+43 699 / 18199463
office@itexperst.at
China Telecom kapert internationalen Internetverkehr

China Telecom kapert internationalen Internetverkehr

Forscher des US Naval War College and der Universität von Tel Aviv haben vor Kurzem ein gemeinsames Papier veröffentlicht. Es legt detailliert dar, wie der große Telekommunikations- und Internetdienstanbieter China Telecom, international Informationen über das Border-Gateway-Protokoll abgreift.

Ein paar Netzwerke kapern Routen über das Border-Gateway-Protokoll und leiten Datenverkehr via böswillige Server um. Damit können Man-in-the-Middle- oder Phishing-Angriffe durchgeführt werden, Kennwörter gestohlen oder HTTPS-verschlüsselter Datenverkehr aufgezeichnet werden. Und solches Vorgehen haben die Forscher nun aufgedeckt und analysiert. Unter den vielen anderen Internet-Datenkaperern geht die China Telecom auffällig zielgerichtet und entschlossen vor.

Vermutlich hat der chinesische Staat das bereits in den frühen 2000er Jahren ganz gezielt die Weichen dafür gestellt. Bewerkstelligt wurde das über die China Telecom. Der chinesische Telekommunikationsriese setzte sich langsam aber sicher in den nordamerikanischen Netzen fest. Mittlerweise hat er 10 PoPs: acht in den USA und zwei in Kanada. PoPs steht für „Point of Presence“. Im Grund handelt es sich dabei um Rechenzentren, die den Datenverkehr zwischen den kleineren Netzwerken im riesigen Internet um- oder weiterleiten. Besonders in den langen Verbindungsstrecken eines großen Landes wie den USA, sind solche PoPs für kleinere Netzwerke wichtig. Zu solchen kleineren Netzwerken, sogenannten autonomen Systemen, zählen großen Tech-Unternehmen wie Google oder kleinere regionale Internetanbieter, aber auch Unternehmen wie Verizon, Universitäts- und Bankennetzwerke und Web-Hosting-Unternehmen.

Zu den Schwachstellen des Border-Gateway-Protokolls zählen zum Beispiel die Ankündigung fehlerhafter Border-Gateway-Protokoll-Routen und der Empfang von Datenverkehr, der gar nicht für ein spezielles Empfängernetzwerk bestimmt war. Meistens stecken Konfigurationsfehler dahinter, die schnell behoben werden können.

Der Datenverkehr zwischen diesen Netzwerken autonomer Systeme wird mit Hilfe des Border-Gateway-Protokolls abgewickelt. Und da dieses über keine Sicherheitskontrollen verfügt, kann es ausgenutzt werden. Es wird vermutet, dass die chinesischen Staatshacker sich einen anderen Zugang zu den amerikanischen Daten verschaffen mussten. Vor allem, nachdem Präsident Obama und Staatspräsident Xi Ende 2015 gemeinsam den Cyberpakt unterzeichnet hatten. Da kam ihnen das „schwache“ Border-Gateway-Protokoll womöglich gerade recht.

Bewerkstelligt haben die Forscher dies über ein selbst gebasteltes „Routing Tracing System“. Es kann die Border-Gateway-Protokoll Ankündigungen überwachen und Muster erkennen und so versehentliche von vorsätzlichen Kaperversuchen unterscheiden. Laut dem Forschungspapier habe China Telecom

„durch seine zahlreichen PoPs den inländischen und US-Daten Transitverkehr bereits ziemlich lückenlos gekapert und über Tage, Wochen und Monate hinweg nach China umgeleitet“.

Unterscheiden konnten die Forscher diese Vorgänge wegen ihren ungewöhnlichen Transitwege. Aber auch aufgrund den offensichtlich längeren Datenwegen und der ungewöhnlichen Dauer der Übertragungen. Alle Daten machen einen langen Umweg durch das Netzwerk von China Telecom auf dem chinesischen Festland, bevor sie ihr eigentliches Ziel erreichen. Im Februar 2016 wurde der Datenstrom von Kanada an koreanische Regierungsstandorte ein halbes Jahr lang gekapert und durch China umgeleitet. Im Oktober 2016 passierte das gleiche mit dem Internetverkehr von mehreren US-Standorten zu einer großen angloamerikanischen Bank mit Sitz in Mailand. Der Internetverkehr von Schweden und Norwegen zum japanischen Netzwerk einer großen amerikanischen Nachrichtenorganisation wurde im April / Mai 2017 etwa sechs Wochen lang durch China geleitet. Der Verkehr zum Mailserver und anderen IP-Adressen einer großen Finanzgesellschaft in Thailand wurde im April, Mai und Juli 2017 mehrmals in den USA gekapert.

