-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Eine falsche BGP-Konfiguration hat dazu geführt, dass der Traffic von Google, Facebook und Co. über Russland umgeleitet wurde. Möglicherweise sind so Daten gesammelt worden.
Die Monitoring-Anbieter BGPMon und Qrator haben registriert, dass am Dienstagmorgen eine große Zahl falscher Präfixe in den Tabellen des Border Gateway Protocol (BGP) für bekannte Webseiten durch einen russischen Provider gesetzt wurden. Es wurde so der Traffic von Facebook, Google, Apple und Microsoft über Russland umgeleitet. Möglicherweise wurden so große Datenmengen abgegriffen. Neben den bekannten US-Seiten waren auch russische Portale wie Mail.ru und Vkontakte von der falschen Konfiguration betroffen. Insgesamt waren 40 bis 80 IP-Blöcke von dem Vorfall betroffen. Die Auswirkungen waren groß, da auch andere Provider die Umleitungen teilweise übernommen haben.
Laut BGPMon dauerte der Vorfall selbst jedoch nicht lange an. Die falschen Umleitungen waren am Dienstag zwischen 5:43 und 5:46 und zwischen 8:07 und 8:10 mitteleuropäischer Zeit gesetzt. Die Experten von Qrator gehen jedoch davon aus, dass auch in den Zeiträumen dazwischen der Datenverkehr über den russischen Provider lief. Insgesamt könnte es also sein, dass circa zweieinhalb Stunden Daten in Russland gesammelt wurden. Selbst wenn die Umleitung nur wenige Minuten gedauert hat, könnten aufgrund des hohen Traffics der betroffenen Dienste terabyteweise Nutzerdaten umgeleitet worden sein.
BGPMon schreibt in einem Blogbeitrag, dass die Vorfälle verdächtig wirken und vermutlich Absicht dahintersteckt. "Was diesen Vorfall so verdächtig macht, ist, dass die betroffenen Präfixe alles High-Profile-Ziele waren, plus mehrere spezifischere Präfixe, die normalerweise nicht auftauchen. Das heißt, es handelt sich nicht um einen einfachen Leak. Jemand fügt diese spezifischeren Präfixe bewusst hinzu, möglicherweise mit dem Ziel, den Traffic zu sich umzuleiten."
Noch ist unklar wer die Betreiber des kleinen russischen Providers sind. Die autonomen Systeme werden von beiden Monitoring-Diensten als AS 39523 (DV-LINK-AS) identifiziert. Es fällt auf, dass AS 39523 seit einigen Jahren nicht aktiv war. Die einzige Ausnahme ist laut BGP-Leaks ein Vorfall im August 2017, der zu einem Internetausfall in Japan geführt hat.
Sollte hinter der Umleitung von Google, Facebook, Apple und Microsoft wirklich absichtliches Hijacking stecken ist noch unklar, was die Angreifer mit den verschlüsselten Daten anfangen können. Alle betroffenen Webseiten setzen auf HTTPS/TLS zur Transportverschlüsselung. Die Verwendung von Forward Secrecy (PFS) in ihrer TLS-Implementierung führt dazu, dass auch das Sammeln der verschlüsselten Daten keine verwertbaren Ergebnisse bringen wird. Auch ein eventuell in der Zukunft erfolgender erfolgreicher Angriff aus TLS würde die heute abgegriffenen Daten wohl unlesbar lassen.
Die Nutzer der Webseiten selbst können sich nicht vor einem BGP-Angriff schützen. Qrator sieht hier allein die Betreiber von Backbones und Internetzugängen in der Verantwortung. Ein Filter für fehlerhafte Routingtabellen kann solche Angriffe wirksam verhindern. "Wir können natürlich AS 39523 für den Vorfall verantwortlich machen, aber ohne richtige Filter auf Ebene der Transitverkehr-Anbieter werden ähnliche Vorfälle immer und immer wieder auftreten."