RE: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-15 Par sujet Michel Py 
> Jérôme Nicolle a écrit :
> "Ne jamais attribuer à la malveillance ce que la bêtise suffit à expliquer"
> (Rasoir d'Hanlon : https://fr.wikipedia.org/wiki/Rasoir_d%27Hanlon)

Attention quand même aux corollaires; même si c'est souvent vrai, il y a des 
fois ou c'est un peu trop pratique d'attribuer la chose à la bêtise. On a vu 
bien des cas ou effectivement le détournement de préfixe était de 
l'incompétence, mais çà n'est pas toujours le cas.

:%s/jamais/presque jamais

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-15 Par sujet Thierry Chich 
Je connaissais pas et j'adore ! La minimisation de la bêtise, de 
l'incompétence, de la négligence voire des simples aléas est la cause 
majeure de la paranoïa galopante qui pollue tout débat construit de nos 
jours.


Le 09/11/2018 à 15:37, Jérôme Nicolle a écrit :

Je dirais même plus :

« Ne jamais attribuer à la malveillance ce que la bêtise suffit à
expliquer »

(Rasoir d'Hanlon : https://fr.wikipedia.org/wiki/Rasoir_d%27Hanlon)

@+



--




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-10 Par sujet Michel Py 
> Richard Klein a écrit :
> Pourquoi l anssi ne collecterait ce type de déviance / alerte et aurait en 
> charge la notification de nos operateurs nationaux
> pour faire corriger imposer à leurs partenaires de faire corriger ou dévier 
> le trafic vers une destination dite safe?

Parce que çà ne servirait à rien. Les opérateurs Nord-Américains ou Chinois, 
ils n'ont jamais entendu parler de l'ANSSI, et même s'ils savaient ce que c'est 
une chose est sure : ils n'en on absolument rien à foutre.

Ce genre de situation est une combinaison de plusieurs facteurs :

- La triche. Tout le monde le fait, BGP çà a toujours fonctionné sur le 
principe de la patate chaude : s'en débarrasser le plus rapidement possible et 
laisser les concurrents transporter le trafic sur leur backbone, pas le tien. A 
qui profite le crime : ben a l'opérateur Nord-Américain qui, au lieu de 
transporter le trafic sur son backbone, le fait passer par la Chine. Et 
possiblement, pas tout le traffic, mais les trucs indésirables comme Netflix ou 
le P2P.

- L'incompétence : quelqu'un qui n'a pas saisi toutes les subtilités du système 
(y compris la triche) et qui crée un détournement plus ou moins gros.

- Le complot : le gouvernement d'un pays et pas seulement la Chine veut 
regarder le trafic et détourne certains préfixes.

Vu de mon coté, tout le monde est content : Verizon qui se débarrasse de la 
patate chaude et les Chinois qui croient qu'il interceptent le trafic 
confidentiel.


> Question innocente de quelqu un qui ne connais pas le sujet et qui pense que 
> nous sommes dans un monde idéal... ou pas

L'internet, c'est pas les bisounours.


> Et l Europe dans tous cela ? Il n y a pas une anssi européenne ?

Avec quel pouvoir réel : zéro. Même ici avec la FCC qui pourtant à une 
puissance considérable, tout le monde s'en fout aussi : on met le machin dans 
les mains des avocats et on attend le prochain locataire de la Maison Blanche 
dans 2 ans, qui va défaire ce que la FCC vient de faire, et dans 6 ans on 
recommence.


Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-10 Par sujet Richard Klein 
Bonjour à tous,

Question innocente de quelqu un qui ne connais pas le sujet et qui pense
que nous sommes dans un monde idéal... ou pas
Pourquoi l anssi ne collecterait ce type de déviance / alerte et aurait en
charge la notification de nos operateurs nationaux pour faire corriger
imposer à leurs partenaires de faire corriger ou dévier le trafic vers une
destination dite safe?

Et l Europe dans tous cela ? Il n y a pas une anssi européenne ?
Lorsque je regarde l origine des attaques sur mon petit fail2ban je pense
que brider/filtrer (Chine par exemple) quelques pays serait un début pour
faire de la dissuasion.

Richard


Le ven. 9 nov. 2018 à 22:06, Michel Py 
a écrit :

> > Kavé Salamatian a écrit :
> > J’ai informé moi même début 2018 Verizon de problèmes similaires à ceux
> décrits dans
> > l’article (et de toutes une série d’autres relatifs à d’autres pays, eg,
> la Russie).
> > J’attend toujours une réponse :-).
> > J’ai fait la même démarche auprès d’autres opérateurs qui s’en foutent
> autant …
>
> Tu perds ton temps :-( Si tu n'es pas en client direct les informer de ce
> genre de chose c'est comme pisser dans un violon.
> (même si tu es un client direct c'est la croix et la bannière...)
>
>
> > Stephane Bortzmeyer a écrit :
> > D'autre part, je suis très surpris que ce détournement ait duré
> > deux ans sans que personne ne s'en aperçoive.
>
> Pas moi.
>
> > Mais la conclusion complotiste me laisse sceptique. Tout le monde peut
> > voir les annonces BGP. Impossible de nier ou de dissimuler.
>
> C'est vrai, mais je n'élimine pas la conclusion complotiste. C'est le
> système S.C.P.C.P : si çà passe, çà passe.
> S'ils sont assez c... pour ne pas s'en apercevoir et ignorer ce que Kavé
> leur dit, pourquoi ne pas essayer ?
> Il n'y a rien d'interdit, ce qui est interdit c'est de se faire piquer.
>
> Il y a aussi la possibilité que çà soit techniquement débile mais sur le
> papier moins cher : c'est comme l'histoire des billets d'avion aller-retour
> dans la même semaine : il était un temps ou c'était moins cher d'acheter 2
> aller-retours avec le retour la semaine d'après et de n'utiliser que
> l'aller. Vu que les accords de peering sont confidentiels, faut s'attendre
> à tout et n'importe quoi.
>
> La fonction de routage est au niveau 9 du modèle ISO :
>
> +---+--+
> | 9 | Politics | <== BGP
> | 8 | Money| $
> | 7 | Application  | HTTP
> | 6 | Presentation | SSL
> | 5 | Session  | RPC
> | 4 | Transport| TCP
> | 3 | Network  | IP
> | 2 | Data-link| Ethernet
> | 1 | Physical | Fiber
> +---+--+
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Michel Py 
> Kavé Salamatian a écrit :
> J’ai informé moi même début 2018 Verizon de problèmes similaires à ceux 
> décrits dans
> l’article (et de toutes une série d’autres relatifs à d’autres pays, eg, la 
> Russie).  
> J’attend toujours une réponse :-).
> J’ai fait la même démarche auprès d’autres opérateurs qui s’en foutent autant 
> …

Tu perds ton temps :-( Si tu n'es pas en client direct les informer de ce genre 
de chose c'est comme pisser dans un violon.
(même si tu es un client direct c'est la croix et la bannière...)


> Stephane Bortzmeyer a écrit :
> D'autre part, je suis très surpris que ce détournement ait duré
> deux ans sans que personne ne s'en aperçoive.

Pas moi.

> Mais la conclusion complotiste me laisse sceptique. Tout le monde peut
> voir les annonces BGP. Impossible de nier ou de dissimuler.

C'est vrai, mais je n'élimine pas la conclusion complotiste. C'est le système 
S.C.P.C.P : si çà passe, çà passe.
S'ils sont assez c... pour ne pas s'en apercevoir et ignorer ce que Kavé leur 
dit, pourquoi ne pas essayer ?
Il n'y a rien d'interdit, ce qui est interdit c'est de se faire piquer.

Il y a aussi la possibilité que çà soit techniquement débile mais sur le papier 
moins cher : c'est comme l'histoire des billets d'avion aller-retour dans la 
même semaine : il était un temps ou c'était moins cher d'acheter 2 
aller-retours avec le retour la semaine d'après et de n'utiliser que l'aller. 
Vu que les accords de peering sont confidentiels, faut s'attendre à tout et 
n'importe quoi.

La fonction de routage est au niveau 9 du modèle ISO :

+---+--+
| 9 | Politics | <== BGP
| 8 | Money| $
| 7 | Application  | HTTP
| 6 | Presentation | SSL
| 5 | Session  | RPC
| 4 | Transport| TCP
| 3 | Network  | IP
| 2 | Data-link| Ethernet
| 1 | Physical | Fiber
+---+--+

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Kavé Salamatian 
Je confirme. Nous avons en place depuis deux ans un observatoire BGP qui fait 
des snapshots toutes les minutes du graphe InterAS et on monitore donc les BGP 
hijack et autres événements BGP (qui ne soit pas que des chinoiseries, loin de 
la …).  J’ai informé moi même début 2018 Verizon des problèmes décrits dans 
l’article (et de toutes une série d’autres relatifs à d’autres pays, eg, la 
Russie).  J’ai informé moi même début 2018 Verizon de problèmes similaires à 
ceux décrits dans l’article (et de toutes une série d’autres relatifs à 
d’autres pays, eg, la Russie).  

J’attend toujours une réponse :-).

J’ai fait la même démarche auprès d’autres opérateurs qui s’en foutent autant …

Ca changera le jour ou on aura une véritable attaque BGP à grande échelle et 
que les gouvernements commenceront à mettre le nez dedans …

A+

Kv


> Le 9 nov. 2018 à 19:22, Bill Woodcock  a écrit :
> 
> 
> 
>> On Nov 9, 2018, at 12:36 AM, Stephane Bortzmeyer  wrote:
>> D'autre part, je suis très surpris que ce détournement ait duré deux
>> ans sans que personne ne s'en aperçoive. Verizon n'utilise pas BGPmon,
>> RIPE stat ou un service équivalent ? Ils ne regardent pas de looking
>> glass pendant deux ans ? Et, même s'ils ne supervisent pas BGP, ils
>> supervisent forcément le RTT depuis plusieurs points de mesure et le
>> détour par la Chine a dû faire un bond sérieux à la latence. Et leur
>> Nagios n'a pas couiné ???
> 
> Depuis que nous exécutons un résolveur récursif, nous voyons beaucoup de 
> chemins intercontinentaux surprenants et inutiles des utilisateurs finaux via 
> leurs ISPs, qui persistent souvent pendant une longue période, malgré les 
> rapports de problèmes de notre part et de leurs clients.
> 
> L'un des plus grands opérateurs de téléphonie mobile a perdu toutes les 
> réponses entrantes de deux des serveurs de noms racine, en raison d'un 
> problème de routage interne, jusqu'à ce que nous le leur informions. Des 
> dizaines de milliers de requêtes par seconde pendant plus de trois mois.
> 
>-Bill
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Bill Woodcock 


> On Nov 9, 2018, at 12:36 AM, Stephane Bortzmeyer  wrote:
> D'autre part, je suis très surpris que ce détournement ait duré deux
> ans sans que personne ne s'en aperçoive. Verizon n'utilise pas BGPmon,
> RIPE stat ou un service équivalent ? Ils ne regardent pas de looking
> glass pendant deux ans ? Et, même s'ils ne supervisent pas BGP, ils
> supervisent forcément le RTT depuis plusieurs points de mesure et le
> détour par la Chine a dû faire un bond sérieux à la latence. Et leur
> Nagios n'a pas couiné ???

Depuis que nous exécutons un résolveur récursif, nous voyons beaucoup de 
chemins intercontinentaux surprenants et inutiles des utilisateurs finaux via 
leurs ISPs, qui persistent souvent pendant une longue période, malgré les 
rapports de problèmes de notre part et de leurs clients.

