FM4-Logo

jetzt live:

Aktueller Musiktitel:

Screenshot einer gesperrten Website

gemeinfrei

Erich Möchel

Iranische Führung hat den Internetverkehr fest im Griff

Während der Demonstrationen gab es - anders als 2009 - kaum Beeinträchtigungen. Das Internet im Iran wurde seitdem völlig zentralisiert. Mit der Sperre von Telegram und Instagram wurden alle Https-Kommunikationskanäle der Demonstranten abgedreht.

Von Erich Möchel

Anders als bei den Großdemonstrationen 2009 hatte die iranische Führung diesmal die Kommunikation fest im Griff. Facebook, Twitter und Co sind seit Jahren im Iran gesperrt, deshalb hatte sich fast das gesamte Netzpublikum auf die verbliebenen Sozialen Netzwerke Telegram und Instagram aufgeteilt. Mit dem Zugriff der iranischen Behörden wurden diese beiden verschlüsselten Kommunikationswege für mindestens 40 Millionen iranische Benutzer auf einen Schlag gesperrt.

Die Internetarchitektur wurde seit 2009, als der gesamte Datenfernverkehr des Iran über einen schwachbrüstigen Link zum Carrier Türk Telecom geroutet wurde, völlig zentralisiert. Alle internationalen Anbindungen wie der gesamte inneriranische Verkehr gehen über das Telekomministerium in Teheran, nur das verschlüsselte TOR-Netz stand und steht offen. Das benötigen etwa jene iranischen Agenten, die am ersten Jänner mit einem massiven Trojanerangriff auf die Vereinten Arabischen Emirate aufgefallen sind.

Press TV Facebook

Press TV

Aus dem iranischen Staatsfernsehen Press TV, dessen englischer Dienst via Eutelsat in Europa empfangbar ist. Die Demonstrationen im Iran waren nie aktuelles Topthema sondern nur dritte oder vierte Meldung im Nachrichtenblock.

2009 bestätigte Nokia Siemens, was die ORF-Futurezone bereits 2008 berichtet hatte. Man hatte den Iran mit „Monitoring Centers“ ausgestattet. SMS wurden damit direkt, die Tweets an den SMS-Gateways abgegriffen

Schlagartiges Blackout

Was sich die Sperre dieser einzigen, für ein breites Publikum offenen, aber https-verschlüsselten Kommunikationskanäle auf die Demonstranten ausgewirkt hat, kann unschwer nachvollzogen werden. Der Informationsaustausch unter den Demonstrierenden brach blitzartig zusammen, wer dann auf SMS auswich, stand auf dem Präsentierteller für die Behörden, denn die Telefonienetze wurden im Iran seit jeher vollständig kontrolliert.

Die in den Breitenmedien 2009 vorschnell als „Twitter-Revolution“ bezeichneten Demonstrationen waren erstens keine Revolution und das Massenkommunikationsmittel war damals SMS. Die Regel war, dass SMS über einen Gateway an Twitter gingen und ebenso wieder zurück, weil im Iran mobil vorwiegend über Nokia-Handys kommuniziert wurde. Auch war die Twitter-Site damals nicht https-verschlüsselt, die Überwacher des Regimes waren einfach überfordert, es waren zu viele Benutzer aufeinmal unterwegs.

TIC IRAN

TIC

Screeenshot von der Website des staatlichen iranischen Monopolproviders TIC. Die beiden roten und grünen Felder bezeichnen die beiden iranischen Datenzentren, die im nächsten Graphen beschrieben sind.

2008 bestätigte Nokia Siemens gegenüber ORF.at, dass im Nahen Osten auch „Siemens Intelligence Center“ für Geheimdienste angeboten wurden

Twitter auf, Verhaftungen, Twitter zu

So wurde Twitter erst einmal geblockt, dann kurz wieder aufgemacht und wenig später erneut gesperrt, derselbe Vorgang war auch mehrfach bei SMS zu beobachten. Die Protestierenden wurden einfach in mehreren Tranchen durch die iranischen Behörden abgefischt und verhaftet. Sobald die Ressourcen der Polizei knapp wurden, fand die nächste Sperre statt. Und wenn die Breitenmedien dann berichteten, das Regime habe Twitter offenbar wegen „des Drucks der Straße“ wieder öffnen „müssen“, da standen die davor verhafteten Iraner gerade vor dem Schnellrichter und das Regime nahm die nächste Dissidentengruppe ins Visier.

