Leute, wir müssen uns über den Begriff BGP-Hijack unterhalten. Müssen wir das wirklich? Und was hat das eigentlich mit Twitter zu tun? Was ist eigentlich BGP? Fragen über Fragen. Ich schaue mal, was ich so an Antworten zusammen bekomme. Jedenfalls ist mir etwas untergekommen, worüber ich mir mal ein paar Gedanken machen will. Vielleicht ist das Ganze für euch ja nicht spektakulär genug. Aber es ist schon spannend, was da in diesem unserem Internet los war.
BGP-Hijack? Was ist damit gemeint?
BGP ist die Abkürzung für das Border Gateway Protocol. Das ist quasi das Routingprotokoll für den Internet-Verkehr. Es verbindet autonome Systeme miteinander. Diese haben dann ihre eigene Nummern, wie die von Vodafone, der Deutschen Telekom, dem Deutschen Zentrum für Luft- und Raumfahrt und so weiter. Diese Systeme werden untereinander angesprochen und verteilen dann den Internet-Verkehr weiter. Die autonomen Systeme sind untereinander verbunden und stellen so das Internet dar.
Ein BGP-Hijack ist dann ein Angriff oder Angriffsversuch auf eben dieses Protokoll und damit auf die autonomen Systeme. Da das BGP über Announcements funktioniert, also Ankündigungen, ist dies der neuralgische Punkt. Ein BGP-Hijack ist quasi ein Angriff auf diese Announcements. Dem empfangenden System wird praktisch etwas falsches vorgegaukelt. So können dann Routen ausgeschlossen werden und falsche Informationen übermittelt werden.
Wir sind uns vermutlich darüber einig, dass so ein BGP-Hijack ein Angriff auf das Internet ist und aufgrund all der vielen vernetzten Systeme wie Autos, Smart Home, Sensorik etc. eigentlich auch ein Angriff auf die Zivilisation. Jetzt muss man das nicht ganz so hoch hängen, das ist mir schon klar. Aber die autonomen Systeme, die über BGP den Internet-Verkehr steuern, werden schon speziell abgesichert sein, sodass da nicht gleich irgendwer eindringen kann.
Aber was hat das mit Twitter zu tun?
Gestern war Twitter mal „weg“. Gut, es kann immer mal vorkommen, dass irgendein Dienst für eine Weile nicht erreichbar ist. Wie oft haben wir mitbekommen, wenn Facebook ausgefallen war? Gestern Nachmittag war nun also Twitter nicht erreichbar. Das ist auch nichts neues. Aber dann fand man heraus, dass der Internet-Verkehr in halb Europa betroffen war. Tests ergaben, dass Teile des Verkehrs beim russischen Mobilfunk-Anbieter MTS versandeten.
Wie konnte das sein? Was hat der Verkehr, den ein europäischer User in Richtung Twitter erzeugt, in Russland verloren? Diese – nun ja – Umleitung erfolgte wohl am Amsterdamer Internetknoten AMS-IX. Der Verkehr wurde von Vodafone (AS3209) zu MTS (AS8359) weitergeleitet. Und das darf ja nicht sein. Die Vermutung liegt hier nahe, dass Russland versucht hatte, den Internet-Verkehr umzuleiten, indem falsche Announcements verteilt wurden. Also ein BGP-Hijack, oder?
Nach einer knappen Stunde war der Spuk offenbar wieder vorbei. Die Routenänderung wurde zurückgesetzt. Anschauen könnt ihr euch das hier. Dass die ganze Geschichte am Ende doch recht schnell vorbei war, lag laut GOLEM allerdings daran, dass Twitter eben diese Routen, die man nutzt, signiert. Dies wird als zusätzliche Absicherung vor einem BGP-Hijack angesehen. Wegen solcher Begebenheiten gibt es auch den Dienst Cloudflare.
Wenn allerdings Dienste existieren, die diese Signaturen nicht beachten, kann Verkehr umgeleitet werden. So habe ich auch mitbekommen, dass dieser BGP-Hijack offenbar über mehrere russische Internetprovider gefahren wurde. Die Rede ist unter anderem von dem genannten MTS, aber auch von RTCOMM. Ob außer Twitter andere Dienste von diesem Angriff betroffen waren, lässt sich derweil aber schlecht beurteilen.
Was bedeutet das jetzt?
Russland schottet sich ja immer weiter ab. Und es wird auch von vielen anderen Staaten abgeschottet. Man meidet sich gegenseitig. Wer weiß, vielleicht war das Ganze ja der Versuch, Twitter aus Russland zu verbannen, und dabei ist etwas schief gegangen. Das muss keine große Sache sein. Was aber, wenn doch? Schließlich könnte Netzwerkverkehr abgehört werden. Und was noch viel schlimmer ist: Es könnten Angriffe auf kritische Infrastruktur gefahren werden. Davon rede ich eigentlich.
Und ganz plötzlich wird bewusst, dass der Internet-Verkehr alles andere als sicher ist. Natürlich könnte das Alles eine einmalige Geschichte gewesen sein. Ein Fehler, Irrtum, was auch immer. Aber ich muss wohl 3 Euro ins Phrasenschwein werfen, wenn ich sage, dass es keine Zufälle gibt. Während Russland die Ukraine plattmachen will, bauen sie vielleicht noch an etwas anderem. Wer weiß das schon? Insofern: Wundert euch mal nicht, wenn mal wieder irgendein Dienst ausfällt. Es könnte an Russland liegen.
Dass Russland die Social Media massiv einschränkt, verbietet, den Zugang verhindert war auch in der Presse zu lesen.
Sollen sie halt… sie werden sehen, was es ihnen bringt!
Mit welchen legalen oder illegalen Methoden sie das machen oder auch andere an den tieferen Ebenen der Netzinfrastruktur rumwerken, interessiert mich nicht wirklich. Weil ich daran sowieso nichts ändern kann und es den Kundigen überlassen muss, Angriffe zu analysieren, abzuwenden, zu reparieren.