L'un des plus grands opérateurs de téléphonie mobile a perdu toutes les 
réponses entrantes de deux des serveurs de noms racine, en raison d'un problème 
de routage interne, jusqu'à ce que nous le leur informions. Des dizaines de 
milliers de requêtes par seconde pendant plus de trois mois.

-Bill



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Eugène Ngontang 
Merci @Jérôme Nicolle   ;)

Le ven. 9 nov. 2018 à 15:38, Jérôme Nicolle  a écrit :

> Pierre,
>
> Le 09/11/2018 à 14:25, Pierre Emeriaud a écrit :
> > Cela ressemble beaucoup à ce qui peut arriver par erreur quand un
> > grand réseau comme CT gère un peu mal ses annonces. Oui, ça peut être
> > malveillant. Mais ça peut aussi être de l'incompétence.
>
> Je dirais même plus :
>
> « Ne jamais attribuer à la malveillance ce que la bêtise suffit à
> expliquer »
>
> (Rasoir d'Hanlon : https://fr.wikipedia.org/wiki/Rasoir_d%27Hanlon)
>
> @+
>
> --
> Jérôme Nicolle
> 06 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


-- 
LesCDN 
engont...@lescdn.com

*Aux hommes il faut un chef, et au*

* chef il faut des hommes!L'habit ne fait pas le moine, mais lorsqu'on te
voit on te juge!*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Jérôme Nicolle 
Pierre,

Le 09/11/2018 à 14:25, Pierre Emeriaud a écrit :
> Cela ressemble beaucoup à ce qui peut arriver par erreur quand un
> grand réseau comme CT gère un peu mal ses annonces. Oui, ça peut être
> malveillant. Mais ça peut aussi être de l'incompétence.

Je dirais même plus :

« Ne jamais attribuer à la malveillance ce que la bêtise suffit à
expliquer »

(Rasoir d'Hanlon : https://fr.wikipedia.org/wiki/Rasoir_d%27Hanlon)

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Pierre Emeriaud 
Le ven. 9 nov. 2018 à 09:37, Stephane Bortzmeyer  a écrit :
>
> L'article n'est pas mal, comme souvent chez Ars :
>
> https://arstechnica.com/information-technology/2018/11/strange-snafu-misroutes-domestic-us-internet-traffic-through-china-telecom/
>
> Mais la conclusion complotiste me laisse sceptique. Tout le monde peut
> voir les annonces BGP. Impossible de nier ou de dissimuler. Ça
> convient pour des attaques type « take money and run » comme l'attaque
> contre MyEtherWallet en avril 2018 mais pour une attaque d'État ?

J'ai lu l'article d'origine également, et je suis sceptique tout comme
toi. Cela ressemble beaucoup à ce qui peut arriver par erreur quand un
grand réseau comme CT gère un peu mal ses annonces. Oui, ça peut être
malveillant. Mais ça peut aussi être de l'incompétence.

Ensuite, il n'y a pas forcément non plus des masses d'interconnexions
à travers le pacifique. Dire que de l'australie ce n'est pas normal de
passer par la chine pour aller au UK, mouais.

L'article d'Ars fait suite à
https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050=mca,
que je trouve encore moins précis : "la route la plus courte entre le
canada et la korée c'est la ligne directe, mais le routage internet
passe par la chine" (cf page 8 dudit document) : c'est du flan. On
sait tous ici que le routage bgp est politique et non technique, mais
en ces périodes de cyber-guerre froide c'est bien de parler de
l'insécurité de l'internet.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Strange snafu misroutes domestic US Internet traffic through China Telecom

2018-11-09 Par sujet Jérôme Nicolle 
Plop,

L'explication la plus simple que j'y vois c'est que Chinanet aurait
ré-annoncé (très probablement par erreur de tagging et en violation du
peering agreement avec vrz) des routes de 703 à ses pairs et que ces
annonces soient préférées parce que verizon a une politique de peering
de merde.

C'est le comportement normal et attendu entre un (trop) gros réseau pas
forcément rigoureux et un réseau mal connecté, non ?

@+

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/