Bongo gegen BGP-Hijacking: Wohin lassen Sie Ihre Daten fließen?

Seite 2: Nur 1 von 50 Banken fiel aus dem Rahmen

Camps und ihre Kollegen haben 2016 die Server 50 großer Banken von einem bestimmten Standort in Kalifornien aus beobachtet. Vier Monate lang zeichneten sie auf, durch welche Länder die Datenverbindungen liefen. Nur bei vier der Banken gab es Änderungen: Citibank verschwand einmal 24 Stunden lang überhaupt, die griechische Nationalbank stellte von einem Routing über andere EU-Länder auf direktes Routing nach Griechenland um. Beides kein Problem für Bongo. HSBC tauchte zweimal für einige Tage in Großbritannien statt in den USA auf. Bei Verbindungen mit HSCB hätte Bongo einen Verbindungsausfall ausgelöst, sofern ausschließlich nationales Routing eingestellt gewesen wäre.

Weiße Frau auf Bühne neben Rednerpult, dahinter blaue Wand mit Schriftzug ENIGMA — Prof. L. Jean Camp bei ihrem Vortrag auf der Usenix Enigma 2020 in San Francisco

(Bild: Daniel AJ Sokolov)

Wild ging es damals nur bei der größten Bank des Iran zu. Datenverbindungen zu ihrer Webseite liefen zunächst aus den USA über Russland und Aserbaidschan in den Iran, dann acht Tage lang über den Oman und die USA in den Iran, bevor es für einige Stunden über Deutschland und die USA in den Iran ging. Schließlich kehrte die Oman-Route zurück. Da hätte ein vorsichtig konfiguriertes Bongo wohl nicht mitgespielt.

BGPsec könnte, tut aber nicht

Das Border Gateway Protocol krankt daran, dass es aus einer Zeit stammt, als man einander im Netz noch vertraut hat. Jeder darf beliebige Routen verlautbaren, automatische Kontrollen sind nicht vorgesehen.

Theoretisch gibt es inzwischen eine Waffe gegen BGP-Hijacking: BGPsec. Netzbetreiber können die von ihnen veröffentlichten Routingdaten kryptographisch signieren. Das würde zumindest Unbefugte davon abhalten, Routingtabellen zu manipulieren. Es hülfe aber nur, wenn alle Netzbetreiber gleichzeitig auf BGPsec umstellten, so dass unsignierte Daten ignoriert werden dürften. Eine solche Umstellung ist nicht in Sicht.

Außerdem setzt BGPsec voraus, dass man den Ausstellern der kryptographischen Zertifikate traut. Stehen diese Stellen jedoch unter staatlicher Kontrolle, ist vielleicht nicht viel gewonnen. Wie Prof. Camp eruiert hat, gehen die meisten Manipulationen auf Täter aus korrupten Ländern oder gar auf staatliche Akteure, die geopolitische Interessen verfolgen, zurück.

Usenix Enigma 2020

Usenix Enigma ist eine jährliche Konferenz zu IT-Sicherheit und Datenschutz, die sich mit gegenwärtigen sowie sich anbahnenden Bedrohungen an der Schnittstelle von Gesellschaft und Technik befasst. Sie findet diese Woche mit zirka 450 Teilnehmern in San Francisco statt. Es ist die fünfte Auflage der Veranstaltung. (ds)

nach oben

Alle Angebote

Newsletter heise-Bot

${intro} ${title}