
Das Team der ATHENE-Wissenschaftlerin Prof. Dr. Haya Shulman hat einen Weg gefunden, wie einer der grundlegenden Mechanismen zur Absicherung des Internet-Verkehrs ausgehebelt werden kann. Der Mechanismus, genannt RPKI, soll eigentlich verhindern, dass Cyberkriminelle oder staatliche Angreifer den Verkehr im Internet umlenken. Solche Umlenkungen kommen im Internet erstaunlich häufig vor, z.B. zur Spionage oder durch Fehlkonfigurationen. Das ATHENE-Team zeigte, dass Angreifer den Sicherheitsmechanismus komplett aushebeln können, ohne dass die betroffenen Netzbetreiber dies feststellen können. Nach Analysen des ATHENE-Teams waren Anfang 2021 alle führenden Implementierungen von RPKI angreifbar. Das Team informierte die Hersteller und hat jetzt die Erkenntnisse der internationalen Fachöffentlichkeit vorgestellt.
Wenn Teile des Internetverkehrs fehlgeleitet werden, sorgt das für großes Aufsehen, wie etwa im März dieses Jahres, als der Verkehr für Twitter teilweise nach Russland umgelenkt wurde. Ganze Unternehmen oder Länder können so vom Internet abgeschnitten oder Internetverkehr abgefangen oder belauscht werden. Technisch betrachtet stecken hinter solchen Angriffen meist Prefix-Hijacks. Diese nutzen ein fundamentales Designproblem des Internets aus: Die Festlegung, welche IP-Adresse zu welchem Netz gehört, ist nicht abgesichert. Um zu verhindern, dass ein Netz im Internet IP-Adressblöcke beansprucht, die ihm nicht rechtmäßig gehören, hat die IETF, die für das Internet zuständige Standardisierungsorganisation, die Ressource Public Key Infrastructure (RPKI) standardisiert. RPKI nutzt digital signierte Zertifikate, die bestätigen, dass ein bestimmter IP-Adressblock tatsächlich zu dem angegebenen Netz gehört. Mittlerweile haben, nach Messungen des ATHENE-Teams, knapp 40% aller IP-Adressblöcke ein RPKI-Zertifikat, und ca. 27% aller Netze prüfen diese Zertifikate.
Wie das ATHENE-Team um Prof. Dr. Haya Shulman feststellte, hat auch RPKI eine Designschwäche: Kann ein Netz für einen IP-Adressblock kein Zertifikat finden, so wird angenommen, dass keines existiert. Damit der Verkehr im Internet trotzdem fließen kann, wird dieses Netz für solche IP-Adressblöcke RPKI schlicht ignorieren, d.h. die Routing-Entscheidungen basieren wie zuvor rein auf ungesicherten Informationen. Das ATHENE-Team konnte experimentell zeigen, dass ein Angreifer genau diese Situation schaffen und damit RPKI gezielt abschalten kann, ohne dass es jemand bemerken kann. Insbesondere wird auch das betroffene Netz, dessen Zertifikate ignoriert werden, dieses nicht feststellen. Der vom ATHENE-Team „Stalloris“ genannte Angriff setzt voraus, dass der Angreifer einen sogenannten RPKI Publication Point kontrolliert. Für staatliche Angreifer und organisierte Cyberkriminelle stellt dies kein besonderes Problem dar.
Nach den Untersuchungen des ATHENE-Teams waren Anfang 2021 alle führenden Produkte, die von Netzen zur Überprüfung von RPKI-Zertifikaten eingesetzt werden, auf diese Weise angreifbar. Das Team informierte die Hersteller frühzeitig über den Angriff. Jetzt veröffentlichte das Team seine Erkenntnisse auf zwei der Spitzenkonferenzen der IT-Sicherheit, der wissenschaftlichen Tagung „Usenix Security 2022“ und der Industrietagung „Blackhat USA 2022“. Die Arbeit entstand in einer Zusammenarbeit zwischen Forscherinnen und Forschern der ATHENE-Mitwirkenden Goethe-Universität Frankfurt am Main, Fraunhofer SIT und Technische Universität Darmstadt. Eine kurze Beschreibung findet sich im APNIC Blog: https://blog.apnic.net/2022/06/15/stalloris-rpki-downgrade-attack
Fachartikel

Skalierbarkeit: Heute den Grundstein für die Zukunft legen

SAP Patch Day: Februar 2025

Cyberattacken auf Knopfdruck? DDos-for-Hire Services machen es möglich

Leitfaden zum Exposure Management: Warum Sie es brauchen und wie Sie es umsetzen

Zusammenfassung des Webinars „Let’s Encrypt“: Eine neue Ära der Zertifikatsüberwachung
Studien

Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen

Zunehmende Angriffskomplexität

Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich

IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern

Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper

Wie NIS2 und DORA die SaaS-Compliance beeinflussen

Umsetzung des Konzeptes „Cyber-Nation“: Bundesverband IT-Sicherheit (TeleTrusT) veröffentlicht Forderungskatalog

Häufige Herausforderungen bei der Cyberkriminalität

Datasheets: Kontinuierliche Compliance mit Onapsis
