l+f: Carabinieri beschlagnahmen Internet
"Oops, uns ist ein Trojaner abhanden gekommen" – "kein Problem, den holen wir uns wieder ..."
Die veröffentlichten Mails von Hacking Team deuten darauf hin, dass einer italienischen Polizeieinheit der Carabinieri die Kontrolle über einige aktive Instanzen der HT-Spionage-Trojaner entglitten ist, weil der Provider die Kontroll-Server blockiert hat. Daraufhin beauftragte die Antiterror-Einheit anscheinend einen italienischen ISP, das komplette Netz dieses Providers zu kapern, um die Kontrolle zurück zu erlangen – so die Hacking-Team-Story.
Ein italienischer Debian-Maintainer hat sich deshalb jetzt die RIPE-Archive angeschaut und konnte damit tatsächlich nachvollziehen, dass Aruba.it über das Routing-Protokoll BGP attraktive Routen für das Zielnetz publiziert hat. Über BGP verständigen sich die großen Internet-Router, wer wen wie gut erreichen kann und erstellen daraufhin ihre Routing-Tabellen. Mit den gefälschten BGP-Anouncements hat der Provider demnach vom 15. bis 22. August 2013 alle Pakete in dieses Netz über sich umgeleitet – und zwar nicht nur in Italien sondern weltweit.
Dass BGP-Routing anfällig für Missbrauch ist, ist bereits lange bekannt; Vermutungen, dass BGP-Routing auch tatsächlich gezielt missbraucht wird stehen ebenfalls schon seit Jahren im Raum. Durch eine solche Umleitung hätten die Carabinieri einen neuen Kontroll-Server mit der gleichen IP-Adresse aufsetzen können, der dann anstelle des blockierten mit den HT-Trojanern spricht und diese dann mit aktuellen Befehlen versorgt.
Lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(ju)