Am 12. November konfigurierte ein Mitarbeiter des kleinen nigerianischen Internet Service Providers MainOne Cable die BGP-Filter eines seiner Netzwerkgeräte so, dass Googles Datenverkehr nach Nigeria geleitet wurde und dabei einen Umweg über Russland und China nahm. Vor Ort in Nigeria war das Problem zwar schnell erkannt und gebannt. Aber weltweit wusste niemand etwas über diesen Vorfall und die Datenwege von Google waren weiterhin durcheinander. Die Google-Suchfunktion und die Google Cloud auch. Zwei Stunden lang waren diese beiden Dienste nicht verfügbar. Mehrere Millionen der Google IP-Adressen waren davon betroffen.
Zunächst ein paranoider Aufschrei der Sicherheitsexperten – BGP gekapert! Und wer kann es ihnen verdenken angesichts der bekannten Spionagevorgänge? Google blieb noch am ruhigsten und wiegelte ab. Der Internetgigant konnte auch relativ ruhig bleiben, schließlich versendet er Daten fast ausschließlich in verschlüsselter Form. Ein Datendiebstahl sei ausgeschlossen, hieß es vonseiten Googles. Aber so wie der Internetverkehr floss, musste zunächst von böswilliger Absicht ausgegangen werden. Die Internetüberwachungsfirma ThousandEyes, sah solche Anzeichen – es kam zu einer Umleitung des Google-Verkehrs über den russischen ISP TransTelecom zu China Telecom in Richtung des nigerianischen ISP Main One. Alex Henthorne-Iwane, Vizepräsident für Produktmarketing sagte:
„Die ISPs von Russland, China und Nigeria sowie die Präfixe mit über 150 IP-Adressen waren natürlich sehr verdächtig. Es sah einfach nicht nach einem Fehler aus.“
Kriminelle oder nationalstaatliche Akteure können die Schwächen des BGP ausnutzen, um den Verkehr abzufangen. Aber die Technik, die so alt wie das Internet selbst ist, hat auch eigene Schwächen wie beispielsweise das Präfixleck, manchmal auch „versehentliches BGP-Kapern“ genannt. Es gibt sogar Mindestsicherheitsstandards für ISP. Aber nicht alle ISPs setzen diese Schutzmaßnahmen um. Bei einem Präfix-Leak wie bei Google, wird der Datenverkehr ganz chaotisch über solche Netzwerke geleitet, die diese BGP-Sicherheitsmaßnahmen nicht eingeführt haben und daher werden dort die Datenpakete einfach akzeptiert. Das war der Fall bei den russischen und chinesischen ISPs. Es gibt inzwischen modernere Sicherungsmethoden wie die Resource Public Key-Infrastruktur, die BGP-Kaperungen ganz verhindern kann. Aber es kann natürlich erst dann echten Schutz bieten, wenn die überwiegende Anzahl von Internetinfrastrukturanbietern dies auch umsetzt.
BGPmon, ein kanadisches Unternehmen für Netzwerküberwachung und Routingsicherheit erkannte fünf verschiedene Umleitungswellen in einen Zeitraum von 74 Minuten. Andere Experten sagen, dass der Vorfall viel zu offensichtlich war. Das seien keine Anzeichen bösartiger Absicht, die viel geheimer und zielgerichteter seien, hieß es von deren Seite.
Interessant ist auch, dass der umgeleitete Datenverkehr, nie am beabsichtigten Ziel ankam. Eine Traceroute zeigte, dass er an einem Edge-Router innerhalb China Telecom urplötzlich abbricht. Die chinesischen Edge-Router, die Teil der „großen Firewall“ Chinas sind, ließen die Pakete einfach als nicht autorisiert fallen. Das war‘s dann im Prinzip.
Generell wird Unternehmen empfohlen ihre Netzwerke immer zu überwachen – aus vielerlei Gründen. Netzwerküberwachungsanwendungen erkennen Änderungen der Netzwerkadressierung sofort und warnen IT-Mitarbeiter. Es gibt sogar kostenlose Tools dafür wie der Spiceworks Network Monitor.
Laut SANS Sicherheitsexperte Ullrich hat man keine Kontrolle darüber, wie der eigene Datenverkehr sein Ziel erreicht, sobald er das eigene Netzwerk verlassen hat. Aus diesem Grund müsse man IMMER auf eine starke Verschlüsselung, Integritätsprüfungen und Authentifizierung bestehen.
Artikel von wired.com, 13.11.2018: Google Internet Traffic Wasn’t Hijacked, But It Was Out of Control
Artikel von arstechnica.com, 13.11.2018: Google goes down after major BGP mishap routes traffic through China
Artikel von scmagazine.com, 13.11.2018: Google hit with IP hijack taking down several services
Artikel von eweek.com, 14.11.2018: What Happens When Your Data Gets Redirected to China
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0