De afgelopen tijd is er verschillende keren internetverkeer plotseling omgeleid via Wit-Rusland, in andere gevallen via IJsland door gebruik te maken van een beruchte en inherente zwakte van Border Gateway Protocol (BGP), het belangrijkste routeringsprotocol van het internet. Mogelijk is hiermee massaal verkeer afgetapt en onderschept, suggereert netwerkbeveiliger Renesys. In totaal zijn minstens 1500 IP-blokken voor korte of langere tijd gekaapt.

Routers kunnen een bepaalde route adverteren, ook al is dat een onlogische omleiding. Vervolgens wordt deze route automatisch door andere routers in andere netwerken overgenomen en verder verspreid. Door routeringstabellen te manipuleren kan IP-verkeer zo worden gekaapt.

Het concern beschrijft verschillende verdachte incidenten. In een geval werd verkeer tussen Mexico en Washington plots omgeleid via Londen, Moskou naar Wit-Rusland, en vandaar pas richting bestemming, terug naar Washington. Ook is er aantal keer verkeer omgeleid via verschillende IJslandse providers, allen eigendom van Siminn, het voormalige staatstelecombedrijf van dat land.

Incidenten of afluisteroperaties?

In een reactie stelt Siminn dat het euvel werd veroorzaakt door een bug in zijn routers, maar Renesys is sceptisch en vindt de BGP-kapingen te gericht om verklaard te worden door een softwarefout. Volgens securitygoeroe Bruce Schneier is de kans in elk geval ‘nul’ dat de NSA erachter zit.

Al met al lijken de beschreven gevallen echter incidenten, vooral gezien de eenvoud waarmee BGP bewust of onbewust kan worden gebruikt om verkeer om te leiden. Deze fundamentele en gevaarlijke zwakte is in het verleden talloze malen aan het licht gekomen, veelal door verkeerde configuraties.

Zo slorpte in 2008 een Pakistaase isp niet alleen het lokale YouTube-verkeer op, maar het wereldwijde. Ook legde één verkeerd ingestelde Tjechische router een deel van het internet plat, en zorgde ook een experiment van RIPE-NCC voor onverwachte BGP-problemen met Cisco-routers. Later zorgde een brakke update van Juniper-routers voor ernstige storingen op de backbone. Ook bij de enorme DDoS-aanval op Spamhaus eerder dit jaar speelde BGP-hijacking een rol.

Lees ook: Zo sluit je een land van internet af