"Die Gefahr ist real"

Inhaltsverzeichnis

Die Internet-Infrastruktur wird über das sogenannte BGP-Protokoll (Border Gateway Protocol) zusammengehalten, das Routern im Netz mitteilt, wohin Datenverkehr geleitet werden muss. Dieses Protokoll ist erstaunlich anfällig für Manipulationen, wie Netzwerkexperte Andree Toonk im TR-Interview sagt.

Andree Toonk hat Kommunikations- und Netzwerktechnik in den Niederlanden studiert und ist heute Netzwerkarchitekt des Forschungsnetzes BCNET der kanadischen Provinz British Columbia. Neben seiner Arbeit an der University of British Columbia betreibt der den Dienst BGPmon, mit dem sich Internet-Administratoren über Veränderungen in der Netzwerkinfrastruktur informieren können. Mit BGPMon entdeckte er im April auch die Umleitung von fast 40.000 IP-Netzen, bei der zahlreiche bekannte Internet-Adressen plötzlich zu einem chinesischen Provider "entführt" wurden.

Technology Review: Herr Toonk, könnten Sie für normale Menschen verständlich erklären, was das Border Gateway Protocol (BGP) ist und warum es für das Internet eine solche Wichtigkeit hat?

Andree Toonk: BPG ist das Protokoll, das von den großen Router-Systemen im Internet verwendet wird, die für die Weiterleitung des Datenverkehrs sorgen. Es erlaubt ihnen den Informationsaustausch darüber, auf welchem Wege Internet-Adressbereiche (IPs) erreicht werden können. Basierend auf diesen Informationen bestimmen die Router dann, wo sie welches Paket mit einem bestimmten Ziel hinzuschicken haben.

BGP st nicht das einzige Routing-Protokoll, das heute verwendet wird, es ist aber das einzige, das von sogenannten autonomen Systemen (Autonomous Systems, AS) verwendet wird. Ein solches AS ist im Grunde eine numerische Repräsentation eines Diensteanbieters im Netz – Google ist beispielsweise AS15169. Man kann also mit Fug und Recht sagen, dass BGP das Protokoll ist, das das Internet zusammenhält.

TR: Im April gab es in Sachen BGP eine erstaunliche Entwicklung – rund 37.000 IP-Netzwerke auf der ganzen Welt wurden plötzlich zu einem chinesischen Internet-Provider umgeleitet. Was ist da genau passiert?

Toonk: Ich betreibe ein Projekt namens BGPmon, das von Tausenden von Netzwerkadministratoren in der ganzen Welt genutzt wird, um Veränderungen im BGP zu überwachen. Eines der Dinge, die wir dabei im Blick haben, sind Vorfälle, bei denen autonome Systeme plötzlich IP-Bereiche als ihre eigenen ankündigen, die ihnen aber offensichtlich nicht "gehören". Das nennt man dann einen BGP-Hijack.

Ein Beispiel für diese Art der Netzwerk-Entführung gab es im Februar 2008, als die Adressen von YouTube plötzlich von der pakistanischen Telekom (PT) für sich in Anspruch genommen wurden. In diesem Fall annoncierte AS17557 (die PT) eine bessere Route für die YouTube-IPs.

Das Endergebnis war, dass die meisten Router im Internet plötzlich annahmen, YouTube sei nun am besten über die PT zu erreichen und den dafür vorgesehenen Datenverkehr nach Pakistan schickten. Dort angekommen wurden die Pakete dann ignoriert, so dass YouTube fast überall nicht mehr erreichbar war. [Wie sich später herausstellte, handelte es sich vermutlich um einen fehlgelaufenen Zensurversuch, der eigentlich nur innerhalb Pakistans gelten sollte, Anm. d. Red.]

Am 8. April gab es nun einen ähnlichen Vorfall mit AS23724, einem der Rechenzentren, die von China Telecom betrieben werden. Dabei wurden mehrere Tausend Routen bekanntgegeben, bei denen dieses AS angeblich die Quelle war. Man könnte also sagen, dass dieser Provider "gelogen" hat, welche IP-Adressbereiche wirklich in seinem Netzwerk steckten.

Dies führte dann dazu, dass viele Router im Internet auch hier wieder annahmen, dass der schnellste Weg zu diesen IPs über China führte. Die neuen Routen setzten sich gegenüber den alten, korrekten durch. Solche Ereignisse kommen zwar immer wieder vor, doch diesmal ging es um Tausende von Adresssegmenten, darunter auch denen, die dem Computerhersteller Dell, dem US-Sender CNN oder dem E-Commerce-Händler Amazon gehörten.

TR: Wie kommt es zu solchen Vorfällen?

Toonk: Oft geht es nur um eine Fehlkonfiguration. Menschen kümmern sich um das Set-up dieser Systeme und Menschen machen eben Fehler. Das Problem ist, dass es heute keinen Weg gibt, nachzuprüfen, ob das, was ein BGP-"Sprecher", also ein Router, sagt, wirklich der Wahrheit entspricht – und ob dieser BGP-Sprecher überhaupt autorisiert ist, dieses Netz gegenüber den anderen anzukündigen. Wenn es eine Methode gäbe, die Korrektheit solcher Ankündigungen zu prüfen, gäbe es diese Vorfälle nicht.

TR: Es gibt Sicherheitsexperten, die meinen, dass man in Sachen BGP-Unsicherheit bislang nur mit harmlosen Vorfällen zu kämpfen gehabt habe, die wirklich schlimmen Ereignisse und Manipulationen aber noch bevorstünden. Stimmen Sie dem zu?

Toonk: Die Gefahr, dass es BGP-Probleme großen Ausmaßes gibt, ist real. Die Tatsache, dass es keinen wirklich verlässlichen Weg gibt, die Routen-Ankündigungen zu überprüfen, ist sehr bedenklich. Das Problem ist allerdings nicht neu – die Möglichkeit, dass so etwas passiert, besteht seit den Anfangstagen des Netzes und einzelne Vorfälle gab es immer wieder.

Immerhin lassen sich Angriffe großen Ausmaßes relativ einfach erkennen, weil sie dann eine so starke Anomalie darstellen. Kleinere BGP-Attacken, bei denen ein einzelnes Netz oder ein einzelner IP-Bereich ins Fadenkreuz genommen wird, sind dagegen deutlich schwerer zu ermitteln – besonders dann, wenn der Angreifer weiß, wie er sich verstecken muss. So kann man beispielsweise die Herkunft verschleiern oder dafür sorgen, dass die Ankündigung nur in bestimmten geografischen Regionen erfolgt.

Es gibt aber auch noch andere Angriffsmöglichkeiten, etwa wenn sich eine böswillige Partei in den BGP-Datenverkehr einschaltet – mit Hilfe einer sogenannten Man-in-the-Middle-Attacke.

TR: Wie grundsätzlich vertrauenswürdig ist das BGP-Verfahren derzeit? Wird Verschlüsselung eingesetzt?

Toonk: Faktisch muss man sagen, dass der Begriff des Vertrauens in der Welt des BGP bislang nicht vorkommt. Es gibt keine Möglichkeit für einen BGP-Router, nachzuprüfen, ob das, was ein anderer ihm mitteilt, wirklich die Wahrheit ist. Aus diesem Grund glaubt ein BGP-Router einem anderen BGP-Router schlicht alles.

Zum Glück haben mittlerweile die meisten Provider spezielle Filter installiert, die sicherstellen sollen, dass nur solche Netzveränderungen akzeptiert werden, die darin vorgesehen sind. Diese Daten speisen sich normalerweise aus den Provider-Kunden-Informationen. Das hilft dabei, das Injizieren fehlerhafter Informationen in die BGP-Tabelle zu verhindern. Das Problem ist allerdings, dass nicht alle Netzwerke diese Filter nutzen oder sie auf Informationen basieren, die aus Datenbanken stammen, denen man wieder nicht vollständig vertrauen kann.

Was die Verschlüsselung anbetrifft, unterstützt BGP diese zwar, doch dies stellt nur sicher, dass der Informationsaustausch zwischen zwei Routern nicht belauscht oder verändert werden kann. Eine dritte, beteiligte Partei kann dann immer noch fehlerhafte Informationen einbringen – das passierte etwa im erwähnten Fall YouTube.

TR: Gab es Versuche, BGP sicherer zu machen? Wenn ja, wie weit sind die gediehen?

Toonk: Das Problem der fehlenden Vertrauenswürdigkeit hat man schon seit langem erkannt. Mit den Jahren gab es denn auch eine Anzahl von Initiativen, eine sichere Version von BGP zu schaffen. Eine der interessantesten Entwicklungen nennt sich "Resource Public Key Infrastructure" (RPKI). Diese Technik soll erlauben, nachzuvollziehen, ob ein AS wirklich die Erlaubnis hat, ein IP-Netz anzukündigen. Obwohl auch dies nicht alle möglichen Angriffsformen abdeckt, wäre das ein wichtiger Schritt hin zu mehr Sicherheit.

TR: Die Ereignisse im April stimmen einige Beobachter nachdenklich, weil sie ausgerechnet aus China kamen, das ihnen als Quelle vieler Hackangriffe gilt. Ist es möglich, solche potenziell "feindlichen" Netzwerke in Sachen BGP besser zu isolieren?

Toonk: Ich denke, man muss vor allem erst einmal feststellen, dass wir nicht wissen, ob dieser spezielle Vorfall wirklich beabsichtigt war. Bislang können wir das einfach nicht sagen. Ich persönlich glaube, dass es kein zielgerichteter Angriff war. Solche Dinge können, wie ich schon sagte, auch durch Fehlkonfigurationen vorkommen, nur dass in diesem Fall eben China der Auslöser war.

TR: Manipulationen des Internet-Adresssystems DNS kommen mittlerweile häufiger vor – etwa zwecks Verbreitung von Schadcode. Werden wir ähnliche Vorfälle über BGP sehen? Gibt es sie vielleicht schon?

Toonk: Es ist gut möglich, dass zielgerichtete Angriffe gegen einzelne Netzwerke schon jetzt mittels BGP erfolgen. Es gibt Methoden, mit denen man sie sehr gut verschleiern kann. Besonders, wenn der so "angesaugte" Datenverkehr einfach nur von dritter Seite aufgefangen, analysiert und möglicherweise nur leicht verändert wird, dann aber doch an sein Ziel gelangt, weil eine Weiterleitung besteht. Das Beste, was man als Administrator machen kann, ist die Verwendung von Analysewerkzeugen. Früherkennung ist das Allerwichtigste. (bsc)