IP-Piraten zweigen Internetdaten ab

Lutz Pössneck,

Verschlüsselter Datenverkehr wird von IP-Piraten gekapert, über eigene Server umgeleitet, dort mitgelesen und verändert – bei dieser Vorstellung sträuben sich die Nackenhaare von IT-Profis. Lecks im Border Gateway Protocol (BGP) erlauben es Staaten wie China und Pakistan jedoch, genau dies zu tun.

Menschen lernen oft erst aus Katastrophen. Im Fall des Border Gateway Protocol ist der Tsunami bislang ausgeblieben – einzelne Berichte über Traffic-Umleitungen nach China und Pakistan schlugen keine hohe Wellen. Das US-Magazin Wired nennt das Protokoll dennoch das “größte Sicherheitsleck des Internet“, die silicon.de-Schwesterpublikation ZDNet eine “Internet-Zeitbombe“.

Im März 2010 standen Mitarbeiter von Internet Providern vor einem Rätsel. So berichtete der chilenische DNS-Spezialist Mauricio Vergara Ereche in einer E-Mail von seltsamen Vorfällen. Es ging um einen der wichtigsten DNS-Root-Server, ‘I Root Server’. Dieser Server habe Anfragen nach Seiten wie Facebook, Twitter und Youtube auf Server in China umgeleitet.

“Wir nehmen seit geraumer Zeit an, dass China DNS-Antworten manipuliert. Das ist keine Überraschung”, sagte dazu Rodney Joffe, Senior Vice President des DNS-Service-Providers Neustar gegenüber CNET. “Sie tun das, um sicher zu gehen, dass beispielsweise Surfer in China der Zensur unterworfen werden. Das Problem ist nicht, dass das System falsche Antworten gegeben hat, sondern dass es falsche Antworten an Benutzer außerhalb von China gegeben hat.”

Statt eines Eingriffes könnte auch ein Fehler vorliegen, meinte dagegen Danny McPherson, Chief Security Officer bei Arbor Networks, gegenüber IDG News Service. Ein falsch konfiguriertes Border-Gateway-Protocol-System eines Internet Providers könne das Phänomen hervorgerufen haben. “Ich glaube nicht, dass das bewusst gemacht wurde. Der Vorfall ist aber ein Beispiel dafür, wie einfach es ist, diese Art von Informationen zu manipulieren, zu verändern oder über die Grenzen zu verbreiten, innerhalb derer sie eigentlich bleiben sollten.”

Ein Sprecher des China Internet Network Information Center (CNNIC) bestritt jegliche Manipulationen. “Wir wollen klarstellen, dass CNNIC keinen Daten abgefangen oder andere Dinge mit der Mirror-Site des I Root Server unternommen hat”, schreibt der Chief Technology Officer bei CNNIC in einer E-Mail an eine spezielle DNS-Mailing-Liste.

Auch das schwedische Unternehmen Netnod Autonomica, das den I Root Server betreibt, lehnte jede Verantwortung für den Vorfall ab. “Anfragen, Antworten oder Inhalte der Zone werden bei uns weder abgefangen, gestört, umgeschrieben oder in anderer Weise verändert”, erklärte Netnod-CEO Kurtis Linqvist in einer E-Mail. “Wir untersuchen gerade die gemeldeten Probleme. Im Moment gibt es aber keine weiteren Informationen.”

Ein ähnlicher Vorfall hatte im Februar 2008 für Schlagzeilen gesorgt. Damals war Youtube zwei Stunden lang weltweit nicht erreichbar. Nach einem Bericht der BBC hatte die Regierung Pakistans die Internet Provider angewiesen, das Video-Portal zu blockieren – weil es Inhalte zeige, die den Islam verhöhnen. Anlass für die Zensur war ein Trailer zu einem Anti-Koran-Kurzfilm des niederländischen Rechtsaußen-Politikers und Islam-Gegners Geert Wilders.