Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Mai 2010
16.05.2010 Internetprotokoll
     
zurück zum Verweis zur nächsten Überschrift IP-Adressen ohne Beweiswert

 

 
Manuel Schmitt warnt bei :
Die Strafverfolgung konzentriert sich ausschließlich auf IP-Adressen (in Verbindung mit Zeitstempeln zur Vermeidung von Fehlern in dynamisch zugewiesenen Adressbereichen). Kein Gegenstand der Untersuchung ist jedoch, ob eine IP-Adresse zum Zeitpunkt der Straftat durch gefälschte BGP-Routen "entführt" worden war. (1)

Dürfen wir auf gar nichts mehr vertrauen?

Anlass geben ihm das Border Gateway Protocol - BGP (2) - und die Meldung, dass im April 2010 ein chinesischer Provider einen Teil des Internets entführt hat (3).

Was ist passiert?

Der chinesische Internet-Provider IDC China ist ein autonomes System - AS - und betreibt einen BGP-Router, der dem Inter-Netz meldet, mit welchen anderen Partnern er verbunden ist (siehe unten). Diese Meldungen nehmen die Netzknoten auf und speichern sie. Mit diesen Daten arbeitet das BGP und die Netzknoten senden an das AS Nutz-Datenpakete, weil sie davon ausgehen, dass dieses Zwischennetz sie an das richtige Ziel weiter leitet.

Das ging aber schief, weil das AS falsche Partnernetze meldete und die angelieferten Datenpakete irgendwo in China versandeten. Das erfolgte unkontrolliert, weil das BG-Protokoll keine Kontrolle, sondern Vertrauen voraussetzt.
 

 
Der böswillige Einsatz einer BGP-Manipulation kann dazu führen, dass bestimmte Ziele im Internet vorübergehend nicht erreichbar sind. Das kann für kriminelle oder kriegerische Kampagnen durchaus von Interesse sein.

Dauerhaft ist dieser Zustand aber nicht, weil das Internetprotokoll auch die Rückantwort erwartet, dass die Datenpakete vollständig am Ziel angekommen sind. Die falsche Verbindung löst dadurch eine vermehrte Netzlast wegen der Fehlermeldungen aus. Sie führen schließlich dazu, dass das fehlerhafte AS umgangen und die Signale über andere Wege geleitet werden.

Die böswillige BGP-Manipulation eignet sich zur Verschleierung der Netzstationen nur, wenn am Ende tatsächlich gemeldet wird, dass alle Datenpakete angekommen sind. Das machen sich die Schurkenprovider zunutze, die getarnte Hostspeicher betreiben, deren Standort vor der Öffentlichkeit, Abmahnern und der Strafverfolgung verschleiert werden sollen (4).

Diese Fälle fallen dadurch auf, dass die Standortmeldungen, die mit dem Tracerouting oder anderen Werkzeugen auf der Grundlage des Internetprotokolls ermittelt werden, unsinnig sind, weil sie der physikalischen und wirtschaftlichen Logik des Weltnetzes widersprechen (5).
 

zurück zum Verweis kriminelle Logik
 

 
Schmitts Warnung gilt nur für die Fälle, dass ein Schurkenprovider die Identität seines Kunden tarnt, um ihn der Verfolgung zu entziehen. Es ist nicht zu erwarten, dass dadurch Unschuldige verfolgt werden, weil das Whois Protection und die Tarnung von Servern Standorte und Identitäten verschleiern, nicht aber anderen Handelnden unterschieben.

Geniale Verbrecher könnten hingegen auf die Idee kommen, den Internetauftritt eines Opfers komplett nachzubauen und gezielte Veränderungen daran vorzunehmen. Das könnten böswillige Inhalte jeder Art sein. Das Phishing in der Form, dass manipulierte Webseiten eingesetzt werden, hat diese Variante offenbar noch nicht entdeckt.

Wenn eine solche Manipulation mit einer BGP-basierten Umleitung verbunden wird, dann lassen jedenfalls die Netzinformationen keine Entschuldigung des Opfers zu.

Das funktioniert nur dann auf einfache Weise, wenn das Opfer selber ein AS ist, weil die BGP-Umleitung nur in Bezug auf andere Netzknoten funktioniert. Ein Teilnehmer innerhalb eines AS - also ein Host-Kunde neben anderen - kann jedenfalls von außen nicht so ohne weiteres angegriffen werden. Der Angreifer müsste ganz gezielt die Hostadresse des Opfers filtern und auf die gefälschte Präsenz umleiten. Mit größerem Aufwand ginge auch das.
 

 
Für die Strafverfolgung stellt sich das Problem nicht in dieser Brisanz. IP-Adressen sind ganz überwiegend von Interesse, weil sie von einem Zugangsprovider aus seinem Bestand seinem Kunden zugewiesen wurden (Bestandsdatenabfrage), der damit Böses veranstaltete. Dabei geht es nicht um die Ziel-, sondern um die Ausgangsadresse. Deren Manipulation bei einem TK-Unternehmen kann zunächst in dem Bereich der Legende angesiedelt werden.

Schmitts Warnung trifft also in ihrer Allgemeinheit nicht zu. Dafür verdient er eine symbolische Ohrfeige!

Unabhängig von dem, was er geschrieben und durchdrungen hat, ist seine Warnung berechtigt. Mit Routing-Manipulationen lassen sich Fehlinformationen verbreiten, die Andere in echte Schwierigkeiten bringen können. Jedenfalls dann, wenn der Angreifer über ein AS, über tiefes Wissen und über die Ressourcen verfügt, ein Opfer richtig fies anzugreifen.

Das kann dann der Fall sein, wenn das Opfer ein Kunde des Täter-AS ist, oder dann, wenn der Täter sehr aufwändig und ganz gezielt die Subadresse seines Opfers umleitet, um ihm unlautere Aktivitäten unterzuschieben.

Der dazu erforderliche Aufwand ist groß und macht solche Machenschaften unwahrscheinlich. Ausgeschlossen sind sie hingegen nicht.
 

zurück zum Verweis Routing über den Globus

 

 

 
Die Grafik links stellt die Meldung (3) mit einem angenommenen Beispiel nach: Ein Datenpaket aus dem Osten der USA soll nach Japan gesandt werden. Dazu bieten sich die nordatlantischen Seekabel, die leistungsstarken Netze in Westeuropa sowie die Seekabel im Mittel- und im Roten Meer an, weil der chinesische Provider eine gute Verbindung nach Japan verspricht. Statt nach Japan sendet der Provider die Datenpakete in das chinesische Inland, wo sie die Zieladresse nicht finden und nach kurzer Zwischenspeicherung verenden, weil sie gelöscht werden.
 

zurück zum Verweis Anmerkungen
 


(1) Manuel Schmitt, IP-Adressen nur mit sicherem Routing eindeutig, Heise online 13.05.2010

(2) Border Gateway Protocol

(3) Chinesischer Provider "entführt" kurzzeitig Teile des Internets, Heise online 13.04.2010

(4) anonyme Server

(5) Detektion
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 16.05.2010