Malware-Verkehr hilft bei Analyse von Internetblockaden

Feine Unterschiede zwischen den Internetblockaden in Libyen und Ägypten vor eineinhalb Jahren hat jetzt Alberto Dainotti von der Cooperative Association for Internet Data Analysis (CAIDA) gemeinsam mit italienischen Forscherkollegen dokumentiert. Dainottis Forschergruppe hat sich dabei neben der Analyse klassischer BGP-Routen auf Datenverkehr gestützt, der von Malware-infizierten Rechnern aus der Region stammte. Dainottis Schlussfolgerung: "Mubarak ist in Panik geraten, das libysche Regime hat sich sehr gut auf die Internetblockade vorbereitet." Die Ergebnisse (PDF-Datei) fielen auch den Juroren der Internet Research Task Force (IRTF) auf, die die Arbeit auf dem laufenden Treffen der Internet Engineering Task Force in Vancouver mit ihrem alljährlichen Forscherpreis auszeichneten.

Die Unterschiede zwischen den BGP-Routing-Daten für Ägypten und Libyen Anfang 2011, die unter anderem das RIPE NCC geliefert hatte, mit den von CAIDA im eigenen Darknet gefangenen Malware-Verkehr lassen laut Dainotti den Schluss zu, dass das Gaddafi-Regime vor dem Hochziehen einer großen Firewall im März 2011 die Paketfilter antestete. Das Darknet saugt wie ein Staubsauger Conficker-Scans und anderen Malware-Verkehr auf, den es wie in allen Ländern auch in Ägypten und Libyen gibt.

Sieben Stunden, nachdem die libyschen BGP-Einträge wieder in den internationalen Routing-Tabellen auftauchten, war auch der Malware-Verkehr wieder da, erläuterte Dainotti. Das belege, dass zu dieser Zeit schon Paketfilter eingesetzt wurden. Auch zuvor hatte es im Rahmen nächtlicher "Internetsperren" kurze Phasen eingeschränkter Internetkonnektivität gegeben, die nicht durch das Abschalten der Routen zu erklären waren. In dieser Zeit seien die Paketfilter getestet worden.

Dem libyschen Staatsapparat bescheinigt er im Nachhinein einen ausgeklügelten Ansatz bei der Kontrolle der Kommunikation. Das zeige auch die gleichzeitig gezielte Behinderung des Internetverkehrs über den internationalen Satellitenprovider SatAS1. "Satelliten-Jamming erfordert eine gewisse Vorbereitung", erklärte Dainotti und verwies auf die Unterstützung des Regimes durch hochspezialisierte Anbieter aus den USA und Europa.

Für die Internetblockaden in Ägypten wurden laut Dainottis Analyse schlicht die Routen abgeschaltet. Die mit dem Darknet abgefischten Malware-Daten erlaubten aber einen Blick auf kurz vor und kurz nach der Internetblockade laufende DDoS-Attacken auf das Kommunikationsministerium und das Innenministerium. Zum anderen fanden die Forscher heraus, dass durch von Botnetz-infizierten Rechner keine Scans während der BGP-Blockaden machten, Conficker-Scans aber auch aus den gesperrten Netzen heraus aktiv waren. Das sei möglich, weil reine BGP-Sperren den ausgehenden Verkehr teilweise noch durchlassen.

Die CAIDA-Forschergruppe plant als nächstes, diese Erkenntnisse für eine Art Warnsystem nutzbar zu machen, in dem bei einem auffälligen Rückgang von Malware-Verkehr – in Verbindung mit anderen Daten – die virtuellen Alarmglocken schrillen. Noch seien die Informationen über Filteraktivitäten viel zu ungenau, räumte Dainotti ein. Dort, wo wie in China mehr die Inhalte gefiltert würden, gebe es allerdings aktuell interessante Ansätze für eine Überwachung der Überwacher. (anw)