Im Zuge der Proteste hat Ägypten einen für die Netzgemeinde massiven Einschnitt vorgenommen: Für mehrere Tage war das Land nahezu komplett vom Internet getrennt. Ich will mich nicht mit den ethischen Problemen der Netzsperre auseinandersetzen - das können andere besser - sondern einen Blick auf die technische Umsetzung werfen. Denn die Aktion der Regierung in Kairo geht weit über das zuvor gesehene Sperren von Zugriffen auf Facebook, Twitter & Co. hinaus.

 

Normalerweise werden einzelne Seiten per DNS gesperrt: Die jeweiligen regionalen DNS-Provider sollen die Anfragen auf Seite XY umleiten, etwa auf eine spezielle Informationsseite. Diese Art der Sperre wurde in Ägypten vor dem kompletten Blackout eingerichtet. DNS-Sperren sind für versierte Anwender kein Problem, es reicht im Grunde den eingetragenen DNS-Server des Providers zu überschreiben und einen Server außerhalb des Hoheitsbereichs der Regierung zu wählen. Eine Alternative dazu ist das TOR-Netzwerk, welches die Verbindung über verschiedene Knoten routet und so normalerweise nahezu jede Art der Internetsperre umgeht. In einem Blog-Eintrag beschreiben die Macher sogar, dass ihnen die Sperren in Ägypten einen deutlichen Zuwachs an Knoten beschert haben.

 

Wie gesagt, solche Sperren gelten als normal, um etwa Demonstranten daran zu hindern, dass sie sich über soziale Netzwerke zu Kundgebungen verabreden. Was dann folgte, war allerdings ein deutlich massiverer Eingriff:

Am 27. Januar, etwa gegen halb ein Uhr morgens, verschwand Ägypten komplett aus dem Internet. Ping-Abfragen in Ägypten liefen zwar bis zum regionalen ISP, aber nicht mehr darüber hinaus. Das Land war quasi eine Insel, die mit dem restlichen Netzwerk keine Verbindung mehr aufnehmen konnte. Wie hatte die Regierung das bewerkstelligt? Die Antwort heißt Border Gateway Protocol, kurz BGP. Dieses Protokoll nutzen Service-Provider, um ihre jeweiligen Router mit den Gateways anderer Provider zu verbinden. Die Gateways stimmen mit Hilfe dieses Protokolls ab, wie Datenströme geleitet werden, wenn sie das interne Netzwerk des Providers verlassen müssen um ans Ziel zu gelangen. Cisco erklärt in seinem Wiki anschaulich, wie BGP arbeitet.

 

In Ägypten mussten die Provider nun diese Routen vom internen ins externe Internet kappen. Eingehende Verbindungen liefen plötzlich ins Leere. Auch der Wechsel auf einen anderen Nameserver oder Peer-to-Peer-Verbindungen waren nutzlos, schließlich fehlten diesen Techniken die darunter liegenden Routen. Von außen sah es so aus, als wären die jeweiligen Angebote einfach offline, während man in Ägypten zwar die Angebote nutzen konnte, die der eigene Provider zur Verfügung stellt - ein Wechsel in andere Netzwerke war allerdings nicht mehr möglich. Zu Beginn waren nur noch die Routen des Anbieters Noor Data intakt (unter anderem sorgt dieser für den Web-Zugriff der ägyptischen Börse), bei allen anderen wurde das BGP deaktiviert. Am 31. Januar ging auch Noor offline. Am zweiten Februar hat sich die Lage entspannt, die Gateways wurden wieder aktiv. Inzwischen sind die BGP-Routen wiederhergestellt, das Land ist größtenteils wieder ans Web angeschlossen. Es bleibt allerdings die Frage: Ist so etwas auch bei uns möglich?

 

Technisch gesehen schon. „Unser“ Internet unterscheidet sich nicht vom Internet in Ägypten. In der Praxis ist so ein Szenario extrem unwahrscheinlich. Das liegt vor allem daran, dass die westliche Welt deutlich stärker vernetzt ist, als es etwa im mittleren Osten der Fall ist. In Ägypten wurden die fünf großen Provider wohl von der Regierung gezwungen - entsprechende Vorhaben wären bei uns rechtlich wohl sehr schwierig durchzusetzen. Die Firma Renesys merkt außerdem an, dass die ägyptischen Provider der Reihe nach ihre Routen abgeschaltet haben, jeweils mit einem gewissen Intervall dazwischen. Das spricht dafür, dass die jeweiligen Anbieter einzeln angerufen und aufgefordert wurden. Wäre ein nationaler Kill Switch vorhanden gewesen, wären die Routen wohl gleichzeitig ausgefallen.

 

Wer weiterlesen möchte: Detailliertere Informationen zum Blackout liefern diese Blogeinträge von BGPMon, Renesys und RIPE.net. Ebenfalls lesenswert ist das Blog eines deutschen IT-Journalisten, der in Ägypten lebt. Er hat die Situation dokumentiert und nachträglich online gestellt.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.