Posted on

Die Sperrliste

In knapp zwei Wochen soll es ja schon so weit sein und die Zensurinfrastruktur nimmt (vielleicht?) den Betrieb auf. Dazu – quasi als Wort zum Freitag 😀 – ein paar Gedanken.

Wieviele Webseiten werden wohl auf dieser Sperrliste stehen?
Ich denke mal es werden so zwischen 500 und 1000 FQDNs (Fully Qualified Domain Name) sein. Frau Dr. von der Leyen spricht im Radio Sputnik Interview von 1000 Webseiten täglich, das halte ich für Quatsch, mit vier Planstellen kann das BKA sowas garnicht leisten. Das würde ja bedeuten das ein BKA-Mitarbeiter pro Stunde 31 Webseiten inhaltlich bewerten muss, so leicht ist das bestimmt nicht. Hier könnte das BKA kurzfristig für etwas Transparenz sorgen, indem es eine Statistik veröffentlicht. Wieviele Seiten sind akutell auf der Liste, wieviele kamen diese Woche hinzu, wieviele wurden erfolgreich entfernt und wurden deshalb von der Liste gestrichen. Das ist Demokratie, diese Information und die damit verbunde Diskussion brauchen wir! Evtl. kann man vielleicht sogar Informationen über die Ursprungsländer dieser Webseiten veröffentlichen. Ich bin gegen Kinderpornographie! Wenn es wirklich ernsthafte Hindernisse beim Löschen von derartigen Inhalten geben sollte, haben wir als Internet-Community hier klar eine Verpflichtung dies zu ändern. Derzeit habe ich allerdings eher den Eindruck das das mit dem Löschen bisher nicht wirklich ernsthaft genug von den Behörden verfolgt wurde (oder auch verfolgt werden konnte -> wegen Personalmangels?). Aber zurück zur Sperrliste…

Der Zeitpunkt
Es ist schon ein bischen mutig die Zensurinfrastruktur jetzt so schnell umzusetzen. Auf der anderen Seite ist der 1. August eigentlich ganz passend… 🙂 Am 13. August startet die Hacking at Random in den Niederlanden. Die Bundestagswahl 2009 ist dann auch schon bald. Und Ende Dezember gibts dann noch das grosse Treffen in Berlin mit viel Spass am Gerät. Zählt eigentlich sowas wie Hacking at Random schon als Terrorcamp?

Wird die Sperrliste geleakt werden?
Puh, das ist natürlich schwer zu sagen, soweit ich mitbekommen habe “üben” ja einige gerade im Iran… Ich finde bei der deutschen Sperrliste wird das schon mal ein echt schwieriges ethisches Problem. Niemand möchte zur weiteren Verbreitung derartigen Materials beitragen, auf der anderen Seite brauchen wir die politische Diskussion darüber.

Es ist rechtlich nicht ganz einfach. Anfang des Jahres sind Strafverfolgungsbehörden in Deutschland ganz entschieden gegen Blogger vorgegangen, die auch nur indirekt Links auf geleakte Sperrlisten aus anderen Staaten gesetzt hatten(“Dänische Sperrliste mobilisiert Polizei” und “Hausdurchsuchung bei Blogger, der dänische Kinderporno-Sperrliste verlinkt“). Hier sieht man schon was evtl. noch dieses Jahr auf uns zukommt, ich nenne es schon mal ein “Juristisches Blutbad”, bei dem – wie zuoft leider – die eigentlichen Opfer auf der Strecke bleiben werden.

Es wird viele Listen geben
Ich könnte mir gut vorstellen, das wir plötzlich eine ganze Flut von “deutschen Sperrlisten” sehen werden. Die Sperrliste ist ja kein statisches Objekt, sonderen eine täglich aktualisierte Liste, d.h. es gibt per default schon mal viele Varianten. Zum anderen könnte ich mir vorstellen das es auch gefährlich ist, die Sperrliste 1:1 zu veröffentlichen. Evtl. streut das BKA, ähnlich wie wir das bei Kinofilmen schon kennen, Marker ein um eine undichte Stelle aufspüren zu können. Zum anderen wird es einige geben die versuchen die “deutsche Sperrliste” indirekt über DNS-Anfragen zu ermittlen.

