Abo
  • Services:
Anzeige
Wer ist AS 39523?
Wer ist AS 39523? (Bild: Screenshot/BGPMon)

BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet

Wer ist AS 39523?
Wer ist AS 39523? (Bild: Screenshot/BGPMon)

Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

Eine fehlerhafte Konfiguration in Zusammenhang mit dem Border Gateway Protocol (BGP) soll zwei Monitoring-Diensten zufolge dazu geführt haben, dass Datenverkehr von Facebook, Google, Apple und Microsoft über Russland umgeleitet wurden. Auch russische Seiten wie Mail.ru und Vkontakte sollen betroffen gewesen sein. Ars Technica hatte über den Vorfall berichtet.

Anzeige

Wie die beiden Monitoring-Dienste BGPMon und Qrator meldeten, habe ein bisher kaum bekannter russischer Provider am Dienstagmorgen plötzlich massenhaft falsche Präfixe für besonders populäre Webseiten in seinen BGP-Tabellen veröffentlicht. Betroffen seien demnach 40 bis 80 IP-Adressblöcke gewesen, deren Umleitung teilweise auch von anderen Providern übernommen wurde.

Viele Daten in kurzer Zeit

Der Vorfall selbst hat offenbar nicht lange gedauert. Laut BGPMon war die falsche Umleitung am Dienstag nur zwischen 5:43 und 5:46 Uhr sowie zwischen 8:07 und 8:10 Uhr morgens (MEZ) aktiv. Qrator geht in einem Blogpost allerdings davon aus, dass große Teile der Daten auch zwischen diesen beiden Zeiträumen, also insgesamt rund zweieinhalb Stunden lang, über den russischen Provider liefen.

  • Messung der Anzahl gehijackter Präfixe am Dienstag (Screenshot/Qrator).
Messung der Anzahl gehijackter Präfixe am Dienstag (Screenshot/Qrator).

Auch wenn die zwangsweise Umleitung nur wenige Minuten gedauert haben sollte, ist es aufgrund der hohen Datendurchsätze bei den betroffenen Servern möglich, dass terabyteweise Nutzerdaten zwangsumgeleitet wurden.

Absicht vermutet

"Was diesen Vorfall so verdächtig macht, ist, dass die betroffenen Präfixe alles High-Profile-Ziele waren, plus mehrere spezifischere Präfixe, die normalerweise nicht auftauchen", schreibt BGPMon in einem Blogpost. "Das heißt, es handelt sich nicht um einen einfachen Leak. Jemand fügt diese spezifischeren Präfixe bewusst hinzu, möglicherweise mit dem Ziel, den Traffic zu sich umzuleiten."

Bisher ist offenbar unklar, wer hinter dem russischen Provider steckt. Dessen autonomes System benennen beide Monitoring-Dienste mit AS 39523 (DV-LINK-AS). AS 39523 war demnach offenbar seit Jahren nicht mehr aktiv, mit einer Ausnahme: "Bei einem Blick in unser Archiv ist uns aufgefallen, dass AS 39523 in diesem Jahr schon einmal aktiv war", und zwar im Zusammenhang mit einem großflächigen Internetausfall aufgrund von BGP-Leaks in Japan im August 2017.

Verschlüsselung schützt - noch

Sollte es sich bei dem Vorfall tatsächlich um ein gezieltes Hijacking mit der Intention gehandelt haben, Datenverkehr von Diensten wie Google, Facebook, Apple und Microsoft abzufangen, bleibt unklar, wie die Angreifer an die Daten kommen wollen. Die betroffenen Webseiten setzen inzwischen alle HTTPS/TLS für die Transportverschlüsselung ein. Nutzen die betroffenen Server zudem Forward Secrecy (PFS) in ihrer TLS-Implementierung, erscheint auch ein Sammeln der verschlüsselten Daten wenig nützlich. Selbst wenn in Zukunft wieder ein erfolgreicher Angriff auf TLS bekannt würde, blieben die heute verschlüsselten Daten wohl unlesbar.

Schützen können sich Nutzer der betroffenen Webseiten vor solchen BGP-Hijacking-Angriffen nicht. Qrator sieht die Verantwortung bei Internetprovidern und Backbone-Betreibern. Diese müssten fehlerhafte Routingdaten endlich korrekt herausfiltern. "Wir können natürlich AS 39523 für den Vorfall verantwortlich machen, aber ohne richtige Filter auf Ebene der Transitverkehr-Anbieter werden ähnliche Vorfälle immer und immer wieder auftreten."


eye home zur Startseite
bbk 18. Dez 2017

http://blog.ipspace.net/2017/12/bgp-tragedy-of-commons.html

Themenstart

Der Held vom... 18. Dez 2017

Der Russe an und für sich ist ansonsten ja nun 'n netter Mensch. Die essen auch nur...

Themenstart

Der Held vom... 18. Dez 2017

Ist doch Sukiyaki, wie der Japaner sagt, denn wir wissen es nicht. Wir können noch nicht...

Themenstart

thinksimple 17. Dez 2017

Wahrscheinlich will keiner das die Russen wissen sollen welche Porn-Seiten man aufruft.

Themenstart

Crass Spektakel 16. Dez 2017

Es ist wirklich interessant wie jetzt mit Relativierung die russischen Umtriebe...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. flexis AG, Chemnitz
  2. TAP.DE Solutions GmbH, München
  3. BWI GmbH, München
  4. D. Lechner GmbH, Rothenburg ob der Tauber


Anzeige
Top-Angebote
  1. (u. a. ASUS ZenWatch 2 Silber/Braun für 79€ statt 142,90€ im Preisvergleich und WD externe 2...
  2. (u. a. SanDisk SSD Plus 240 GB für 69€)
  3. (u. a. NBA 2K18 PS4/XBO 29€)

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Ich verstehe die irischen Praktikanten

    teenriot* | 21:49

  2. Re: Evolution <> Sozialismus?

    divStar | 21:48

  3. 40000 mal $50

    derdiedas | 21:47

  4. Re: Warum dieser Artikel / Clickbait ?

    v2nc | 21:41

  5. Re: das NetzDG ist eh unvollständig

    flike | 21:40


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel