In einem mehr als 300 Seiten umfassenden Bericht (PDF) gab die US-China Economic and Security Review Commission dem US-Kongress heute einen detaillierten Überblick über das Geschehen in China – einschließlich eines merkwürdigen Vorfalls, bei dem 15 Prozent des weltweiten Internetverkehrs plötzlich über chinesische Server an seinen Bestimmungsort geleitet wurden.
So beschreibt die Kommission den Vorfall, der sich Anfang des Jahres ereignet hat:
Am 8. April 2010 zeichnete sich China Telecom etwa 18 Minuten lang für fehlerhafte Netzwerkverkehrsrouten verantwortlich, welche den US-amerikanischen und anderen ausländischen Internetverkehr anwiesen, über chinesische Server zu gehen. Andere Server auf der ganzen Welt nahmen diese Wege schnell an und leiteten den gesamten Datenverkehr über Server in China an etwa 15 Prozent der Internet-Ziele weiter. Dieser Vorfall betraf den Verkehr zu und von den Standorten der US-Regierung (‚.gov“) und des Militärs (‚.mil“), einschließlich derjenigen für den Senat, die Armee, die Marine, das Marinekorps, die Luftwaffe, das Verteidigungsministerium, die Nationale Luft- und Raumfahrtbehörde, das Handelsministerium, die National Oceanic and Atmospheric Administration und viele andere. Bestimmte kommerzielle Websites waren ebenfalls betroffen, wie die für Dell, Yahoo!, Microsoft und IBM.
Schuld daran war „IP Hijacking“, ein bekanntes Routing-Problem in einem weltweiten System, das weitgehend auf Vertrauen basiert. Router verlassen sich auf das Border Gateway Protocol (BGP), um die beste Route zwischen zwei IP-Adressen herauszufinden; wenn eine Partei für falsche Routinginformationen wirbt, können Router auf der ganzen Welt davon überzeugt werden, Verkehr auf geografisch absurden Wegen zu senden.
Dies geschah 2008, als Pakistan YouTube blockierte. Der Block war nur für den internen Gebrauch gedacht und stützte sich auf neue Routing-Informationen, die YouTube-Anfragen nicht an die Server des Unternehmens, sondern in ein „schwarzes Loch“ senden würden.
Wie wir damals beschrieben haben, „entging diese Routinginformation von Pakistan Telecom zu seinem ISP PCCW in Hongkong, der den Weg in den Rest der Welt propagierte. Also würden alle Pakete für YouTube stattdessen im Schwarzen Loch von Pakistan Telecom landen.“ Der Fehler brach den YouTube-Zugriff über weite Teile des Internets hinweg.
Die Situation in China scheint eine ähnliche Ursache zu haben. Die falschen Routing-Informationen kamen von IDC China Telecommunications und wurden dann von der riesigen China Telecom aufgegriffen. Als andere Router auf der ganzen Welt die neuen Informationen akzeptierten, begannen sie 18 Minuten lang riesige Mengen an US-Verkehr durch chinesische Server zu leiten.
Wie bei vielen Dingen, die mit Cyberangriffen und Internetsicherheit zu tun haben, ist es schwer zu wissen, ob hier etwas Schlimmes passiert ist. Die ganze Sache könnte ein einfacher Fehler gewesen sein. Außerdem ist der Internetverkehr nicht sicher und durchläuft bereits viele Server, die sich der Kontrolle entziehen. Inhalte, die sensibel, aber dennoch für das öffentliche Internet geeignet sind, sollten verschlüsselt werden. Dennoch weist die Kommission auf die vielen möglichen Probleme hin, die eine solche Entführung verursachen könnte.
Obwohl die Kommission nicht feststellen kann, was die chinesischen Telekommunikationsunternehmen mit den entführten Daten gemacht haben, könnten derartige Vorfälle eine Reihe schwerwiegender Folgen haben. Diese Zugriffsebene könnte die Überwachung bestimmter Benutzer oder Standorte ermöglichen. Es könnte eine Datentransaktion stören und einen Benutzer daran hindern, eine Verbindung zu einer Website herzustellen. Es könnte sogar eine Umleitung von Daten zu einem Ort ermöglichen, den der Benutzer nicht beabsichtigt hat (z.B. zu einer “gefälschten“ Seite). Der Chief Security Officer von Arbor Networks, Danny McPherson, hat erklärt, dass die Menge der betroffenen Daten hier dazu dienen könnte, einen gezielten Angriff zu verbergen.
Was ist mit der Verschlüsselung?
Möglicherweise am beunruhigendsten ist, dass durch die Verbreitung von Zertifizierungsstellen für Internetsicherheit die Kontrolle über umgeleitete Daten es einem Telekommunikationsunternehmen ermöglichen könnte, die Integrität von vermeintlich sicheren verschlüsselten Sitzungen zu gefährden.
Die Verbreitung von Zertifizierungsstellen bedeutet, dass „nicht vertrauenswürdige“ Zertifizierungsstellen viel schwieriger zu überwachen sind, und es gibt Spekulationen darüber, dass Regierungen jetzt daran beteiligt sind, Zugang zu Zertifikaten zu erhalten, um die Verschlüsselung zu brechen.
China sucht seit Jahren offen nach Verschlüsselungsinformationen aller Art, einschließlich des Quellcodes für Router, Netzwerk-Intrusionssysteme und Firewalls. Diese Regeln traten im Mai 2010 in Kraft und verlangen, dass ausländische Unternehmen diese Informationen den chinesischen Behörden vor dem Kauf solcher Produkte vorlegen.
Da die staatlichen Überprüfungsgremien jedoch Mitarbeiter konkurrierender chinesischer Unternehmen enthalten und die Bereitstellung dieser Informationen die weltweiten Produkte eines Unternehmens anfälliger für chinesische Hacker oder Cyberangriffe machen könnte (was wiederum den Verkauf dieser Produkte in den meisten Ländern unterbinden würde), stellt die Kommission fest, dass sich noch kein ausländisches Unternehmen der neuen Regelung angeschlossen hat.