myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Registrieren Hilfe myGully Toplist Heutige Beiträge
Zurück   myGully.com > Talk > News
Seite neu laden

[Brisant] Traffic von Google, Facebook & Co. über Russland umgeleitet

Willkommen

myGully

Links

Forum

 
Antwort
Ersten ungelesenen Beitrag anzeigen Ersten ungelesenen Beitrag anzeigen  
Themen-Optionen Ansicht
Ungelesen 17.12.17, 02:22   #1
TinyTimm
Legende
 
Benutzerbild von TinyTimm
 
Registriert seit: Aug 2011
Ort: in der Wildnis
Beiträge: 15.518
Bedankt: 34.774
TinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt PunkteTinyTimm leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punkte
Standard Traffic von Google, Facebook & Co. über Russland umgeleitet
Zitat:
Eine fehlerhafte Konfiguration in Zusammenhang mit dem Border Gateway Protocol (BGP) soll zwei Monitoring-Diensten zufolge dazu geführt haben, dass Datenverkehr von Facebook, Google, Apple und Microsoft über Russland umgeleitet wurden. Auch russische Seiten wie Mail.ru und Vkontakte sollen betroffen gewesen sein. Ars Technica hatte über den Vorfall berichtet.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wie die beiden Monitoring-Dienste BGPMon und Qrator meldeten, habe ein bisher kaum bekannter russischer Provider am Dienstagmorgen plötzlich massenhaft falsche Präfixe für besonders populäre Webseiten in seinen BGP-Tabellen veröffentlicht. Betroffen seien demnach 40 bis 80 IP-Adressblöcke gewesen, deren Umleitung teilweise auch von anderen Providern übernommen wurde.

Viele Daten in kurzer Zeit

Der Vorfall selbst hat offenbar nicht lange gedauert. Laut BGPMon war die falsche Umleitung am Dienstag nur zwischen 5:43 und 5:46 Uhr sowie zwischen 8:07 und 8:10 Uhr morgens (MEZ) aktiv. Qrator geht in einem Blogpost allerdings davon aus, dass große Teile der Daten auch zwischen diesen beiden Zeiträumen, also insgesamt rund zweieinhalb Stunden lang, über den russischen Provider liefen.

Auch wenn die zwangsweise Umleitung nur wenige Minuten gedauert haben sollte, ist es aufgrund der hohen Datendurchsätze bei den betroffenen Servern möglich, dass terabyteweise Nutzerdaten zwangsumgeleitet wurden.

Absicht vermutet

"Was diesen Vorfall so verdächtig macht, ist, dass die betroffenen Präfixe alles High-Profile-Ziele waren, plus mehrere spezifischere Präfixe, die normalerweise nicht auftauchen", schreibt BGPMon in einem Blogpost. "Das heißt, es handelt sich nicht um einen einfachen Leak. Jemand fügt diese spezifischeren Präfixe bewusst hinzu, möglicherweise mit dem Ziel, den Traffic zu sich umzuleiten."

Bisher ist offenbar unklar, wer hinter dem russischen Provider steckt. Dessen autonomes System benennen beide Monitoring-Dienste mit AS 39523 (DV-LINK-AS). AS 39523 war demnach offenbar seit Jahren nicht mehr aktiv, mit einer Ausnahme: "Bei einem Blick in unser Archiv ist uns aufgefallen, dass AS 39523 in diesem Jahr schon einmal aktiv war", und zwar im Zusammenhang mit einem großflächigen Internetausfall aufgrund von BGP-Leaks in Japan im August 2017.

Verschlüsselung schützt - noch

Sollte es sich bei dem Vorfall tatsächlich um ein gezieltes Hijacking mit der Intention gehandelt haben, Datenverkehr von Diensten wie Google, Facebook, Apple und Microsoft abzufangen, bleibt unklar, wie die Angreifer an die Daten kommen wollen. Die betroffenen Webseiten setzen inzwischen alle HTTPS/TLS für die Transportverschlüsselung ein. Nutzen die betroffenen Server zudem Forward Secrecy (PFS) in ihrer TLS-Implementierung, erscheint auch ein Sammeln der verschlüsselten Daten wenig nützlich. Selbst wenn in Zukunft wieder ein erfolgreicher Angriff auf TLS bekannt würde, blieben die heute verschlüsselten Daten wohl unlesbar.

Schützen können sich Nutzer der betroffenen Webseiten vor solchen BGP-Hijacking-Angriffen nicht. Qrator sieht die Verantwortung bei Internetprovidern und Backbone-Betreibern. Diese müssten fehlerhafte Routingdaten endlich korrekt herausfiltern. "Wir können natürlich AS 39523 für den Vorfall verantwortlich machen, aber ohne richtige Filter auf Ebene der Transitverkehr-Anbieter werden ähnliche Vorfälle immer und immer wieder auftreten."
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
TinyTimm ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei TinyTimm:
mikebike58 (17.12.17)
Ungelesen 17.12.17, 10:38   #2
DJKuhpisse
Forenbetrieb eingestellt
 
Registriert seit: Jun 2016
Ort: Forenbetrieb eingestellt
Beiträge: 1.305
Bedankt: 913
DJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt PunkteDJKuhpisse mag den Abfluss Flavour! | 41676 Respekt Punkte
Standard
ist den Nutzern eigentlich klar, dass sie IMMER Netze anderer nutzen und dadurch mitgeschnitten werden kann?
Wenn die Daten durch ein Modem der T-Com gehen, kann die mitschneiden. Daher immer verschlüsselte Verbindungen aufbauen. Dann ist das kein Problem mehr.
DJKuhpisse ist offline   Mit Zitat antworten
Ungelesen 17.12.17, 11:16   #3
acherontia
Profi
 
Registriert seit: Jan 2013
Beiträge: 1.694
Bedankt: 1.922
acherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkteacherontia leckt gerne myGully Deckel in der Kanalisation! | 112369119 Respekt Punkte
Standard
Zitat:
Zitat von THY Pilot Beitrag anzeigen
Der Putin ist schuld daran!
Wer sonst? Da der Rest der Welt nur aus Engeln a la AmiNatoEU besteht MUSS ja für jeden Mißstand Satan Putin verantwortlich sein!
acherontia ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei acherontia:
Oyabun (17.12.17)
Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.
Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:54 Uhr.


myGully - Archiv - Nach oben
Sitemap

().