BGP

Neue Internet-Schwachstelle enttarnt

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Nach dem kürzlich öffentlich gemachten Cache-Poisoning-Problem des Domain Name System (DNS) rückt nun mit dem Border Gateway Protocol (BGP) eine weitere Internet-Grundlagentechnik ins Security-Scheinwerferlicht.

Das Blog-Netzwerk von "Wired.com" bezeichnet die kürzlich auf der DefCon demonstierte konzeptionelle Schwachstelle des BGP schlicht als "The Internet's Biggest Security Hole": BGP lässt sich missbrauchen, um Internet-Traffic in einem bislang nicht für möglich gehaltenen Maßstab abzufangen, mitzulesen und sogar vor der Weiterleitung zum eigentlichen Empfänger manipulieren.

Hier zeigt sich erneut eine grundlegende Schwäche des Internets: Viele seine grundlegenden Protokolle wurden in den 1970er Jahren unter der Annahme entwickelt, dass jeder Knoten des damals erst im Entstehen befindlichen Netzes grundsätzlich vertrauenswürdig sei - niemand konnte seinerzeit ahnen, dass ein militärisches Forschungsnetz der USA einmal zivil die ganze Welt umspannen würde (und ebenfalls niemand hat es seither für nötig erachtet, die grundlegende Technik an die inzwischen erfolgte Skalierung anzupassen und entsprechend zu sichern).

Die kürzlich von Dan Kaminsky aufgezeigte Schwachstelle im DNS war möglicherweise nur ein erster Vorgeschmack auf kommenden Bedrohungen. "Das ist ein Riesenproblem", sagt Peiter "Mudge" Zatko, Sicherheitsexperte und früheres Mitglied der Hacker-Gruppe L0pht, über BGP. "Wenigstens so groß wie das DNS-Problem, wenn nicht sogar größer." Er habe bereits 1998 vor dem US-Kongress ausgesagt, dass er das Internet binnen 30 Minuten über einen ähnlichen BGP-Angriff in die Knie zwingen könnte und auch Geheimdiensten erläutert, wie man BGP zum "Abhören" verwenden könne, sagt Zatko.

Vorgeführt wurde der BGP-Missbrauch auf der DefCon von Anton "Tony" Kapela, Data Center and Network Director bei 5Nines Data, und Alex Pilosov, CEO von Pilosoft. Das Duo griff Netzverkehr ab, der eigentlich für das DefCon Netz in Las Vegas bestimmt war, und leiteten diesen einfach auf ein selbst aufgesetztes Netz in New York um und erst anschließend weiter zur DefCon - ein so genannter Man-in-the-middle-Angriff.

Dazu mussten Kapela und Pilosov nicht etwa einen Fehler in BGP ausnutzen - nein, das Border Gateway Protocol gestattet dies von sich aus. Es basiert nämlich auf dem Vertrauensprinzip. Einzig "erfreulich" bei der Sache: BGP steuert nur Traffic zu einem Ziel (und nicht von ihm), und BGP-Router stehen auch nicht überall herum, sondern nur bei richtig großen ISPs oder Unternehmen.

Konzepte zur Absicherung von BGP existieren bereits. Sie würden allerdings großen Aufwand (Filterung) oder neue, viel leistungsfähigere Router (für SBGP mit digitalen Signaturen) erfordern. Und da bislang keine wirklichen Attacken öffentlich geworden sind, will niemand so recht mitmachen. Bleibt nur zu hoffen, dass sich das ändert. Und zwar nicht erst nach einem großen BGP-Lauschangriff.