China: Man-in-the-middle-Angriff auf die ganze Welt?

Es häufen sich Berichte, dass China am 8. April für ca. 18 Minuten 15% des gesamten Internet-Traffics der Welt „mitgelauscht“ hat.

Wie? Offensichtlich hat der Server des staatlich kontrollierten Internet-Anbieters anounced, dass er für so gut wie jedes verlangte Ziel-Subnetz die kürzeste und schnellste Route habe. Nach und nach leiteten dann also die Router der verbundenen anderen (ausländischen) ISPs den Großteil ihres Traffics nach China – egal, wo er eigentlich hin sollte.

Auf die gleiche Weise hat Pakistan vor einiger Zeit mal versucht, YouTube zu blockieren – mit dem Ergebnis, dass irgendwann fast alle weltweiten YouTube-Anfragen in Pakistan landeten, wo sie nicht bearbeitet wurden (was Ziel der Aktion war, allerdings wurde weit darüber hinaus geschossen, denn Pakistan wollte eigentlich nur für Pakistan blocken und hat vergessen, dass das Internet keine Länder kennt.)

Routing-Fehler passieren ab und zu auch mal versehentlich, aber üblicherweise bricht dann sehr schnell alles zusammen, weil am anderen Ende einfach nicht die Infrastruktur steht, mit den plötzlichen vielen Anfragen umzugehen. China jedoch hat die Anfragen anscheinend alle problemlos an die verlangten Ziel-Hosts weitergeleitet, was enormen Aufwand gekostet haben muss, und für sich schon ziemlich beeindruckend ist.

Das hat auch dazu geführt, dass die Aktion erstmal keinem aufgefallen ist. Bei dem Gedanken daran, dass der größte Teil des Traffics unverschlüsselt war, und anscheinend auch einen Teil verschlüsselter US-Militär-Daten enthielt, werden Sicherheitsexperten, allen voran amerikanische, jetzt aber ein bisschen nervös, denn wenn China den Traffic nicht einfach nur brav weitergeleitet, sondern analysiert, oder gespeichert hat, dann wäre das wohl der größte Man-in-the-Middle-Angrff der Geschichte des Internets.

Wir lernen also mal wieder, wie wichtig Ende-zu-Ende-Verschlüsselungen wie HTTPS sind, zumindest wenn man sein Vertrauen in ISPs an deren Herkunftsland festmacht und daher einem chinesischen weniger traut – denn Traffic mitschneiden kann jeder Knotenpunkt.

26 Ergänzungen

  1. Auch SSL hilft nichts, wenn China mithören will. Grund dafür ist, dass Chinas SSL-CAs in fast jedem Browser vertraut werden und sie daher eigene Zertifikate unterschieben können,ohne dass sich der Browser beschwert.

    U.a. Fefe hat dazu schon einiges geschrieben und gesagt (alternativlos-podcast).

  2. @_Flin_
    Na ja. Jeder der seine Daten in der Clound speichert ohne die Verbindung zu schützen ist selber schuld. Das macht man einfach nicht.

    Und das soll wirklich niemand bemerkt haben? Wird wirklich niergends die Laufzeit der Packete überwacht? Wird den niergends aufgezeichnet was für Wege die Packete genommen haben?

    Für mich ist die Sache einwenig weit hergeholt.

  3. @Stefan: Stimmt – aber nicht bei dieser Art „Attacke“. China hat ja nur geroutet und an die korrekte Stelle weitergeleitet. Im Prinzip ist das allein ja gar keine Attacke – sie haben den anderen ja nur Arbeit abgenommen ;-) die Frage ist, wieso sie das wohl gemacht haben…

    Massiv Zertifikate für diesen gesamten Traffic zu fälschen, und an falsche Server zu routen wäre nochmal eine ganz andere Hausnummer. Ich möchte ich so weit aus dem Fenster lehnen, zu behaupten dass das in dem Ausmaß (15% des Welt-Traffics) wirklich nicht möglich ist.

    In kleineren, gezielten Attacken aber natürlich, ohne Frage. Bei Fefes berechtigter SSL-Kritik vertrete ich aber den Standpunkt, dass wir erstmal schön überhaupt SSL machen sollten, bevor wir uns darüber Gedanken machen ;-)

    1. Denke schon dass SSL klar ein super Hinweis im Artikel ist. Der Datenverkehr geht halt verschluesselt ubers Netz und ueberall wo die Daten vorbeikommen (bei diesem Vorfall gezwungenermassen ueber China) koennen Sie nicht im Klartext gelesen werden.

