Company

BGP-Piraten: “… und dieser Traffic geht nach Russland!“

Geschrieben von Gérard Bauer am 20.12.2017 05:24:08

Finden Sie mich auf:

BGP_Hijacking_Fotolia_108365587_XS.jpgTraffic von und zu einer Reihe bedeutender Internet-Auftritte wurde für kurze Zeit von einem unbekannten Akteur zu einem ISP in Russland umgeleitet. Research-Spezialisten schätzen diesen Vorgang, der am 13. Dezember stattfand und wahrscheinlich Vorbote einer Attacke war, als verdächtig und absichtsvoll ein. 

Dem Unternehmen BGPMON zufolge, das den Vorfall entdeckte, wurden ab 4.43 Uhr (UTC) in den globalen Routing-Tabellen 80 Prefixes entdeckt, die normalerweise von bekannten Organisationen angekündigt werden, nun aber auf das Ursprungs-AS 39523 (DV-LINK-AS) aus Russland verwiesen.

Dieses angriffstypische Phänomen dauerte nur kurze sechs Minuten an. Die Researcher haben bisher noch keinen Anhaltspunkt dafür, was der Grund für den Vorfall war. Man darf ihn aber als ernüchternde Mahnung verstehen, die daran erinnert, wie fragil das Internet tatsächlich ist und wie leicht es für kriminelle Zwecke missbraucht werden kann. 

Das Rerouting des Internet-Traffics von seinem gewünschten Ziel an eine unlautere Adresse – mittels Korrumpierung oder Manipulation von Internet-Routing-Protokollen – ist eine Methode, Man-in-the-Middle-Attacken auszuführen oder Web-Surfer auf gefälschte Websites zu locken, um die Anwender zur Eingabe von persönlichen Anmeldedaten oder anderen sensiblen Informationen zu verleiten.

Der Angriff im Dezember beruhte auf dem Missbrauch des Border-Gateway-Protokolls (BGP). Cyberkriminelle überwachen dabei den Internet-Traffic spezifischer Sites und leiten ihn zu einem Host in ihrem eigenen Netzwerk um, den der gekaperte Traffic passieren muss. Vorkommnisse dieser Art sind zwar selten, aber ein paar davon sind in der Wikipedia dokumentiert, darunter ein versuchter Bitcoin-Diebstahl im Jahr 2014.

Der Fall in diesem Dezember betraf einige der größten Internet-Sites überhaupt – Google, Apple, Facebook, Microsoft, Twitch, NTT Communications und Riot Games. Nutzer dieser Auftritte gehen davon aus, dass ihre Kommunikation sicher ist, weil sie mit SSL/TLS via HTTPS verschlüsselt wird.

Unglücklicherweise können Angreifer, denen die Manipulation von BGP zum Zweck von Man-in-the-Middle-Attacken gelingt, auch in die TLS/SSL-Verschlüsselung der HTTPS-Verbindungen eingreifen, um heimlich die Kommunikation von Anwendern mitzuschneiden.

Im März 2017 gab das US-CERT eine Warnung heraus, derzufolge jedes Aufbrechen von HTTPS die TLS-Sicherheit schwächt. Das CERT empfahl Organisationen, die Produkte zur HTTPS-Inspektion einsetzen, sicherzustellen, dass diese die Zertifikatsketten sorgfältig überprüfen und den Anwender zuverlässig mit Warnungen und Fehlermeldungen versorgen.

Netzwerk-Traffic an einer zentralen Kontrollstelle zu überwachen ist eine gebräuchliche Technik. Sie wird sowohl von Unternehmen in ihren eigenen Netzen als auch von Regierungen eingesetzt. China etwa nutzt eine Perimeter-Instanz mit dem Namen Great Firewall, um sämtlichen Traffic umzuleiten und zu überprüfen, der ins Land hineingeht oder es verlässt.

Der Einsatz von BGP für Man-in-the-Middle-Attacken erlaubt es Angreifern, Internet-Traffic zu modifizieren, bevor er sein Ziel erreicht. Es wird weithin angenommen, dass diese Technik bereits für Industriespionage und staatliche Spionage verwendet wurde – und von Geheimdiensten, die Internet-Daten ohne Wissen der ISPs auswerten.

Während Vorkehrungen gegen die Manipulation des Internet-Routings primär ein Problem darstellen, das auf ISP-Ebene gelöst werden muss, können Anwender ihre persönlichen HTTPS-Sitzungen mittels HTTP Public Key Pinning schützen. 

Public Key Pinning veranlasst einen Web-Browser dazu, einen spezifischen öffentlichen Krypto-Schlüssel einem bestimmten Web-Server zuzuordnen, sodass Man-in-the-Middle-Attacken mit gefälschten Zertifikaten ein Riegel vorgeschoben wird.

Der Web-Server stellt eine Liste von Public-Key-Hashes zur Verfügung. Anhand dieser Hashes können Browser überprüfen, ob ein empfangenes Verschlüsselungs-Zertifikat tatsächlich von jeweils demjenigen Web-Server autorisiert ist, mit dem sie kommunizieren wollen. Der Browser des Anwenders wird so in die Lage versetzt, herauszufinden, ob eine Verbindung unterbrochen und abgehört wird und ob er mit der Kommunikation fortfahren sollte.

Weitere Information zu diesem Thema finden Sie im Whitepaper  How to detect malicious covert communications”. Es erläutert, wie sich Anzeichen für versteckte Kommunikation als Teil einer Attacke auch in verschlüsseltem Traffic aufdecken lassen – ganz ohne Entschlüsselung. 

Themen: SSL Encryption, cybersecurity, Encryption, internet traffic, tls, BGP hijack, russia, HTTPS, espionage, BGP, russland