Вторую неделю ловлю повсеместные лулзы от потрескивания ламерских жопок, которые, не смотря на занимаемую сторону баррикад, будь то либероидно незабудемнепротишное или поцреотическое одобрямс, несут дичайшую ахинею по поводу новоявленных потуг об автономности интернета.
Больше всего доставляет тот факт, что у бугуртящей публики память примерно как у гуппи, поэтому они кукарекают про закручивание гаек и первый звоночек о железном занавесе.
Как человеку с хорошей памятью, мне становится крайне смешно от этих набросов, поскольку сказка про автономный интернет – это затяжная эпопея, начавшаяся с дискуссии после явления Сноудена народу в 2013г.
Ибо именно он открыл людям тайну о том, что, оказывается в 2012 году, не кровавый теран Осад положил тырнет в Сирии на несколько дней, чтобы побороть свободомыслящий твиттор с постиками и хэштегами (как трубили все прогрессивные и типо не ангажированные СМИ на тот момент), а сделали это прекрасноликие инженеры АНБ положив таблицу маршрутизации основного сирийского провайдера.
Тут то, надо сказать, все подохуели немного, ибо до этого момента полагалось что такое невозможно из вне, т.к в Египте тоже было недельное отключение, но вроде как также по приказу теранов. А вот когда, на волне срача вокруг выхода штатовской говнокомедии “Интервью” и последовавшей серии атак на Sony и сети кинотеатров, инет положили и в КНДР, наши стали усиленно чесать репу на тему того, как сделать автономный интернет, т.е стабильную систему с сетевой топологией стойкой к внешнему воздействию. Точнее начали еще до этого момента, а вот после него озадачились основательно, но поскольку это дело натужное, то если глянуть выдачу – все это обсуждение всплывало с завидной периодичностью раз за разом, претворяясь в том числе в президентских наказах прошлого года и в каких то набросах главного, на тот момент, по энторнетам господина Клименко.
Саму тему об автономности Минкомсвязи прописал в закон “о связи” еще два года назад, в конце 2016г.
Так что расчесывать автономность они могут еще крайне долго, тем более что никто толком не понимает с чем и как надо бороться, поскольку вариантов погасить рунет, достаточно много и с каждым годом становится все больше, поскольку, например, за пять лет, объем коммерческого DDoS вырос практически в 10 раз, т.ч сейчас составляет порядка 1.8Tbps (это где то x3 емкость тихоокеанского ВОЛС) и никто толком не знает, что может крутануть спецслужбы на основе слитого в инеты IoTs бота мираи и других, не слитых, вариаций.
Так вот о вариациях отключения:
- ICAAN является штатовской конторой, сидящей в штатах, чтобы там ни пиздели энторнет деятели. Более того, его деятельность и корневая структура DNS, зависит от министерства торговли США, которые хотели отдать это все людям, но в итоге отдали внутреннему отделу ICAAN. Более того, в истории энторнета были прецеденты, когда вроде как независимый RIPE NCC, занимающийся выдачей IP сетей в Европе, отзывал несколько сегментов у спамеров по запросу властей США. Так что все разговоры про то что они не могут – они независимы, это ляля для бедных, т.к у штатов есть механизмы воздействия на карманные псевдонезавсимые конторы.
- Блокировка анонсов на сопредельных хопах. Тут надо понять, что инет живет по правилам маршрутизации, где каждый хост на маршруте знает куда следует передать пакет, чтобы он достиг той или иной сети. Достигается это за счет маршрутизации – чаще всего динамической, когда каждая сеть анонсируется в сети, т.е говорит в энторнет “йа сеть 178.12.198.0” сижу тут и сопредельные маршрутизаторы передают клич дальше подставляя себя. Вот собственно этот ор, можно блокирнуть на магистральном провайдере, т.ч сети находящиеся за ним банально не будут знать, куда передать пакет, чтобы он попал во вражескую сеть. Причем подобную вещь можно даже провернуть без административной составляющей, а просто из-за уязвимости протокола динамической маршрутизации BGP. Подобная история была в 2008 году, когда пакистанцы, решил рубануть у себя ятуп, анонсировали маршрут блокировки в энтонрет, т.ч ятуп лег по всему миру. Подробнее о BGP можно почитать по этой ссылке, а о сами авариях с BGP здесь
- Так называемый Zero-day, т.е кады внезапно все сетевое обуродование американских производителей переходит под дистанционное управление неизвестными людьми. Тут особо рассказывать нечего, т.к если хоть немного интересуетесь сетевой безопасностью, то наверняка слышали про то, что в американском сетевом железе Cisco и Juniper последние несколько лет, просто на постоянке находят бэкдоры, калитки и огромные ворота, позволяющие дистанционно подключаться к данному оборудованию. При том, что это наиболее часто используемое оборудование операторов и до недавнего времени было фактически телекоммуникационным стандартом. Собственно история про задержание топа Хуавей в Канаде – это именно про то самое, т.к Хуавей и несколько других компаний уже достаточно давно теснит Циску на международной арене, предлагая поставить у себя вместо американской калитки – китайскую, что естественно сильно припекает у определенных спецслужб.
- Атака на опорные сети – памятуя о толстых дудосилках на основе чемодана молодого хакера от АНБ, которые были слиты в тырнеты в 2016 году, и с вариациями 2 и 3 пунктов – весьма перспективная задача, позволяющая если не положить магистральный интернет, то по крайней мере зафлудить его настолько, чтобы сделать невозможным нормальное использование. Россия конечно не Сирия и даже не Ябипет, т.к в РФ есть десяток магистральных операторов, но тут есть маленький нюанс, что среди них нет ни одного T1 оператора, т.е соединенных со всей глобальной сетью интернет. И как следствие все рушные операторы получают инет через других операторов, большая часть из которых, по странному стечению обстоятельств также является американскими операторами – из дюжины T1 операторов, только один шведы и зависимые индусы, остальные все США.
Так что при зависимости рунета от внешних ресурсов и при условии того, что между соседними провайдерами пакеты могут идти через магистраль Швеция-Лондон-Франкфурт-Амстердам, реализация любого из пунктов или совокупно всех вместе, поставит рунет таким раком, что мало не покажется ни обычным пользователям, ни, что более критично, закрытым сетям. Которые, исходя из п.3 не такие уж и закрытые, как хотелось бы верить.
То есть это в первую очередь именно про устойчивость системы под внешним стресс-тестом, который как раз система и не выдержала, если исходить из того, что РКН не просто гонял телегу по рунету, а занимался именно стресс-тестом, банально отключая большие сегменты внешних сетей. Напомню, что тогда полегло куча сервисов, имевших внешние бэкэнды, которые по закону должны были хоститься на территории РФ. А до этого были такие же истории с падением Google DNS и другие инциденты, когда внешняя авария выводила из строя внутренние сервисы.
А опасность эта – совсем не иллюзорная, т.к по результатам не доказанного вмешательства в омереганске выборы, амеры и прочие англо-саксы уже прямым тестом трындят о том, что собираются воевать в кибер-пространстве и во всю создают собственные “кибер-дружины” к вполне имеющимся и функционирующим подразделениям.