Das BKA veröffentlicht die Sperrliste indirekt selbst
Dieser Punkt wurde von Gegnern der Internetsperren bereits erwähnt. Im Prinzip stellt die Zensurinfrastruktur an sich eine indirekte Veröffentlichung der Sperrliste dar. Mit etwas Programmierkenntnissen (For-Schleife), kann eigentlich jeder seine persönliche Version der Sperrliste erstellen. Amateure werden das so machen, das man ihre IP-Nummer zurückverfolgen kann und die schwarzen Schafe die wir eigentlich bekämpfen wollen werden unter anderem die Computer der naiven CDU, CSU und SPD Wähler dazu missbrauchen.

Die Sperrliste ist aber verschlüsselt
Naja, das wird ein spannender Punkt werden. Man spricht hier ja gerne von “Low hanging fruits”. Das Gesetzt soll ja für Anbieter ab 10.000 Benutzern gelten. Gerade in diesem Bereich wird es schwierig! Niemand kann einem kleinen Unternehmen oder einer ohnehin schon knapp bei Kasse Uni vorschreiben teure highperformance Software von Nominum zu kaufen. Und was machen wir mit der Piratenpartei und dem CCC? Die betreiben auch DNS-Server, bekommen die dann auch die Sperrliste? Und was passiert wenn ein deutscher ISP den Betrieb der DNS-Server z.B. nach Osteuropa oder nach Indien ausgelagert hat? Dann ist die gute deutsche Sperrliste auch nicht mehr weit von Weißrussland entfernt…

Posted on

Hintergrundinfos zu Indonesien

Ein paar kurze Hintergrundinfos zu Indonesien wegen der aktuellen Bombenanschläge (spiegel.de: INDONESIEN – Tote und Verletzte bei Anschlägen auf Luxushotels).

Ok, jetzt blogge ich auch noch über Terroranschläge im Ausland, aber da ich mich als Freund von Süßwasser Garnelen erst vor ein paar Wochen mit dem Thema beschäftigt habe, möchte ich diese Informationen nicht vorenthalten.

Vielen sind vielleicht noch die Terroranschläge von Bali bekannt, oder der Name Banda Aceh von der Tsunami-Katastrophe 2004. Schwellenländer wie Indonesien haben gigantische Probleme zu bewältigen, von denen wir hier in Europa eigentlich so gut wie nie etwas mitbekommen. Aber alleine im Ballungsraum um Jakarta leben laut Wikipedia 18,6 Millionen Menschen. Eine der Ursache für starke Spannungen innerhalb der Bevölkerung scheint ein seit langem betriebenes Transmigrationsprogramm (Transmigrasi) der indonesischen Regierung zu sein. Unter anderem als langfristige Folge davon kam es insbesondere auf den Inseln Sulawesi und den Molukken zu blutigen Auseinandersetzungen. Milizen der Laskar Jihad können hier offenbar fast ungehindert von der Zentralregierung operieren.

Hin und wieder scheint dann eine dieser Terrororganisationen etwas zu übermütig zu werden und es knallt dann eben auch mal in der Hauptstadt Jakarta. Der Konflikt an sich ist aber vielschichtiger als einfach nur al-Qaida!

Posted on

Phase 1 – beginnt

Es ging schneller als ich gedacht hätte, netzpolitik.org: Nominum – Die Firma hinter der Zensursula-Infrastruktur. Offenbar werden einige große ISPs in Deutschland die Internetsperren mit der Software dieser Firma realisieren. Ok, dann wollen wir mal kucken gehen:

  1. Nominum
  2. Das entsprechende DNS-Server Produkt das zum Einsatz kommt ist Vantio™ Base Server
  3. Eine Navigationshilfe wie in meinem letzten Blog-Eintrag erwähnt könnte z.B. mit dem Zusatz-Modul Vantio NXR realisiert werden.
  4. Für uns interessant ist das zweite Zusatz-Modul Vantio MDR – Nominum’s Malicious Domain Redirection (MDR) Service Delivery Module
  5. Die Homepage von Nominum gibt leider wenig her, aber bei SUN gibts ein bischen mehr Infos die uns weiterhelfen: Whitepaper – NEXT-GENERATION DNS for IMPROVED NETWORK PERFORMANCE. Ok, Solaris 10, na sowas das trifft sich ja sehr gut 🙂 (Debian, Redhat-Enterprise-Linux, Suse und Freebsd gibt es offenbar auch)
  6. Ah und: DNS Cache poisoning CVE-2008-1447 -> Nominum Software Security Advisory NOM-20080708, is ja auch klar wenn die BIND 9 gemacht haben…
  7. Einen Artikel bei network Computing gibts auch noch: Aktuelle Bedrohungsdaten berücksichtigen Wirksame Sperre von Webseiten über DNS-Server von Nominum
Posted on

Wie funktioniert die DNS-Sperre

Nur noch 14 Tage bis zur Einführung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die nächsten Monate – was Internetsperren angeht – sehr technisch werden. Darum möchte ich vorweg kurz erklären wie diese DNS-Sperren überhaupt funktionieren.

Dazu gibts erstmal ein Bildchen:
dns-sperre01

Der Ablauf ist dann folgender

  1. Sie möchten also von ihrem Computer die Webseite www.illegal.de aufrufen.
  2. Damit ihr Web-Browser diese Webseite aus dem Internet herunterladen kann, benötigt er zuerst die IP-Nummer für www.illegal.de, dazu stellt ihr Betriebssystem eine DNS-Abfrage an den DNS-Server ihres Providers.
  3. Dieser DNS-Server kennt die Sperrliste des BKA und liefert anstatt der richtigen IP-Nummer 1.2.3.4 die IP-Nummer des Web-Servers mit dem Stop-Schild (hier 6.6.6.6).
  4. Als Folge davon stellt ihr Web-Browser seine Anfrage für den Download der Webseite (HTTP-Request) an den Stop-Schild Server und sie sehen das Stop-Schild.

Die Technik hierfür ist im Prinzip jetzt schon z.B. bei T-Online im Einsatz. Wer die T-Online DNS-Server verwendet und eine falsche Adresse (z.B. www.asdfkjasdf.de) eingibt wird automatisch auf die T-Online Navigationshilfe umgeleitet. Ein bischen technischer sieht die DNS-Abfrage für www.asdfkjasdf.de bei T-Online dann eben so aus:

 $ dig @217.0.43.145 www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> @217.0.43.145 www.asdfkjasdf.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9751
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; ANSWER SECTION:
www.asdfkjasdf.de.	0	IN	A	62.157.140.133
www.asdfkjasdf.de.	0	IN	A	80.156.86.78

;; Query time: 59 msec
;; SERVER: 217.0.43.145#53(217.0.43.145)
;; WHEN: Fri Jul 17 00:01:44 2009
;; MSG SIZE  rcvd: 67

Sauber und richtig wäre in diesem Fall eigentlich folgende DNS-Antwort:

$ dig www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> www.asdfkjasdf.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38658
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; AUTHORITY SECTION:
de. 7200 IN SOA f.nic.de. its.denic.de. 2009071693 7200 7200 3600000 7200

;; Query time: 67 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Fri Jul 17 00:07:22 2009
;; MSG SIZE  rcvd: 87

Das Entscheidende ist hier das NXDOMAIN und steht für Non-Existent Domain.

Das Weiterleiten auf eine “Navigationshilfe” wird von einigen Sicherheitsexperten sehr kritisch gesehen. Diese Technik kann auch missbraucht werden, aber dazu vielleicht in einem eigenen Blog-Eintrag mal mehr.

Für den technisch noch etwas unbedarften Leser, keine Panik wegen dem vielen Kauderwelsch, daran gewöhnt man sich. Das ZugErschwG ist ja bis 2012 befristet und wenn das passiert was ich vermute was passieren wird, haben sie zum eingewöhnen noch jede Menge Gelegenheit!