Zurzeit geistert ein nagelneues, uraltes Gespenst durch die Fachpresse: das Border Gateway Protocol (BGP) oder genauer seine Nutzung zum Abhören und Manipulieren von Datenströmen im Internet. Die Lage ist ernst - seit etwas 20 Jahren.

Doch wie es halt so ist, sobald etwas öffentlich diskutiert wird, steigt die Zahl der "Nutzer" einer Schwachstelle exponentiell an. Waren das noch Zeiten, als Eduard Zimmermann in "Aktenzeichen XY ungelöst" mit in Sorgenfalten gelegter Stirn von einen Meisterdieb berichtete, der Schlösser spurenfrei öffnen und schließen konnte. Man gewöhnt sich wohl an alles.

Doch Spaß beiseite: diese Lücke ist ernst, da sie das Abfangen beliebiger Datenströme im Internet mit vergleichbar minimalem Aufwand ermöglicht.

Die Schwachstelle

Auf der DEFCON 16, die diesen Monat in Las Vegas stattfand, demonstrierten Alex Pilosov und Tony Kapela, wie man das Border Gateway Protocol (BGP/RFC 4271) ge- oder missbrauchen kann, um den Netzwerkverkehr zu einem bestimmten Ziel im Internet über eigene Systeme umzuleiten und die Daten damit in den eigenen Wirkungsbereich zu bringen.

Die Technik ist einfach: das BGP wird von Routern verwendet, um anderen Routern mitzuteilen, welche Systeme sie erreichen können. Grundsätzlich entscheidet der sendende Router eines Paketes, welche Route er dazu verwendet. Da im Internet aber richtigerweise spezifische Routen Vorrang vor allgemeinen Routen haben (d.h. je kleiner das Zielnetz der Route, desto höher die Priorität), kann eine zusätzlich eingeschleuste Route für ein bestimmtes Ziel den Datenverkehr umleiten (ja, ich weiß, das ist grob vereinfacht, sollte aber als Erklärung erstmal reichen).

Benutzt wurde diese Technik bereits: wie der Bericht im Heise Newsticker erinnert, sorgte ein pakistanischer Provider dafür, dass YouTube im Februar einige Zeit nicht erreichbar war, da sämtlicher Datenverkehr in Richtung YouTube in einer digitalen Mülltonne in Pakistan landete (Null-Interface/discard des Routers). Automatically-Distributed Denial of Service Attack par Excellence. Die Wirkung der Routenänderungen ist blitzschnell. Die Korrektur (nachdem der richtige Weg gefunden war) dauerte angeblich keine fünf Minuten, um alle beteiligten Systeme weltweit zu erreichen.

Die Warnungen vor diesem Problem sind mannigfaltig und gehen mindestens bis ins Jahr 1989 zurück, als Steven M. Bellovin in Security Problems in the TCP/IP Protocol Suite auf das Problem hinwies. Die Aussage des Sicherheitsexperten Peiter C. Zatko (a.k.a. Mudge) im Rahmen einer Anhörung vor einem Ausschuss des US-Senates, er (bzw. l0pht) könne das Internet in 30 Minuten lahmlegen, basierte ebenfalls auf der BGP-Problematik.

Angriffe

Die Schwachstelle kann für verschiedenste Angriffe verwendet werden:

• Ausspähen des Datenverkehrs
• Manipulation oder Unterdrückung von Teilen des Datenverkehrs
• Denial of Service Angriffe nahezu beliebiger Größenordnung

Geographische Grenzen gibt es de facto keine. Selbst die Identifikation eines Angriffs ist eher unwahrscheinlich, solange die Datenpakete ankommen. Immer daran denken: dieser Angriff ist quasi-passiv, es ist kein Drei-Wege-Handshake erforderlich, der für eine "normale" Man-in-the-Middle-Attack charakteristische wäre. Der Angreifer wird schlicht Teil der Internet Routing-Architektur.

Gegenmaßnahmen - Manipulation & DoS

Momentan sieht es bei den Gegenmaßnahmen eher dürftig aus. Da es sich bei der BGP-Schwachstelle um ein Designproblem handelt, ist eine schnelle Lösung nicht in Sicht (man beachte die bereits 20-jährige Haltbarkeit des Problems). Die nächsten Wochen und Monate werden zeigen, ob jemand eine geniale Idee hat. Persönlich halte ich es für sehr viel wahrscheinlicher, dass (abseits kleinerer Wundpflaster) eine Änderung im Protokollstandard oder in den Zulassungsrichtlinien (Filterung als Pflicht) erforderlich ist - was Jahre dauern kann.