Den Datenverkehr erfolgreich zu Kapern steht und fällt mit dem Wissen, wie wichtige Internetstrukturen funktionieren und ausgenutzt werden können, in dem dabei vertragliche und behördliche Vereinbarungen manipuliert werden. Kurz gesagt: Das Wissen, wer befördert was durch das Internet und an wen. Nun ist dieses Gebilde zwar ziemlich gut strukturiert, aber allerdings auch groß und unübersichtlich. Zehntausende Autonome Systeme sind miteinander verbunden durch vertragliche Peer-oder-Pay-Vereinbarungen und tauschen die Datenpakete untereinander aus. Jedes davon steuert den Zugriff zu und von allen internen Netzwerkknoten unabhängig von den anderen. Wie bei der Landpost benötigt der Datenverkehr auch Absender- und Empfängeradressen. Das funktioniert über eine eindeutige sogenannte „Autonomous System Number“, kurz ASN. Sie gilt global zum Identifizieren des Empfangs von Datenpaketen. Das Internet sendet die Daten über zwischengeschaltete Autonome Systeme als kleine Datenpakete mit angehängten Ziel-IP-Adressen. Jeder Router in den Transit-Netzwerken sucht nach der Ziel-IP-Adresse in diesem Paket und leitet sie mithilfe einer „Weiterleitungstabelle“ an das nächstgelegenen Autonome System weiter. Zwei Arten von Softwareprotokollen – das Internet Protokoll [RFC971] und das Border-Gateway-Protokoll [RFC 4271] sind dabei Dreh- und Angelpunkt. Das Internet Protokoll bestimmt, wie Informationen zwischen Endsystemen auf Netzwerkebene ausgetauscht werden. Die Quell- und Ziel-IP-Adressen befinden sich in jedem Datenpaket, das über das Netzwerk über mit einander verbundenen Autonome System im Internet gesendet wird.

Die globalen Internet-Datenaustauschsysteme bestehen aus wichtigen und weniger wichtigen Anbietern. Vor allem die wichtigen Anbieter haben enormen Einfluss auf die Datenwege. Die zuvor erwähnten Tabellen spielen eine entscheidende Rolle. Hier passieren die Fehler. Und das machen sich die Kaperer zunutze. Wenn zum Beispiel ein Netzwerk AS1 irrtümlich durch sein Border- Gateway-Protokoll ankündigt, dass es einen IP-Block besitzt, der tatsächlich dem Netzwerk AS2 gehört, wird der Verkehr von einem Teil des Internets, der für AS2 bestimmt ist, tatsächlich zu – und durch – AS1 geleitet. Wenn diese fehlerhafte Ankündigung nun mit böswilliger Absicht arrangiert wurde, ist der Datenverkehr erfolgreich gekapert. Wenn eine Routing-Tabelle die kürzeste Entfernung falsch bestimmt, werden die Daten automatisch diesen Weg nehmen.

Und hier spielen sich die Vorteile, ein großer Internet Service Provider zu sein, voll aus. Die Wahrscheinlichkeit ist viel größer, dass er als zentraler Transitpunkt genutzt wird. Wenn also solche zentralen Transitpunkte von Akteuren mit bösen Absichten betrieben werden, wird das Kapern von Daten um einiges leichter gemacht. Nicht nur das – auch die Kontrolle des internationalen Datenverkehrs.

China hat das ganz geschickt gemacht: Sein Internetnetzwerk ist weitgehend abgeschottet und isoliert und hat nur drei Knotenpunkte in Beijing, Shanghai und Hongkong. Damit hat man keine Kontrolle über das Internet. Das geht nur mit den chinesischen PoPs in Nordamerika, Europa und Asien. Gleichzeitig haben keine der genannten Kontinente einen einzigen PoP in China selbst. China erlaubt das einfach nicht. Wenn China Telecom also nur einen einziges PoP hätte in den USA, wäre es für die chinesischen Staatshacker viel schwieriger, erfolgreiches Kapern durchzuführen.

Die Forscher fordern hier eine dringende politische Antwort – einen gegenseitigen Zugang. Sie argumentieren, dass die China Telecom fairerweise nicht über Hongkong hinaus tätig sein sollte. Nur, wenn andere internationale Peers ein gleichwertiger Zugang zu PoPs in China gewährt werden. Man fragt sich letztendlich aber doch – wer hat die acht chinesischen PoPs in Nordamerika eigentlich bewilligt?

Siehe auch:

Artikel von zdnet.com, 26.10.2018: China has been ‚hijacking the vital internet backbone of western countries‘
Artikel von scholarcommons.usf.edu, Oktober 2018: China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen