«Route Hijacking»: Nach Denver, umgeleitet über Island

Um Datenverkehr mitschneiden zu können, muss man keinen physischen Zugriff auf eine Leitung haben. Es geht auch aus der Ferne, mit sogenanntem «Route Hijacking». Nun gibt es Belege, dass die Methode, in der Theorie schon bekannt, auch tatsächlich eingesetzt wurde.

Ein Zug hält auf einer Brücke. Ein Mann mit Glatze leitet Chemikalien aus dem Tankwagen in ein unterirdisches Fass. Bild in Lightbox öffnen.

Bildlegende: In der «Breaking Bad»-Folge «Dead Freight» stiehlt Walter White Chemikalien aus einem Zug, ohne bemerkt zu werden. AMC

Im Zuge des NSA-Skandals ist bekannt geworden, dass US-amerikanische und britische Geheimdienste Internet-Verkehr mitschneiden, indem sie direkt transatlantische Unterseekabel anzapfen. Daraus könnte man nun ableiten, dass physischer Zugriff auf eine solche Leitung notwendig ist. Dieser Eindruck ist falsch.

Aus der Ferne abhören

So hat das Netzwerk-Analyse-Unternehmen Renesys einen Bericht veröffentlicht, der eine Angriffs-Methode beschreibt, die es auch erlaubt, aus der Ferne Datenverkehr abzuhören. Die Grundidee: Statt zum Datenverkehr hinzugehen, also direkt die Leitung anzuzapfen, lockt man den Datenverkehr zu sich. Und kann so sozusagen bequem aus dem Lehnstuhl am anderen Ende der Welt abhören.

Datenverkehr auf dem Internet wird in viele kleine Datenpakete unterteilt. Jedes dieser Pakete ist mit einer Absender- und Empfänger-Adresse beschriftet. Wird das Paket abgeschickt, findet es seinen Weg, indem die Infrastruktur des Netzes dazwischen jeweils liest, wo das Paket hin soll. Und es ungefähr in die Richtung des Zieles weiterschickt. Diese Aufgabe übernehmen sogenannte Router. Deren «Routingtabellen» enthalten Regeln, die bestimmen, welches der effizienteste Weg für das Paket ist.

Nun kann man diese Routingtabellen manipulieren; diese Methode nennt man «Route Hijacking». Dabei wird den Routern vorgetäuscht, dass es einen «besseren» Weg für das Paket gebe. Statt die Pakete mit einem bestimmten Ziel direkt in dessen Richtung weiterzuschicken, leiten die Router die Pakete stattdessen auf einen anderen Weg um. Angreifer können Datenverkehr so auf ein von ihnen kontrolliertes System locken und dort mitlesen, blockieren oder verändern.

Methode seit Jahren bekannt

Diese Methode ist im Grundsatz schon seit längerem bekannt. Im Februar 2008 war plötzlich Youtube nicht mehr erreichbar. In Pakistan hatte ein Gericht angeordnet, Youtube in Pakistan zu sperren. Pakistan Telecom setzte die Anordnung des Gerichts mit dem Holzhammer um: Man erstellte ein neues Routing für die Adressen der Server von Youtube. Statt den Datenverkehr an die echten Youtube-Server zu liefern, leitete man so den Verkehr ins Leere um. Doch diese neuen, falschen Routingtabellen blieben nicht in Pakistan – sie verbreiteten sich stattdessen rund um die Welt. Also erhielt Youtube plötzlich weltweit keinen Datenverkehr mehr – aus der Sicht der Nutzer war es aus dem Netz verschwunden.

Damals war schnell klar, dass es sich um einen Fehler handelte; indem wieder korrekte Routingtabellen verbreitet wurden, war der Fehler im Laufe eines Tages behoben. Die Netzwerk-Community erschrak dennoch; sofort begannen Spekulationen, dass die Methode auch absichtlich, böswillig, gezielt eingesetzt werden könnte.

Nun «in der Wildnis» beobachtet

In seinem Bericht schreibt das Unternehmen Renesys, dass dieses Jahr aus der Theorie eine Tatsache geworden ist. Der Bericht beschreibt mehrere Beispiele, wo gezieltes Umleiten von Datenverkehr beobachtet werden konnte.

Renesys beschreibt beispielsweise einen Fall, wo Daten innerhalb der Stadt Denver (Colorado) hätten verkehren sollen. Sie wurden stattdessen über Island umgeleitet. In einem anderen Fall beobachtete man, wie Daten auf dem Weg von Guadalajara in Mexiko nach Washington, D.C., einen Umweg über Minsk und Moskau machten.

Wer immer diese Daten umgeleitet hat, konnte sie also mitlesen oder verändern, ohne auch nur einen Fuss in die USA zu setzen.

Unklar: wer, wie, warum

Es ist nicht klar, wer für die Umleitungen verantwortlich ist und was das Motiv gewesen sein könnte. Renesys schreibt, dass sie zumindest mit dem Betreiber der Server in Island Kontakt hatten – dort spricht man von einem Fehler, der schnell korrigiert worden sei.

Ebenfalls unklar ist, wie diese Routingtabellen in der Praxis genau verändert wurden. Routingtabellen, die sich weltweit verbreiten, sind nicht für jedermann zugänglich. Es könnte sein, dass einzelne Internet-Provider mit Angreifern unter einer Decke stecken oder infiltriert wurden. Es könnte sich aber auch um Fehler oder Lücken in den Systemen eines Providers handeln, die ohne deren Mitwissen von Angreifern missbraucht werden.

Die Vorstellung, dass mit dieser Methode jemand vom anderen Ende der Welt aus gezielt Datenverkehr zu sich umleiten und manipulieren kann, bleibt beunruhigend. Die Methode führt auch vor Augen, wie kurz gedacht die aktuell in Deutschland diskutieren Vorschläge eines auf Deutschland oder den Schengenraum beschränkten Netzes sind.

Zu deutliche Spuren hinterlassen

Immerhin hat die Methode aus der Sicht der Angreifer einen entscheidenden Nachteil: Wem es gelingt, eine Umleitung genau dann zu beobachten, wenn sie passiert, sieht auch, wo genau sie hingeleitet wurde. Die Angreifer hinterlassen also recht deutliche Spuren, zumindest, wenn man sie in flagranti erwischt. Damit ist die Methode für Profi-Verbrecher oder Geheimdienste nicht sehr attraktiv. Denn diese versuchen in der Regel, ihre Spuren besser zu verwischen.

Dass Renesys dennoch mehrere solcher Angriffe feststellen konnte, erklärt das Unternehmen damit, dass die Methode nur durch Echtzeit-Monitoring erkannt wird und dass sich die Angreifer wohl unbeobachtet wähnten. Je genauer man hinschaut, desto schwieriger wird es, Datenverkehr unbemerkt umzuleiten.

Und, auch das sei gesagt, das mag auch die Motivation von Renesys sein, den Bericht zu veröffentlichen: Genau solches Echtzeit-Monitoring bietet das Unternehmen nämlich an.