Abo
  • Services:

BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet

Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

Artikel veröffentlicht am ,
Wer ist AS 39523?
Wer ist AS 39523? (Bild: Screenshot/BGPMon)

Eine fehlerhafte Konfiguration in Zusammenhang mit dem Border Gateway Protocol (BGP) soll zwei Monitoring-Diensten zufolge dazu geführt haben, dass Datenverkehr von Facebook, Google, Apple und Microsoft über Russland umgeleitet wurden. Auch russische Seiten wie Mail.ru und Vkontakte sollen betroffen gewesen sein. Ars Technica hatte über den Vorfall berichtet.

Stellenmarkt
  1. EXEC Software Team GmbH, Ransbach-Baumbach
  2. Landeshauptstadt Stuttgart, Stuttgart

Wie die beiden Monitoring-Dienste BGPMon und Qrator meldeten, habe ein bisher kaum bekannter russischer Provider am Dienstagmorgen plötzlich massenhaft falsche Präfixe für besonders populäre Webseiten in seinen BGP-Tabellen veröffentlicht. Betroffen seien demnach 40 bis 80 IP-Adressblöcke gewesen, deren Umleitung teilweise auch von anderen Providern übernommen wurde.

Viele Daten in kurzer Zeit

Der Vorfall selbst hat offenbar nicht lange gedauert. Laut BGPMon war die falsche Umleitung am Dienstag nur zwischen 5:43 und 5:46 Uhr sowie zwischen 8:07 und 8:10 Uhr morgens (MEZ) aktiv. Qrator geht in einem Blogpost allerdings davon aus, dass große Teile der Daten auch zwischen diesen beiden Zeiträumen, also insgesamt rund zweieinhalb Stunden lang, über den russischen Provider liefen.

  • Messung der Anzahl gehijackter Präfixe am Dienstag (Screenshot/Qrator).
Messung der Anzahl gehijackter Präfixe am Dienstag (Screenshot/Qrator).

Auch wenn die zwangsweise Umleitung nur wenige Minuten gedauert haben sollte, ist es aufgrund der hohen Datendurchsätze bei den betroffenen Servern möglich, dass terabyteweise Nutzerdaten zwangsumgeleitet wurden.

Absicht vermutet

"Was diesen Vorfall so verdächtig macht, ist, dass die betroffenen Präfixe alles High-Profile-Ziele waren, plus mehrere spezifischere Präfixe, die normalerweise nicht auftauchen", schreibt BGPMon in einem Blogpost. "Das heißt, es handelt sich nicht um einen einfachen Leak. Jemand fügt diese spezifischeren Präfixe bewusst hinzu, möglicherweise mit dem Ziel, den Traffic zu sich umzuleiten."

Bisher ist offenbar unklar, wer hinter dem russischen Provider steckt. Dessen autonomes System benennen beide Monitoring-Dienste mit AS 39523 (DV-LINK-AS). AS 39523 war demnach offenbar seit Jahren nicht mehr aktiv, mit einer Ausnahme: "Bei einem Blick in unser Archiv ist uns aufgefallen, dass AS 39523 in diesem Jahr schon einmal aktiv war", und zwar im Zusammenhang mit einem großflächigen Internetausfall aufgrund von BGP-Leaks in Japan im August 2017.

Verschlüsselung schützt - noch

Sollte es sich bei dem Vorfall tatsächlich um ein gezieltes Hijacking mit der Intention gehandelt haben, Datenverkehr von Diensten wie Google, Facebook, Apple und Microsoft abzufangen, bleibt unklar, wie die Angreifer an die Daten kommen wollen. Die betroffenen Webseiten setzen inzwischen alle HTTPS/TLS für die Transportverschlüsselung ein. Nutzen die betroffenen Server zudem Forward Secrecy (PFS) in ihrer TLS-Implementierung, erscheint auch ein Sammeln der verschlüsselten Daten wenig nützlich. Selbst wenn in Zukunft wieder ein erfolgreicher Angriff auf TLS bekannt würde, blieben die heute verschlüsselten Daten wohl unlesbar.

Schützen können sich Nutzer der betroffenen Webseiten vor solchen BGP-Hijacking-Angriffen nicht. Qrator sieht die Verantwortung bei Internetprovidern und Backbone-Betreibern. Diese müssten fehlerhafte Routingdaten endlich korrekt herausfiltern. "Wir können natürlich AS 39523 für den Vorfall verantwortlich machen, aber ohne richtige Filter auf Ebene der Transitverkehr-Anbieter werden ähnliche Vorfälle immer und immer wieder auftreten."



Meistgelesen

Anzeige
Spiele-Angebote
  1. 14,99€ + 1,99€ Versand oder Abholung im Markt
  2. 2,99€
  3. 14,99€ + 1,99€ Versand oder Abholung im Markt
  4. 399,99€ mit Vorbesteller-Preisgarantie

bbk 18. Dez 2017

http://blog.ipspace.net/2017/12/bgp-tragedy-of-commons.html

Der Held vom... 18. Dez 2017

Der Russe an und für sich ist ansonsten ja nun 'n netter Mensch. Die essen auch nur...

Der Held vom... 18. Dez 2017

Ist doch Sukiyaki, wie der Japaner sagt, denn wir wissen es nicht. Wir können noch nicht...

thinksimple 17. Dez 2017

Wahrscheinlich will keiner das die Russen wissen sollen welche Porn-Seiten man aufruft.

Crass Spektakel 16. Dez 2017

Es ist wirklich interessant wie jetzt mit Relativierung die russischen Umtriebe...


Folgen Sie uns
       


Honor 10 gegen Oneplus 6 - Test

Das Honor 10 unterbietet den Preis des Oneplus 6 und bietet dafür ebenfalls eine leistungsfähige Ausstattung.

Honor 10 gegen Oneplus 6 - Test Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Samsung Flip im Test: Brainstorming mit Essstäbchen und nebenbei Powerpoint
Samsung Flip im Test
Brainstorming mit Essstäbchen und nebenbei Powerpoint

Ob mit dem Finger, dem Holzstift oder Essstäbchen: Vor dem Smartboard Samsung Flip sammeln sich in unserem Test schnell viele Mitarbeiter und schreiben darauf. Nebenbei läuft Microsoft Office auf einem drahtlos verbundenen Notebook. Manche Vorteile gehen jedoch auf Kosten der Bedienbarkeit.
Ein Test von Oliver Nickel

  1. Indien Samsung eröffnet weltgrößte Smartphone-Fabrik
  2. Foundry Samsung aktualisiert Node-Roadmap bis 3 nm
  3. Bug Samsungs Messenger-App verschickt ungewollt Fotos

    •  /