Internetangriff US-Kommission wirft China Datenentführung vor (Spiegel Online, 17.11.2010)
Internetangriff
US-Kommission wirft China Datenentführung vor
War das eine gezielte Attacke? IT-Experten beschuldigen China in einem Bericht für den US-Kongress, in großem Stil Datenverkehr aus den USA auf eigene Server umgeleitet zu haben. Der betroffene Staatskonzern bestreitet die Vorwürfe, Experten sehen ein fundamentales Sicherheitsrisiko.
Spiegel Online, 18.11.2010
{jumi [*3]}
18 Minuten lang lief an einem Tag im April der Internetverkehr vieler US-Regierungsbehörden und Unternehmen plötzlich über chinesische Server, erklärt ein Beratungsgremium des US-Kongresses. Den Vorfall beschreibt ein Abschnitt in dem an diesem Mittwoch veröffentlichen Bericht ( PDF-Dokument) der “U.S.-China Economic and Security Review Commission”.
{jumi [*4]}
ANZEIGE
Dem Bericht zufolge leitete in dieser Zeitspanne das Unternehmen China Telecom etwa 15 Prozent des Datenverkehrs aus den Vereinigten Staaten und anderen Ländern nach China um, unter anderem Datenpakete von US-Regierungsstellen, dem US-Militär und diversen Unternehmen wie IBM und Microsoft.
China Telecom bestreitet Datenentführung
Eigentlich hätten die Datenpakete den schnellsten und kürzesten Weg im US-Netz nehmen sollen – eine E-Mail von Washington nach Baltimore dürfte zum Beispiel nicht über chinesische Server laufen. Die Umleitung soll laut Sicherheitsforschern des US-Unternehmens McAfee über eine Manipulation der Routing-Informationen gelungen sein. China Telecom soll – einfach ausgedrückt – den angeschlossenen Systemen im Netz erklärt haben, seine eigenen Systeme könnten den Datenverkehr schneller als alle anderen weiterleiten.
McAfee-Forschungschef Dmitri Alperovitch erklärt auf Anfrage, wie sein Unternehmen diese kurzfristige Umleitung des weltweiten Datenverkehrs bemerkt hat: “So eine Routing-Entführung kann jeder feststellen, der an vielen Stellen weltweit den Datenverkehr beobachtet, wie McAfee es tut. Wir achten auf Veränderungen in den Routing-Informationen der Internetprovider.” Diese Daten sind offen zugänglich, aber nur wer sie weltweit aufzeichnet und abgleicht, bemerkt solche Muster.
US-Sicherheitsforscher: “Einer der größten Fälle dieser Art”
Quelle der Routing-Fehlinformation ist laut dem Bericht für den Kongress und McAfee Chinas größtes Telekommunikationsunternehmen China Telecom. Das Unternehmen ist in New York und Hongkong börsennotiert, die Mehrheit der Aktien hält aber der chinesische Staat. Auf Anfrage erklärt eine Sprecherin der Firma: “China Telecom bestreitet jede Form von Entführung von Internetdatenverkehr.”
McAfee-Forscher Dmitri Alperovitch bezeichnet die von seinem Unternehmen beobachtete Datenumleitung als einen der größten Fälle, wenn nicht sogar den größten Fall dieser Art. Vergleichbare Ereignisse gab es schon zuvor: Als ein pakistanischer Internetprovider im Jahr 2008 den Zugriff auf YouTube aus dem Staat verhindern wollte, leitete er für kurze Zeit sämtliche YouTube-Abrufe auf die eigenen Seiten – YouTube war für kurze Zeit offline.
Experten bestätigen, dass die in dem Kongressbericht beschriebene Umleitung von Datenpaketen grundsätzlich möglich ist. Matthias Wählisch, Informatiker an der FU Berlin, erklärt, dass die Weiterleitung des Datenverkehrs zwischen Providern in der Tat sehr anfällig für derartige Fehlinformationen sei: “Solch eine falsche Übermittlung kann aufgrund von Fehlkonfigurationen oder auch mutwillig passieren. Beides geschieht gar nicht so selten.”
Provider können fremden Datenverkehr leicht ansaugen
Um an bestimmte Daten zu kommen, für die er gar nicht verantwortlich ist, kann ein Provider so vorgehen, wie es der Expertenbericht an den Kongress beschreibt. Wählisch: “Er muss einfach einen Weg propagieren, der attraktiver als die bestehenden Wege ist. Oder er behauptet einfach, er sei der Eigentümer dieses Netzes. Damit zieht er sozusagen fremden Verkehr an. Und einen attraktiveren Weg zu verbreiten, ist recht einfach.” Internetdienstleister nutzen Filter, um solches Routing, Hijacking und Fehlkonfigurationen zu blocken. Da solche Filter aber oft (semi-)manuell gepflegt werden, seien sie nie vollständig.
Geht man davon aus, dass die von McAfee und dem US-Kongress beschriebene Umleitung des US-Datenverkehrs auf chinesische Server tatsächlich erfolgt ist, stellt sich die Frage: Warum? Es könnte sich um einen Konfigurationsfehler handeln. Aber, so schreiben die Autoren des US-Berichts: “Dieser Zugriff auf Daten könnte die Überwachung bestimmter Nutzer oder Seiten ermöglichen. Er könnte bestimmte Datenverbindungen kappen oder Nutzern bestimmte Seiten unzugänglich machen oder die Daten umleiten.” Sind die Daten unverschlüsselt, lassen sich auch Anwendungsinformationen auslesen, also zum Beispiel Passwörter oder der Inhalt von E-Mails.
Laut Experten sind bei einer solchen Umleitung auch (zum Beispiel per SSL) verschlüsselte Daten nicht sicher. McAfee-Forscher Dmitri Alperovitch erklärt, dass chinesische Nachrichtendienste derart verschlüsselte Kommunikation entschlüsseln könnten. Da das CNNIC (China Internet Network Information Center) bestimmte Zertifikate für die Verschlüsselung ausstellen kann, wäre mit einem Zugriff auf diese eine Entschlüsselung des Datenverkehrs möglich. Alperovitch erklärt: “Wer diese Zertifikate besitzt, die im Datenverkehr automatisch als vertrauenswürdig gelten, und Datenverkehr über eigene Server umleitet, kann viele Arten von Verschlüsselungen von Browsern, Voice-over-IP-Daten und Instant-Messaging-Diensten knacken.”
Dieses Angriffsszenario hält Michael Horn, Sprecher des Chaos Computer Clubs (CCC), für realistisch: “Ich gehe davon aus, dass das bereits hier und da passiert. SSL in der derzeitigen Implementation – gerade in Browsern – schützt nur sehr mangelhaft gegen derlei Attacken.” Laut Horn kann jede Zertifizierungsstelle theoretisch falsche Zertifikate ausstellen, wenn sie das möchte. Darunter würde natürlich die Glaubwürdigkeit bei der Zielgruppe der vermarkteten Produkte (kommerzielle SSL-Zertifikate) leiden, aber, so wendet CCC-Sprecher Horn ein: “Da sind die Befindlichkeiten einer Verisign als US-amerikanisches Unternehmen natürlich andere als die von CNNIC, aber ausgeschlossen ist da nichts.”
Horn nennt die Methode alt – dieser Angriff sei so alt wie das System, über das Internetprovider Routing-Informationen austauschen. Ein Schutz gegen solche Umleitungen von Datenströmen könnte ein Signatur-System der Provider-Mitteilungen sein. Horn: “Im Fazit bin ich überrascht, dass sich China hier so plump angestellt hat. “
{jumi [*5]}