Das Internet im Iran

Diesmal war man um Längen besser vorbereitet, denn die Netzwerkarchitektur des Iran ist nun so eingerichtet, dass die iranische Telekombehörde binnen kürzester Zeit den gesamten Internetverkehr fast nach Belieben drosseln, umleiten oder sperren kann. Der gesamte ein- und ausgehende Verkehr des Iran passiert die Datencenter der staatlichen „Information Technology Company“ (AS12880), die vom Telekomministerium geleitet wird. In der grafischen Darstellung ist das der Knoten ganz links im Bild. Dem vorgelagert ist ein zweiter großer Datenhub auf iranischem Boden, der Telecommunication Infrastructure Company TIC (AS48159), die ebenfalls zum Telekomministerium gehört.

BGP-Routing Iran

Hurricane Electric

Oben herum geht es zu Telia nach Schweden, untenherum in das Tata-Netz Richtung Ostasien und die USA. Die Routen werden in der Nacht etwas verändert, das ist offenbar verkehrsbedingt. Der Graph stammt vom Carrier Hurricane Electric

Während des Aufstands 2009 wurde des gesamte Land umgeroutet, binnen Tagesfrist war die Anbindung des Iran an das Internet radikal umgestellt.

Die wichtigste Anbindung des Iran an die Welt geht derzeit über den Carrier Telia nach Schweden (AS1299), die zweite Direktverbindung läuft über das indische Tata-Netz (AS6453) in die USA. Von dort gehen die beiden stärksten Links zum deutschen Carrier GTT (AS3257) bzw wieder in das Netz von Tata, über das auch der gesamte IPv6-Verkehr aus dem Iran geroutet wird. Das lässt darauf schließen, dass nur der vorgelagerte zweite iranische Knoten bereits über IPv6-taugliche Überwachungsswitches verfügt.

Umbau während eines Aufstands

Die Basis für die heutige Architektur des Netzes wurde im Juni 2009 gelegt. Da war es nach Bekanntgabe des Wahlergebnisses - Ahmadinedschad hatte gewonnen - zu immer mehr Störungen und Ausfällen gekommen, dann verschwanden auf einen Schlag 180 iranische Subnetze aus den internationalen Routing-Tables, den „Straßenkarten“ des Internets. Wenig später waren diese Netze wieder zurück, doch anderswo angebunden. Sämtlicher Internet-Verkehr, der in beide Richtungen bis dahin über die Glasfaserkabel von FLAG, Singapore Telecom, PCCW, Telia und Telecom Italia geflossen war, ging dann über die Leitungen von Türk Telecom.

Torproject Iran Blocked

public domain

Diese Grafik zeigt, welche Domains da dauerhaft im Iran geblocktwerden: Darunter sind alleine 26 Soziale Netzwerke, insgesamt sind es etwa tausend einzelne Domains. Die Grafik stamm von den TOR-Betreibern.

TOR-Netz, iranische Trojaner

Über das TOR-Netz oder „Darknet“ im Polizei-Jargon, blieb von den Sperrmaßnahmen offenbar gänzlich unbehelligt. Der Verkehr aus dem Iran hat sich zwar bald verdoppelt mit Spitzen von 10.000 gleichzeitigen Benutzern, angesichts mehr als 60 Millionen User ist das ein Tropfen auf einem heißen Stein.

Neben Dissidenten benutzten wohl auch auch iranische Offizielle das TOR-Netz für gewisse Kommunikationen, auf jeden Fall aber gehören zwei „Advanced Persistent Threats“ (APTs) dazu. Das ist die Umschreibung für staatliche Cyberangriffstruppen, die mit entsprechenden Ressource, um dauerhaft Attacken durchzuführen und auch in gut gesicherte Netze vorzudringen.

In der IT-Sicherheitsbranche wird der Iran neben Nordkorea und Vietnam als eine der drei neuen Cybermittelmächte eingestuft

Cybermacht Iran

Zwei verschiedene solche Gruppen sind bereits als APT33 und APT34 identifiziert, eine davon ist am ersten Jänner zuletzt mit einer größeren Attacke aufgefallen. Sie läuft im Rahmen einer mehrmonatigen Kampagne gegen Ziele in den Vereinten Arabischen Emiraten, davor hatte man monatelang Saudi-Arabien im Visier. Wie in China, Nordkorea, oder Vietnam ist entlang der Überwachung und Unterdrückung der eigenen Bevölkerung eine Cybertruppe herangewachsen. Und zwar die wohl mächtigste im Nahen Osten, wenn man von Israel absieht.

Aktuell: