- 20,215
- 46
- 8 Ноя 2022
Почему власти добровольно отправляют данные за границу?
Новое исследование, проведённое аспиранткой Рашной Кумар в рамках стипендии Internet Society Pulse Research Fellowship, выявило масштабные зависимости от иностранных сетей в маршрутизации трафика к государственным веб-сервисам в 58 странах. Несмотря на распространённое предположение, что обращение к сайту с доменом правительства автоматически означает хранение и обработку данных в пределах национальной юрисдикции, реальные маршруты движения трафика зачастую проходят через другие государства и инфраструктуру, находящуюся под контролем иностранных компаний.
Анализ начался с составления списка доменных имён правительственных ресурсов. С помощью измерительных зондов RIPE Atlas, размещённых внутри каждой из стран, исследователи запускали трассировки маршрута (traceroute), чтобы определить, через какие автономные системы (AS) и точки обмена интернет-трафиком (IXP) проходят пакеты данных при доступе к этим сайтам. Затем инфраструктура классифицировалась по юрисдикции: принадлежит ли она национальной организации, иностранной компании или вообще размещена за рубежом.
Одним из ключевых открытий стало то, что даже при локальном хостинге сайта, сам маршрут трафика может быть крайне избыточным и пересекать границы третьих стран. В Албании, Латвии, Пакистане и ОАЭ свыше 10% обращений к локально размещённым государственным сервисам проходят через точки обмена в третьих странах. В случае с сервисами, хостящимися за пределами страны, показатель маршрутов через IXP третьих стран достигает 23–43%, как, например, в Малайзии, Норвегии, ЮАР и Таиланде. Для Новой Зеландии выяснилось, что даже при доступе к её собственным сайтам трафик часто идёт через Австралию. В случае с Марокко данные правительственных сервисов регулярно проходят через Испанию и Францию, что, по мнению автора, может указывать на «интересные колониальные связи» в инфраструктуре.
Контрастом служит Казахстан, где все государственные домены размещены внутри страны, а весь обменный трафик централизован через единственную государственную точку обмена. Такая стратегия повышает уровень контроля, однако одновременно создаёт единую точку отказа, что может привести к полному обрушению доступа при технической или целенаправленной атаке. Кроме того, 70% трафика приходится на одного провайдера — АО «Казахтелеком». Уровень HTTPS-шифрования здесь составляет 71,5%, что заметно выше, чем в ряде других государств.
Региональные особенности также ярко выражены: в Восточной Азии и на Тихоокеанском направлении маршруты в основном остаются в пределах региона, часто проходя через хаб в Сингапуре. В то же время Южная Азия, страны Африки к югу от Сахары и государства Ближнего Востока нередко направляют даже локально размещённые сервисы через маршруты в Европе и Восточной Азии. При этом, как отметила Кумар в беседе с <em>The Register</em>, анализ ситуации в Африке осложнён из-за недостаточного числа измерительных зондов RIPE Atlas на континенте.
Исследование также выявило опасные комбинации технических и политических уязвимостей. В ряде стран с высоким уровнем зависимости от зарубежных сетей наблюдается низкая доля HTTPS-шифрования на государственных сайтах. В частности, в Албании 86% маршрутов к правительственным ресурсам проходят через иностранные сети, 15% — через зарубежные IXP, и при этом только треть сайтов использует HTTPS. Это делает данные особенно уязвимыми к атакам типа Man-in-the-Middle (MitM) с перехватом незашифрованного содержимого.
Дополнительным фактором риска стала высокая степень централизации маршрутизации. В ОАЭ более 75% трафика проходит через единственного провайдера — Etisalat. В Казахстане аналогичную роль выполняет АО «Казахтелеком», контролируя свыше 70% всех транзитных путей к госресурсам. Похожая картина наблюдается в Бангладеш, Пакистане и Турции, где доминируют бывшие государственные телеком-монополии. Подобная концентрация усиливает риск единовременного обрушения всех цифровых сервисов в случае сбоя, атаки или ошибочной конфигурации в пределах одного провайдера.
Противоположный подход демонстрируют Канада, Швеция, Швейцария, Великобритания и США. Эти страны распределяют трафик, направляемый к государственным сайтам, между множеством операторов и точек обмена, что повышает устойчивость системы как к техническим сбоям, так и к геополитическим потрясениям.
Авторы подчёркивают, что для достижения цифрового суверенитета важно не только локально размещать серверы, но и контролировать маршруты прохождения трафика. Это требует инвестиций в развитие национальных IXP, чтобы трафик не покидал страну без необходимости. Кроме того, нужна диверсификация провайдеров транзитного уровня, чтобы исключить единую точку отказа, а также повышение уровня HTTPS-шифрования, чтобы обезопасить данные, особенно при прохождении через иностранные юрисдикции.
Данное исследование становится частью более масштабной программы по изучению устойчивости интернета, где особое внимание уделяется как физической, так и логической структуре глобальной сетевой инфраструктуры. Прозрачность маршрутов и принадлежности сетевых узлов рассматривается как ключ к пониманию реальных границ контроля, безопасности и устойчивости цифровых государственных сервисов. По словам Кумар, для желающих узнать текущее положение в своей стране доступна интерактивная карта с данными по всем 58 проанализированным государствам.
Новое исследование, проведённое аспиранткой Рашной Кумар в рамках стипендии Internet Society Pulse Research Fellowship, выявило масштабные зависимости от иностранных сетей в маршрутизации трафика к государственным веб-сервисам в 58 странах. Несмотря на распространённое предположение, что обращение к сайту с доменом правительства автоматически означает хранение и обработку данных в пределах национальной юрисдикции, реальные маршруты движения трафика зачастую проходят через другие государства и инфраструктуру, находящуюся под контролем иностранных компаний.
Анализ начался с составления списка доменных имён правительственных ресурсов. С помощью измерительных зондов RIPE Atlas, размещённых внутри каждой из стран, исследователи запускали трассировки маршрута (traceroute), чтобы определить, через какие автономные системы (AS) и точки обмена интернет-трафиком (IXP) проходят пакеты данных при доступе к этим сайтам. Затем инфраструктура классифицировалась по юрисдикции: принадлежит ли она национальной организации, иностранной компании или вообще размещена за рубежом.
Одним из ключевых открытий стало то, что даже при локальном хостинге сайта, сам маршрут трафика может быть крайне избыточным и пересекать границы третьих стран. В Албании, Латвии, Пакистане и ОАЭ свыше 10% обращений к локально размещённым государственным сервисам проходят через точки обмена в третьих странах. В случае с сервисами, хостящимися за пределами страны, показатель маршрутов через IXP третьих стран достигает 23–43%, как, например, в Малайзии, Норвегии, ЮАР и Таиланде. Для Новой Зеландии выяснилось, что даже при доступе к её собственным сайтам трафик часто идёт через Австралию. В случае с Марокко данные правительственных сервисов регулярно проходят через Испанию и Францию, что, по мнению автора, может указывать на «интересные колониальные связи» в инфраструктуре.
Контрастом служит Казахстан, где все государственные домены размещены внутри страны, а весь обменный трафик централизован через единственную государственную точку обмена. Такая стратегия повышает уровень контроля, однако одновременно создаёт единую точку отказа, что может привести к полному обрушению доступа при технической или целенаправленной атаке. Кроме того, 70% трафика приходится на одного провайдера — АО «Казахтелеком». Уровень HTTPS-шифрования здесь составляет 71,5%, что заметно выше, чем в ряде других государств.
Региональные особенности также ярко выражены: в Восточной Азии и на Тихоокеанском направлении маршруты в основном остаются в пределах региона, часто проходя через хаб в Сингапуре. В то же время Южная Азия, страны Африки к югу от Сахары и государства Ближнего Востока нередко направляют даже локально размещённые сервисы через маршруты в Европе и Восточной Азии. При этом, как отметила Кумар в беседе с <em>The Register</em>, анализ ситуации в Африке осложнён из-за недостаточного числа измерительных зондов RIPE Atlas на континенте.
Исследование также выявило опасные комбинации технических и политических уязвимостей. В ряде стран с высоким уровнем зависимости от зарубежных сетей наблюдается низкая доля HTTPS-шифрования на государственных сайтах. В частности, в Албании 86% маршрутов к правительственным ресурсам проходят через иностранные сети, 15% — через зарубежные IXP, и при этом только треть сайтов использует HTTPS. Это делает данные особенно уязвимыми к атакам типа Man-in-the-Middle (MitM) с перехватом незашифрованного содержимого.
Дополнительным фактором риска стала высокая степень централизации маршрутизации. В ОАЭ более 75% трафика проходит через единственного провайдера — Etisalat. В Казахстане аналогичную роль выполняет АО «Казахтелеком», контролируя свыше 70% всех транзитных путей к госресурсам. Похожая картина наблюдается в Бангладеш, Пакистане и Турции, где доминируют бывшие государственные телеком-монополии. Подобная концентрация усиливает риск единовременного обрушения всех цифровых сервисов в случае сбоя, атаки или ошибочной конфигурации в пределах одного провайдера.
Противоположный подход демонстрируют Канада, Швеция, Швейцария, Великобритания и США. Эти страны распределяют трафик, направляемый к государственным сайтам, между множеством операторов и точек обмена, что повышает устойчивость системы как к техническим сбоям, так и к геополитическим потрясениям.
Авторы подчёркивают, что для достижения цифрового суверенитета важно не только локально размещать серверы, но и контролировать маршруты прохождения трафика. Это требует инвестиций в развитие национальных IXP, чтобы трафик не покидал страну без необходимости. Кроме того, нужна диверсификация провайдеров транзитного уровня, чтобы исключить единую точку отказа, а также повышение уровня HTTPS-шифрования, чтобы обезопасить данные, особенно при прохождении через иностранные юрисдикции.
Данное исследование становится частью более масштабной программы по изучению устойчивости интернета, где особое внимание уделяется как физической, так и логической структуре глобальной сетевой инфраструктуры. Прозрачность маршрутов и принадлежности сетевых узлов рассматривается как ключ к пониманию реальных границ контроля, безопасности и устойчивости цифровых государственных сервисов. По словам Кумар, для желающих узнать текущее положение в своей стране доступна интерактивная карта с данными по всем 58 проанализированным государствам.
- Источник новости
- www.securitylab.ru
