Chinese censuur beinvloedt westers internetverkeer

Afgelopen Woensdag werd op de mailinglijst voor DNS beheerders bekend dat (onder andere) sommige Chileense internetters geen gebruik meer konden maken van onder andere facebook, youtube en twitter. Uit een uitgebreide conversatie tussen wereldwijde netwerk en DNS beheerders blijkt dat deze storing toegeschreven kan worden aan de Chinese internet censuur.

Om het wereldwijd mogelijk te maken om internetverkeer op basis van domeinnamen af te leveren bij de juiste servers, zijn over het hele internet zgn. root-servers verspreid. Vanwege beperkingen in het DNS protocol is het aantal groepen root-servers beperkt tot 13. Één van deze root-servers bevindt zich in China. Deze root-servers verwijzen internetters naar de DNS servers waar informatie over de verschillende top-level domeinen kan worden opgevraagd (.com, .net, .nl, ...). Om de beperkte hoeveelheid root-servers niet teveel te belasten onthouden decentrale DNS servers informatie over reeds opgevraagde domeinen. Als bepaalde gecachde informatie verloopt wordt opnieuw met de root-servers contact opgenomen. Toen een specifieke DNS server van een Chileense internetprovider zijn informatie moest updaten werd hij woensdag doorverwezen naar een Chinese root-server. Hoewel het niet de bedoeling is dat ook netwerken buiten China foute (gecensureerde) root-server-informatie ontvangen, ging dat in dit geval mis en konden de gebruikers van de Chileense ISP de sites van facebook, youtube en twitter niet meer bezoeken.

Oorzaak
Het root-server systeem is dusdanig ingericht dat elke internetter automatisch naar de voor hem dichtsbijzijnde root-server wordt verwezen. Wat dichtbij is, wordt bepaalde op basis van routing-informatie. Voor Chili was op dat moment de netwerkroute richting China dus het meest optimaal. Met de Chinese i.root-servers.net is niets mis. Maar de datalijnen richting deze servers zijn dusdanig ingericht dat ongewenste verkeersstromen automatisch worden gemanipuleerd. Normaal gesproken vindt deze manipulatie enkel plaats op datastromen binnen China. Hiermee wordt voorkomen dat Chinezen ongecensureerde informatie kunnen opvragen. In dit geval werd - waarschijnlijk per abuis- ook het buitenlandse internetverkeer beinvloed. Daardoor werden de antwoorden van de Chinese i.root-servers.net zodanig aangepast dat de Chilenen niet meer het juiste IP adres konden koppelen aan sites als facebook en twitter.

Kwetsbaarheid
Hoewel al langer bekend is dat protocollen als DNS en BGP door grote ISPs eenvoudig gemanipuleerd kunnen worden om dataverkeer naar zich toe te trekken, toont dit voorbeeld weer eens goed aan hoe belangrijk het is om al het internet dataverkeer waarvoor een hoge vertrouwelijkheids- of integriteitsclassificatie geldt goed te beveiligen. Een land als China is erin gespeciliseerd om data verkeer on de fly te onderscheppen en te manipuleren en zijn technisch ook in staat om buitenlands dataverkeer hun netwerken in te routeren door aan te geven dat zij de meest optimale internetroute aan kunnen bieden.