control sobre una gran cantidad de enrutadores, el cual es denominado Secuestro BGP.
Un ataque del tipo secuestro BGP ocurre cuando un router de frontera de una de las redes o sistemas autónomos originales, anuncia de forma intencionada (o por error en la configuración) rutas de otra red o perteneciente a otro sistema autónomo como si fuese una ruta propia. Estas rutas anunciadas con fallos adrede, al ser aceptados por las redes vecinas, dirigirán o encaminarán el tráfico al lugar destino donde el atacante desee, generando un secuestro del tráfico y la información que contiene. Este tipo de ataques secuestro BGP no sería la primera vez que ocurren a gigantes tecnológicos.
Una vez que ocurre y para evitar el traslado de información a esa red errada -con el secuestro de información correspondiente-, lo adecuado es eliminar del mapa la llegada a Facebook -el cual sería otra ruta no la original-, de manera que no sea reconocida por ninguna red, y no remitan información a ella. Luego de esto, se empezaría nuevamente a propagar de manera adecuada las rutas originales.
Si bien la empresa ya salió a informar de manera oficial lo que ocurrió, es un tema de análisis, en especial porque de ser el caso de un ataque, es clave pensar en el nivel de seguridad de datos que puede brindar esta plataforma.
————
Fuentes:
https://blog.cloudflare.com/
https://www.redeszone.net/
https://about.fb.com/
