Dipl.-Inform. Carsten Eilers

Die Probleme mit dem BGP sind nicht neu. Mal abgesehen von den im Artikel beschriebenen Vorfällen waren sie auch schon früh ein Thema bei den Sicherheitsforschern.

Schon 1989 warnte Steven M. Bellovin unter anderem vor der Manipulation von Routen über BGP (PDF). Und 2008 haben Anton Kapela und Alex Pilosov auf der DEF CON 16 MitM-Angriffe mit Hilfe des BGP vorgeführt (Material). Dabei haben sie gezeigt, wie sich über BGP-Manipulation der Netzwerkverkehr für die Konferenz in Las Vegas über einen Router in New York umleiten lässt, der sie dann an das eigentliche Ziel weiterleitet.

2009 beschloss die Internet Society, die Routen abzusichern (PDF). Die zuständige Working Group der IETF war immerhin schon 2012 mit ihrer Arbeit fertig. Jetzt muss das Ganze nur noch implementiert und ausgerollt werden, schon sind die Routen sicher. Was nur sehr langsam passiert, wie Wim Remes gezeigt hat.

Es gibt allerdings auch gute Gründe für die Verzögerungen bei der Einführung der Resource Public Key Infrastructure (RPKI). Das bisher nicht hierarchische Routing-System bekommt damit eine Hierarchie übergestülpt, und die lässt sich zum einen missbrauchen und wirft zum anderen Fragen nach der Zuverlässigkeit auf.

So können über RPKI auch Routen zurück gezogen werden, was Staaten mit entsprechendem Einfluss die Möglichkeit gibt, unliebsame AS aus dem Netz zu verbannen. Das Bedrohungsmodell für die RPKI geht davon aus, dass den Authorities vertraut werden kann und das Routing angegriffen wird. Was passiert, wenn man es umdreht und nicht vertrauenswürdige Authorities hat, wird erst seit kurzem untersucht.

Und die Ausgabe und Verwaltung der Route Origin Authorizations (ROA) stellt besondere Anforderungen an die ausgebenden Stellen. Wir haben schließlich genug Probleme mit dem Zertifizierungssystem für SSL/TLS, da können wir ähnliche Probleme bei der Absicherung der Routen nun wirklich nicht brauchen. Dass die AS ihre Bedenken erst ausgeräumt haben möchten, bevor sie RPKI einführen, ist verständlich.

Aber den meisten von uns bleibt in diesem Fall sowieso nur die Beobachterrolle, zum Beispiel beim BGP Stream. In der Hoffnung, dass dort nicht plötzlich eine für uns relevante Route, zum Beispiel zu unserem Webserver oder auch dem unserer Bank, auftaucht.

Und weil ich gerade SSL/TLS erwähnt habe: Über die Manipulation von Routen sind zwar MitM-Angriffe möglich, so lange der MitM aber kein passendes Zertifikat hat, kann er auf den Inhalt der mit SSL/TLS geschützten Verbindungen nicht zugreifen.

Leider kann er sich ein gültiges Zertifikat unter Umständen auch über BGP-Manipulationen verschaffen. Aber die (Un)sicherheit von SSL/TLS und deren Zertifikaten ist eine andere Geschichte.

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Wim Remes; Black Hat USA 2015: "Internet Plumbing for Security Professionals: The State of BGP Security"
• [2] Vincent J. Bono; North American Network Operators Group: "7007 Explanation and Apology"
• [3] Avi Freedman; North American Network Operators Group: "7007: FROM THE HORSE'S MOUTH"
• [4] Adrian Chadd: "[lore] Murphy's Law Strikes Again: AS7007"
• [5] RIPE Network Coordination Centre: "YouTube Hijacking: A RIPE NCC RIS case study"
• [6] Martin Brown; Dyn Research: "Pakistan hijacks YouTube"
• [7] Andree Toonk; BGPmon: "Chinese ISP hijacks the Internet"
• [8] Andree Toonk; BGPmon: "Massive route leak cause Internet slowdown"
• [9] Doug Madory; Dyn Research: "Global Collateral Damage of TMnet leak"
• [10] Andree Toonk; BGPmon: "How Hacking Team Helped Italian Special Operations Group with BGP Routing Hijack"
• [11] Jim Cowie; Dyn Research: "The New Threat: Targeted Internet Traffic Misdirection"
• [12] Andree Toonk; BGPmon: "Turkey Hijacking IP addresses for popular Global DNS providers"
• [13] Pat Litke, Joe Stewart; Dell SecureWorks: "BGP Hijacking for Cryptocurrency Profit"
• [14] Andree Toonk; BGPmon: "The Canadian Bitcoin Hijack"
• [15] Internet Society: "Resource Public Key Infrastructure (RPKI)"
• [16] ARIN: "Resource Public Key Infrastructure (RPKI)"
• [17] RIPE: "Resource Certification (RPKI)"
• [18] Artyom Gavrichenkov; Black Hat USA 2015: "Breaking HTTPS with BGP Hijacking"
• [19] Dan Hubbard, Andree Toonk; Black Hat USA 2015: "BGP Stream" (Präsentation auf SlideShare)
• [20] Steven M. Bellovin: "A Look Back at "Security Problems in the TCP/IP Protocol Suite"" (PDF)
• [21] Anton Kapela, Alex Pilosov; DEF CON 16 (2008): "Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack" (Material)
• [22] Internet Society: "Securing Routing Information" (PDF)
• [22] IETF Working Group Secure Inter-Domain Routing (sidr)
• [23] BUSEC: Boston University Security Group: "Hardening the RPKI Against Faulty or Misbehaving Authorities"

Carsten Eilers