      Das mit den gefaelschten Zertifikation wurde doch schon entkraeftet. Das ist natuerlich schon moeglich – nur muss die Gegenstelle ja im Vorab mit dir eine Verbindung eingehen mit dem gefaelschen Zertifikat. Das ist ja eine gezielte Attake auf Verbindungen und davon ist im vorliegenden Fall ueberhaupt nicht die Rede.

      Das einzige Horrorszenario das ich mir hierbei noch vorstellen koennte ist dass die Verschluesselung die bei SSL eingesetzt wird bereits im (von manchen Regierungen) grossen Stile zu knacken sind. Glaube ich aber nicht – aktuelle Schluessel mit 2048 Bits oder noch groesser gelten – meines Wissens nach – eigentlich als sicher.

      Aber ich denke der Punkt war ja dass man sich bewusst sein sollte dass Daten unverschluesslet prinzipiell ueberall im Internet per Klartext rumschwirren koennen (je nach Routing(-Fehler)).

  4. Kennt da jemand genauere Details, sprich Zeitfenster oder welche Prefixe betroffen waren?

    Von der RIPE gibt es ein Tool Names BGPlay, damit kann man sich genau anschauen, wer wann was announced hat.

  5. Die USA haben ja nur Angst, dass China sie einfach nur in Ihrer Praxis die Daten mitzulesen durch einfach größere und bessere Strukturen überrennt. Wie lange haben die USA das wohl schon praktiziert?

    Wirtschaftsspionage ist nur positiv – jede kopierte Erfindung fördert die Weiterentwicklung einer Idee. Wenn wir das ganze noch öffentlich und transparent machen, haben wir wirklich eine radikale Marktwirtschaft.

    Zitat Franz Hörmann (Finanzwissenschaftler): „Angeblich besitzen am „vollkommenen Kapitalmarkt“ alle Marktteilnehmer die gleichen Informationen und Zukunftserwartungen. Wäre so etwas in der Realität wirklich möglich, dann besäßen auch alle Güter auf diesem Markt für alle exakt den gleichen Wert bzw. Preis. Das würde aber bedeuten, dass überhaupt keine Transaktionen mehr stattfänden, da keine Gewinne mehr möglich sind, denn bei gleichem Informationsstand und gleicher Zukunftserwartung stimmen Preis und Wert für alle Marktteilnehmer überein, sie können weder durch Kauf noch durch Verkauf Gewinne erzielen, sondern verlieren nur noch die Transaktionskosten.“

    Quelle: http://www.heise.de/tp/r4/artikel/33/33666/1.html

    Es stzellt sich also nicht wirklich die Frage ob sowas gemacht wird oder nicht sondern eher die Frage wozu es gemacht wird und was möglich wäre, wenn man damit offener umgehen würde und nicht den Teufel an die Wand malt.

  6. SSL und Zertifikate hin oder her. Man sollte nicht vergessen das China aktuell den größten Supercomputer der Welt hat

    Vielleicht brauchen sie den nur um die ganzen verschlüsselten Daten zu bruteforcen. ;-)

  7. diese nachricht wird die proponents von nationalen internetzen mit grenzuebergaengen und -kontrollen freuen.

    waere eigentlich auch lustig, wenn eine staatliche kontrolle des internets durch negative darstellung von staatlicher filterung staatlichem eingriff erreicht werden wuerde.

  8. Coole Nummer,
    Respekt an China!

    Oh und auch beeindruckend, dass die Interkontinentalleitungen das einfach so mitgemacht haben. Normalerweise hätte ich erwartet, dass es so viele Kollisionen gibt, dass die Datenraten massiv runter gehen. Aber es kann auch durchaus sein, dass diese 15% da entsprechend gut eingependelt waren, sprich man hat vorher ausgerechnet, wie viel man „ziehen“ sollte bzw. einfach aufgehört, wenn zu viele Pakete verloren gingen.

    Also wie gesagt, Respekt für die technische Leistung!
    Ansonsten gilt: So ist IP-Routing halt designt und im Prinzip ist das auch gut so. Was fehlt ist halt die Möglichkeit, dass Router selber messen wie viele Daten verloren gehen und ob die Laufzeiten wirklich so gut sind, anstatt sich darauf zu verlassen.
    In welchem Rahmen das sinnvoll ist ist nur die Frage… man kann ja schlecht jedes Paket einmessen und nochmal über eine andere Route schicken. Wohl aber (siehe YT-Fall) könnte man nachdem das gleiche Paket drei Mal verloren ging eine andere Route versuchen.

  9. Dumm gefragt:
    Wie ist das mit Email? Ist da die Verbindung zwischen Mailservern immer mit SSL?
    Wenn ich SSL eingebe, betrift das ja nur die Verbindung von meinem Rechner zu meinem Mailserever, oder?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.