Wie Ägypten den Internet-Stecker zog


Im Zuge der Proteste hat Ägypten einen für die Netzgemeinde
massiven Einschnitt vorgenommen: Für mehrere Tage war das Land nahezu komplett
vom Internet getrennt. Ich will mich nicht mit den ethischen Problemen der
Netzsperre auseinandersetzen – das können andere besser – sondern einen Blick
auf die technische Umsetzung werfen. Denn die Aktion der Regierung in Kairo
geht weit über das zuvor gesehene Sperren von Zugriffen auf Facebook, Twitter
& Co. hinaus.

 

Normalerweise werden einzelne Seiten per DNS gesperrt: Die
jeweiligen regionalen DNS-Provider sollen die Anfragen auf Seite XY umleiten,
etwa auf eine spezielle Informationsseite. Diese Art der Sperre wurde in
Ägypten vor dem kompletten Blackout eingerichtet. DNS-Sperren sind für versierte
Anwender kein Problem, es reicht im Grunde den eingetragenen DNS-Server des
Providers zu überschreiben und einen Server außerhalb des Hoheitsbereichs der
Regierung zu wählen. Eine Alternative dazu ist das TOR-Netzwerk, welches die
Verbindung über verschiedene Knoten routet und so normalerweise nahezu jede Art
der Internetsperre umgeht. In einem Blog-Eintrag
beschreiben die Macher
sogar, dass ihnen die Sperren in Ägypten einen deutlichen
Zuwachs an Knoten beschert haben.

 

Wie gesagt, solche Sperren gelten als normal, um etwa
Demonstranten daran zu hindern, dass sie sich über soziale Netzwerke zu
Kundgebungen verabreden. Was dann folgte, war allerdings ein deutlich
massiverer Eingriff:

Am 27. Januar, etwa gegen halb ein Uhr morgens, verschwand
Ägypten komplett aus dem Internet. Ping-Abfragen in Ägypten liefen zwar bis zum
regionalen ISP, aber nicht mehr darüber hinaus. Das Land war quasi eine Insel,
die mit dem restlichen Netzwerk keine Verbindung mehr aufnehmen konnte. Wie
hatte die Regierung das bewerkstelligt? Die Antwort heißt Border Gateway
Protocol, kurz BGP. Dieses Protokoll nutzen Service-Provider, um ihre
jeweiligen Router mit den Gateways anderer Provider zu verbinden. Die Gateways
stimmen mit Hilfe dieses Protokolls ab, wie Datenströme geleitet werden, wenn
sie das interne Netzwerk des Providers verlassen müssen um ans Ziel zu
gelangen. Cisco erklärt in seinem Wiki anschaulich, wie BGP arbeitet.

 

In Ägypten mussten die Provider nun diese Routen vom
internen ins externe Internet kappen. Eingehende Verbindungen liefen plötzlich
ins Leere. Auch der Wechsel auf einen anderen Nameserver oder
Peer-to-Peer-Verbindungen waren nutzlos, schließlich fehlten diesen Techniken
die darunter liegenden Routen. Von außen sah es so aus, als wären die
jeweiligen Angebote einfach offline, während man in Ägypten zwar die Angebote nutzen
konnte, die der eigene Provider zur Verfügung stellt – ein Wechsel in andere
Netzwerke war allerdings nicht mehr möglich. Zu Beginn waren nur noch die
Routen des Anbieters Noor Data intakt (unter anderem sorgt dieser für den
Web-Zugriff der ägyptischen Börse), bei allen anderen wurde das BGP
deaktiviert. Am 31. Januar ging auch Noor offline. Am zweiten Februar hat sich
die Lage entspannt, die Gateways wurden wieder aktiv. Inzwischen sind die
BGP-Routen wiederhergestellt, das Land ist größtenteils wieder ans Web
angeschlossen. Es bleibt allerdings die Frage: Ist so etwas auch bei uns
möglich?

 

Technisch gesehen schon. „Unser“ Internet unterscheidet sich
nicht vom Internet in Ägypten. In der Praxis ist so ein Szenario extrem
unwahrscheinlich. Das liegt vor allem daran, dass die westliche Welt deutlich stärker
vernetzt ist, als es etwa im mittleren Osten der Fall ist. In Ägypten wurden
die fünf großen Provider wohl von der Regierung gezwungen – entsprechende
Vorhaben wären bei uns rechtlich wohl sehr schwierig durchzusetzen. Die Firma
Renesys merkt außerdem an, dass die ägyptischen Provider der Reihe nach ihre
Routen abgeschaltet haben, jeweils mit einem gewissen Intervall dazwischen. Das
spricht dafür, dass die jeweiligen Anbieter einzeln angerufen und aufgefordert
wurden. Wäre ein nationaler Kill Switch vorhanden gewesen, wären die Routen
wohl gleichzeitig ausgefallen.

 

Wer weiterlesen möchte: Detailliertere Informationen zum
Blackout liefern diese Blogeinträge von BGPMon,
Renesys
und RIPE.net.
Ebenfalls lesenswert ist das Blog eines deutschen IT-Journalisten, der in
Ägypten lebt. Er hat die Situation dokumentiert und nachträglich online
gestellt
.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)