Blog
Informativ, aktuell und spannend - der Oneconsult Cybersecurity Blog.

BGP Hijacking – Daten auf Abwegen

Immer wieder kommt es vor, dass Schiffe vom Kurs abkommen, stranden oder im schlimmsten Fall mitsamt ihrer Fracht untergehen. Ganz ähnlich kann es den Daten ergehen, die tagtäglich über das Internet verschickt werden: Sie können unterwegs von ihrer gewöhnlichen Route abweichen und ihr Ziel auf grossen Umwegen erreichen, sie können aber auch gänzlich beim falschen Empfänger landen und so dem eigentlichen Adressaten verloren gehen – meist ungewollt, aber in manchen Fällen auch gewollt.

Grund dafür ist die ungenügende Sicherheit des Border Gateway Protocol (BGP), das für die Navigation der Datenpakete im Internet zuständig ist. Ähnlich wie eine Kompassnadel von einem nahegelegenen Magneten gestört und manipuliert werden kann, so lassen sich auch die Navigationsdaten von BGP durch bewusst oder unbewusst fehlerhafte Zielangaben seitens eines nahegelegenen Internet Service Providers (ISP) beeinflussen. Konkret kann ein ISP mithilfe des BGP-Protokolls bestimmte Datenpakete auf sich selbst umleiten, auch wenn sich der eigentliche Empfänger der Pakete nicht im Netzwerk dieses ISP befindet. Dieser Vorgang wird als BGP Hijacking bezeichnet.

Was sind die Risiken?

Werden die fehlgeleiteten Datenpakete vom betreffenden ISP nicht an den eigentlichen Empfänger weitergeschickt, so führt BGP Hijacking dazu, dass Internetdienste für eine bestimmte Region oder sogar weltweit nicht mehr verfügbar sind. So geschehen beispielsweise im September 2020, als der Mail-Service ProtonMail für 30% des weltweiten Internets unzugänglich wurde, weil an ProtonMail adressierte Datenpakete fälschlicherweise über Australiens grössten ISP umgeleitet wurden [1].

Ist die Umleitung der Daten absichtlich erfolgt, so kann der besagte ISP sie mit etwas Geschick an den vorgesehenen Empfänger weiterleiten, ohne dass Sender oder Empfänger etwas davon mitbekommen. Falls der ISP unter staatlicher Kontrolle steht, kann BGP Hijacking also auch für die geheimdienstliche Signals Intelligence (SIGINT), also die Aufklärung fremder Datenflüsse verwendet werden. Selbst verschlüsselte Daten können aufschlussreiche Informationen preisgeben, wie beispielsweise die Datenmenge, den Sendezeitpunkt sowie die Sender- und Empfängeradressen.

Was sollte unternommen werden?

Einen vollständigen Schutz gegen BGP Hijacking gibt es ohne substanzielle Änderungen am aktuellen Internet nicht. Die folgenden Massnahmen werden jedoch empfohlen, um die Wahrscheinlichkeit und die Auswirkungen eines Vorfalls zu reduzieren:

  • Wahl eines ISP, der die aktuellen Best Practices gegen BGP Hijacking [2] implementiert.
  • Ausnahmslose End-zu-End-Verschlüsselung aller zu übermittelnden Datenpakete, um die Vertraulichkeit und Integrität der Daten zu wahren.
  • Verwendung von modernen und kryptografisch sicheren Verschlüsselungsmethoden wie TLS 1.3, um das Aufbrechen der Verschlüsselung zu erschweren.

Die «Entführung von Datenflüssen» lässt sich jedoch durch die Nutzung von BGP-losen Internetarchitekturen verhindern, wie dem in der Schweiz entwickelten SCION [3], das seit Kurzem auch im Secure Swiss Finance Network (SSFN) [4] eingesetzt wird.

Wenn Sie Beratung oder Unterstützung beim Schutz Ihrer Datenflüsse oder Netzwerkinfrastruktur benötigen, kontaktieren Sie jederzeit gerne das Oneconsult-Team.

Autor

Mathias Blarer absolvierte sein Informatikstudium an der ETH Zürich und schloss im November 2021 den Master mit Vertiefung Information Security ab. In seiner Masterarbeit entwickelte er ein Protokoll basierend auf der SCION-Internetarchitektur, womit zwei Hosts sich auf einen vertrauenswürdigen Kommunikationspfad einigen können. Während seines Studiums war er zudem bei einem führenden Schweizer Web Application Firewall (WAF)-Hersteller tätig, wo er einerseits für die Administration des produkteigenen Bug Bounty-Programms und andererseits für die Behebung der entdeckten Schwachstellen zuständig war. Im Januar 2022 nahm Mathias Blarer seine jetzige Tätigkeit als Penetration Tester bei der Oneconsult auf.

Publiziert am: 16.02.2022

Teilen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRFA-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

qr_code_emergency_2022
CSIRT zu den Kontakten hinzufügen