Cos’è BGP e Come il Suo Fallimento Ha Abbattuto Facebook?
Indice:
Il 4 ottobre 2021, Facebook – e tutti i principali servizi di cui è proprietaria – è andato offline per circa sei ore. Il “blackout” dei social media è iniziato alle 11:40 Eastern Time (ET) subito dopo che i record del Sistema dei Nomi di Dominio (DNS) di Facebook sono diventati non disponibili.
L’incidente analisi da Cloudflare dettaglia che i nomi DNS per Facebook si sono semplicemente fermati nel risolversi, e gli indirizzi IP dell’infrastruttura del gigante dei social media sono diventati irraggiungibili. Tuttavia, i problemi DNS sembrano essere solo una conseguenza e non la causa principale del problema. Il fallimento iniziale si è verificato nel Border Gateway Protocol (BGP) instradando le risorse web di Facebook.
Cos’è il BGP?
Il Border Gateway Protocol (BGP) è un meccanismo standardizzato che alimenta lo scambio di informazioni sul routing tra sistemi autonomi (AS) su Internet. Poiché le reti separate devono connettersi tra loro per formare una rete globale, promuovono la loro presenza comunicando le informazioni di routing. Questi dati vengono ulteriormente memorizzati in una base di informazioni di routing (RIB).
Il RIB agisce come una mappa enorme e in costante aggiornamento che esiste per tracciare il percorso attraverso una varietà di destinazioni. Il BGP può accedere al database RIB, elencando ogni possibile percorso per trasmettere i dati e scegliendo quello più efficiente. Nel caso in cui il BGP fallisca, una rete (Facebook in questo caso) non può pubblicizzare la sua presenza, quindi le altre reti non possono più raggiungerla. Di conseguenza, la rete interessata sembra essere tagliata fuori da Internet.
Perché Facebook è andato giù
Secondo l’illuminante post sul blog di Facebook, il problema si è verificato dopo un’importante modifica alla configurazione. Ha interessato il sistema che gestisce la capacità della rete dorsale globale di Facebook, responsabile del collegamento di tutti i data center del fornitore. Inoltre, questa modifica della configurazione ha comportato il ritiro delle rotte di Facebook e i server del gigante dei social media sono andati offline.
Con queste modifiche di configurazione e il ritiro delle rotte, Facebook si è letteralmente tagliato fuori da Internet, insieme ai suoi popolari servizi Instagram, WhatsApp e Oculus VR. Oltre a scomparire da Internet, Facebook ha lasciato i suoi dipendenti senza la possibilità di entrare negli edifici degli uffici poiché anche le smart card sono state colpite dall’interruzione. Inoltre, anche la piattaforma di flusso di lavoro interno di Facebook, Workplace, è stata bloccata, lasciando i dipendenti senza la possibilità di procedere con le attività quotidiane.
Poiché il problema sembra derivare dall’ aggiornamento configurazione errato da parte degli ingegneri di rete di Facebook, la soluzione è arrivata anche dai tecnici che hanno avuto accesso ai router localmente per risolvere i problemi. Sei ore dopo l’inizio dell’interruzione, le risorse di Facebook sono state ripristinate e gli utenti perplessi sono stati in grado di accedere ai loro account sui social media. A partire dall’8 ottobre 2021, i sistemi di Facebook sono completamente funzionali.
Rilevamento dei guasti BGP
Considerando che anche lievi problemi di routing BGP possono causare importanti problemi all’interno della tua infrastruttura, è importante monitorare eventuali cambiamenti relativi alla sua configurazione. Per monitorare le interruzioni e i fallimenti del BGP, Massimo Candela, Senior Software Engineer presso NTT Global Networks, ha sviluppato uno strumento dedicato chiamato BGPalerter. Si tratta di uno strumento auto-configurante che esegue l’analisi dei flussi di dati BGP da varie fonti in tempo reale. Alimenta il rilevamento in tempo reale della perdita di visibilità, annunci RPKI non validi, dirottamenti e altro.
Per rendere il monitoraggio delle interruzioni del BGP ancora più semplice, il team SOC Prime ha rilasciato una regola Sigma che rileva eventi alti e critici generati da BGPalerter. La regola è disponibile per il download gratuito dalla piattaforma SOC Prime previa registrazione.
Modifiche sospette BGP (tramite lo strumento BGPalerter)
La rilevazione ha traduzioni per le seguenti piattaforme SIEM Security Analytics: Azure Sentinel, ELK Stack, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.
La regola è mappata alla metodologia MITRE ATT&CK che affronta le tattiche di impatto e la tecnica di Denial of Service di rete (t1498).
Registrati alla piattaforma SOC Prime per rendere la rilevazione delle minacce più facile, veloce e semplice. Caccia istantaneamente le ultime minacce all’interno delle oltre 20 tecnologie supportate con SIEM e XDR, automatizza l’investigazione delle minacce, e ricevi feedback e validazioni da una comunità di oltre 20.000 professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Desideri creare il tuo contenuto di rilevamento? Unisciti al nostro programma Threat Bounty, condividi le tue regole Sigma e Yara nel repository del Marketplace di rilevamento delle minacce, e ricevi ricompense ricorrenti per il tuo contributo individuale! Sei entusiasta di migliorare le tue abilità di hunting delle minacce? Scopri che cosa sono le regole Sigma e come iniziare a crearne una con la nostra guida per principianti.