Für unternehmenskritische Internet-Anwendungen (z.B. Produktionssteuerung, Supply Chain Management, etc.) sind jedoch in bestimmten Fällen Sicherungsmaßnahmen möglich:

• Nutzung redundanter Zugänge in verschiedenen Netzen, von denen jeweils ein Zugang nicht verwendet wird (was bei einem ernsthaften Angriff bestenfalls hilft, ein wenig Zeit zu gewinnen)
• Nutzung von MPLS-Netzwerken zur Vernetzung von Standorten o.ä.
• Nutzung dedizierter Standleitungen, Funkrichtstrecken o.ä.
• Sofern es das Datenvolumen zulässt: Einrichtung von Backupleitungen auf ISDN- oder Analogbasis.
• Richtige Organisation: wissen alle Beteiligten noch, wie es ohne Internet funktioniert?
• u.a.m.

Für bestimmte Routen wäre es evtl. denkbar, die Initiative zu ergreifen und diese Routen spezifisch festzulegen (etwas in dieser Richtung hatte YouTube versucht - mit mäßigem Erfolg). Ich bin mir nicht sicher, in wie weit das praktisch umsetzbar ist. Es stellt jedoch keine generelle Lösung dar, da ansonsten die Routing Tables im Internet auseinanderplatzen dürften. Im Normalbetrieb würde es außerdem die Ausfallwahrscheinlichkeit drastisch erhöhen - es gibt schließlich einen Grund, warum im Internet (fast) immer mehrere Wege nach Rom führen.

Gegenmaßnahmen - Datendiebstahl

An dieser Front lässt sich in der Tat etwas tun. Für alle, die noch immer sensible Daten offen über das Internet senden, sollte dies der finale Warnschuss sein: unverschlüsselte Übertragung sensibler Daten über das Internet ist nicht mehr zu verantworten.

Die Möglichkeiten zur Verschlüsselung sind vielfältig. Von der SSL-verschlüsselten Webseite über S/MIME oder TLS für E-Mails bis hin zum VPN für die Datenübertragung an Partner. Die Grundregel sollte aber lauten, dass sensible Daten entweder verschlüsselt oder garnicht per Internet übertragen werden.

Bei der Wahl der Verschlüsselung ist zu beachten, dass nicht alle Verschlüsselungsverfahren einen Man-in-the-Middle-Angriff erkennen (können). So fällt TLS für SMTP (STARTTLS-Erweiterung) auf vielen Mailservern bereits auf einen Relay-Server herein. Gefragt ist neben der Verschlüsselung die gegenseitige Authentifizierung des Kommunikationspartners. Gegeben ist dies (bei richtiger Konfiguration) z.B. bei IPSec, OpenVPN, verschlüsseltem NRPC u.v.a.

Zu beachten ist in jedem Fall das Risiko des Schlüsselaustausches. Ist die Verbindung "angezapft", so könnte ein Angreifer beispielsweise ein per E-Mail versandtes OpenVPN/OpenSSL-Zertifikat austauschen und sich damit in die VPN-Verbindung einklinken.

Bei der SSL-Verschlüsselung ist zu beachten, dass die BGP-Lücke die Mutter der Man-in-the-Middle-Attacken ist. Und die Bereitstellung eines alternativen Webservers, dessen SSL-Zertifikat vom Browser brav akzeptiert wird, ist entgegen der vollmundigen Versprechungen so mancher Zertifizierungsstelle nicht allzu schwierig. Also: immer schön aufpassen, ob die Domäne in der Adresszeile auch die ist, die man wollte.

Weitere Informationen

• Die Präsentation auf der DEFCON (englisch)
• Artikel im Heise Newsticker
• Bericht der Computerwoche
• Zum Spielen: BGPlay zur grafischen Darstellung der Wirkungsweise des BGP

Kommentare

  Noch keine Kommentare

 Kommentar erstellen

Thema: Name: E-Mail: Website:   Kommentar:  (Kein HTML - Verknüpfungen werden umgesetzt, wenn sie mit http:// beginnen)          Meine Daten merken