Foto: Jorm S - shutterstock.com
Die US-amerikanische Regulierungsbehörde Federal Communications Commission (FCC) leitet eine Untersuchung zu Sicherheitsfragen im Zusammenhang mit dem Border Gateway Protocol (BGP) ein. Der am Montag angekündigte Schritt wurde als Reaktion auf "Russlands eskalierende Handlungen in der Ukraine" eingeleitet, heißt es in der Mitteilung der Kommission zur Untersuchung.
Border Gateway Protocol - Erklärung
BGP ist das im Internet eingesetzte Routing-Protokoll, das sicherstellt, dass die unabhängig verwalteten Netze - die sogenannten autonomen Systeme (AS) -, aus denen das globale Internet besteht, miteinander kommunizieren können. Autonome Systeme werden in der Regel von Internet-Service-Providern (ISPs) betrieben.
Das ursprüngliche Design, das laut FCC auch heute noch weit verbreitet ist, enthält keine ausgefeilteren Sicherheitsmerkmale. So sind die BGP-Router beispielsweise in ihrer Grundkonfiguration für Spoofing-Angriffe anfällig. Zudem können Fehlkonfigurationen der BGP-Router zu einer Beeinträchtigung des Internetverkehrs führen, oder diesen auf eine falsche Route lenken. Angreifer könnten dies nutzen, um beliebte Dienste wie etwa YouTube oder gar ganze Staaten vom Internet abzuklemmen. So trennte etwa Ägypten während der Revolution 2011 das gesamte Land vom Internet, um einen freien Informationsfluss zu verhindern.
Lesetipp: DDoS und BGP Hijacking abwehren - Analysieren Sie schon die DNA des Internets?
"Die potenziellen Folgen eines BGP-Hacks sind extrem", so die FCC, die darauf hinwies, dass ein solcher Angriff auch Auswirkungen auf Kritische Infrastrukturen wie Finanzmärkte, Transport- und Versorgungssysteme hätte. Die Internet Engineering Task Force und das National Institute of Standards and Technologgy haben zwar bereits mehrere Sicherheitsstandards für das BGP geschaffen. Viele Netzwerke nutzen diese laut FCC jedoch nicht und seien daher anfällig für Attacken.
Die Untersuchung der Kommission verfolgt daher mehrere Ziele, darunter
die Identifizierung möglicher Schäden, die durch böswillige Angriffe auf BGP entstehen könnten,
Methoden zur Überwachung von BGP-Angriffen und
mögliche Wege zur Beschleunigung der Einführung von Sicherheitsstandards für BGP.
"Um die Führungsrolle der USA weiterhin zu gewährleisten, müssen wir nach Möglichkeiten suchen, um vertrauenswürdige Innovationen für eine sicherere Kommunikation und kritische Infrastruktur zu fördern", so die FCC.
Auswirkungen von BGP-Hijacks
BGP-Hijacks können sowohl aus Versehen als auch durch böswillige Handlungen erfolgen - so oder so können ihre Auswirkungen jedoch weitreichend sein, wie die folgenden Beisiele zeigen.
Im Februar 2008 wurde Pakistan Telecom durch einen Gerichtsbeschluss dazu gezwungen, YouTube-Verkehr in Pakistan zu blockieren. Technisch wurde dies umgesetzt, indem eine falsche Route zum Netzwerk von YouTube in IBGP eingespeist wurde. Durch einen Konfigurationsfehler wurde diese falsche Route jedoch nicht nur in Pakistan verwendet, sondern irrtümlich auch via EBGP an andere Internetanbieter verteilt, was insbesondere in Asien zu mehrstündigen Blockaden von YouTube führte.
Im Februar 2009 wurden über einen tschechischen BGP-Router zu lange AS-Pfade an öffentliche BGP-Router weitergeleitet. Einige BGP-Router hatten Probleme in der Verarbeitung dieser langen AS-Pfade, so dass es zu Beeinträchtigungen des Internetverkehrs kam. Administratoren können durch eine Konfiguration, in welcher die maximale Länge des akzeptierten AS-Pfades beschränkt wird, einem solchen Problem entgegenwirken.
Bei einem Vorfall im April 2020 wurde der Datenverkehr, der für einige der größten Internet-Konzerne, darunter Google, Facebook und Amazon, bestimmt war, kurzzeitig über den staatlichen russischen ISP Rostelecom umgeleitet.
Bei einem weiteren Hijack im selben Monat wurde der Datenverkehr u. a. von Visa und Mastercard zu Rostelecom geleitet.
Erst im vergangenen Jahr, am 4. Oktober 2021, waren für ca. sechs Stunden weltweit alle Dienste von Facebook, Instagram und Whatsapp nicht erreichbar. Dies ging auf eine fehlerhafte Konfiguration von Facebooks selbst gehosteten BGP-Routern zurück.
Das von der Internet Society betriebene Projekt Mutually Agreed Norms for Routing Security (MANRS) hat allein im Jahr 2021 rund 775 Vorfälle als mögliche BGP-Hijacks identifiziert.
"Die FCC-Ankündigung bezieht sich auf BGP-immanente Probleme, gilt aber auch für das Ökosystem der Netzanbieter und -betreiber. Sie bittet um Stellungnahmen zu Sicherheitsvorkehrungen, Kontrollen und dem erforderlichen Maß an regulatorischer Aufsicht über das gesamte Ökosystem von Netzbetreibern und -anbietern (und noch einiges mehr)", sagte Jeff Pollard, Vice President und Principal Analyst bei Forrester. "Dabei geht es weniger darum, Neues oder Interessantes in Bezug auf BGP zu entdecken, sondern vielmehr darum, die notwendigen Änderungen voranzutreiben, um BGP angesichts seiner Bedeutung sicherer zu machen. Das Internet funktioniert nicht ohne BGP", so Pollard.