Posted on

Gerüchte, Angst und Unsicherheit im rechtsfreien Raum

Ich kann die Sprüche vom “rechtsfreien Raum” jetzt schon bald nicht mehr hören. Ich hätte dazu noch einiges zu erzählen… es gab in den letzten Jahren ja durchaus Vorderungen “aus dem Netz” nach Gesetzen für mehr Rechtssicherheit im Internet… so ist es ja nicht, aber dazu vielleicht in einem anderen Eintrag mal mehr…

Am 17. Juli schreibe ich noch über “Die Sperrliste” und was lesen wir am 22. Juli bei heise.de?

Provider dementieren Gerüchte über bereits aktive Web-Sperren

Arcor/Vodafone und die Deutsche Telekom haben eine Meldung aus dem Umkreis des Chaos Computer Clubs (CCC) entschieden von sich gewiesen, dass die umkämpften Blockaden kinderpornographischer Seiten in ihren Netzen schon in Kraft seien.

So in etwa habe ich mir das vorgestellt, solche Meldungen sehen wir die nächsten Jahre immer wieder. Bin gespannt wann so mancher Anbieter von Schmuddel-Seiten auf die Idee kommt dies als Werbe-Plattform zu missbrauchen. Einfach kurz auf Twitter das Gerücht streuen www.geiletitten.de is down, schon schreit die ganze Welt Z E N S U R. Oder noch besser, ein PsyOps Angriff des BKA auf Islamisten-Seiten. Gerücht streuen www.al-qaida.de is down, jeder geht nachkucken und die Site geht im DDOS in die Knie.

Aber mal Spass bei Seite. Wir stehen in meinen Augen wirklich an einem Punkt wo ein vielleicht gut gemeintes Gesetz in der Realität völlig kontraproduktiv wird. Wir haben einen permanenten Zustand von Unsicherheit und Angst. Und was ist die Folge davon? Die Leute haben Angst und die Polizei wird als Ermittlungsbehörde nicht mehr angenommen, d.h. die Leute trauen sich nicht mehr Fälle von Kinderpornographie im Internet zu melden. Falls ich mit meiner Vermutung richtig liegen sollte, wäre das verdammt tragisch! Dann sind wir nämlich genau da wo wir vor 10 Jahren mal angefangen hatten.

Drei zusätzliche Meldungen dieser Woche haben mich bei diesem Eindruck leider bestärkt.

Augsburger Allgemeine: Falsche Tür eingetreten

Nach einer Amokdrohung im Internet haben Polizisten in Recklinghausen die falsche Tür eingetreten. Der Einsatz hat für die Beamten des Spezialeinsatzkommandos (SEK) aus Münster ein Nachspiel…

Hintergrund war, das ein Nachbar die Amokdrohung über das ungesicherte Funknetzwerk des vermeintlichen Amokläufers abgegeben hatte. Das erinnert mich irgendwie die Sauerland-Zelle. Oder wie es der Verfassungschutz in “Terrorismusbekämpfung in Europa Herausforderung für die Nachrichtendienste” schreibt:

…Darüber hinaus nutzen die Tatverdächtigen nicht geschützte WLAN-Zugänge unbeteiligter Dritter für die eigene Kommunikation, um die eigene Identität zu verschleiern und sich einer Überwachung zu entziehen…

Mit zunehmendem Zugriff auf Informationen aus der Vorratsdatenspeicherung werden wir solche Fälle ebenfalls noch viel öfter als in der Vergangenheit sehen. Ehm, und nebenbei bemerkt… die zur Sicherung von WLANs eingesetzten Verfahren würde ich jetzt nicht umbedingt als wirklich sicher bezeichnen! Wie man z.B. hier nachlesen kann:

Aber es gibt ja noch mehr dolle Pannen…

Sie wissen nicht was ein HTTP-Referrer ist?
Macht nix, die Staatsschützer beim BKA wissen es offenbar auch net! Anders ist die Geschichte “BKA: Beim Knütteln anamorph” im Blog von Pantoffelpunk wohl nicht zu erklären (PsyOps?).

Und für das Wort Internetausdrucker gibt es jetzt Beweise! Als Opfer muss die 16-jährige Nastassia Kinski herhalten… unter anderem im Blog von Deutschlandpolitik: “Unsere Internetausdrucker“.

Ich möchte an dieser Stelle nochmal klar machen, das ich nichts gegen die Polizei habe, ganz im Gegenteil! Für mich ist es fast schon peinlich von “rechtsfreiem Raum” zu sprechen obwohl sich ganz klar zeigt das wir keine neuen Gesetze brauchen, das ist doch alles nur Papier! Wir brauchen echte Polizisten mit Know-How die echte Verbrecher wirkungsvoll bekämpfen können, ob das im Netz oder auf der Straße ist!

So und zum Abschluss gibts, passend zum Thema Internetausdrucker, nochmal was zu lachen, Youtube-Video: https://youtu.be/Y4xvFXPNrI4.

So und nun bin ich noch gespannt auf die Demo heute in Karlsruhe!

Posted on

Die Sperrliste

In knapp zwei Wochen soll es ja schon so weit sein und die Zensurinfrastruktur nimmt (vielleicht?) den Betrieb auf. Dazu – quasi als Wort zum Freitag 😀 – ein paar Gedanken.

Wieviele Webseiten werden wohl auf dieser Sperrliste stehen?
Ich denke mal es werden so zwischen 500 und 1000 FQDNs (Fully Qualified Domain Name) sein. Frau Dr. von der Leyen spricht im Radio Sputnik Interview von 1000 Webseiten täglich, das halte ich für Quatsch, mit vier Planstellen kann das BKA sowas garnicht leisten. Das würde ja bedeuten das ein BKA-Mitarbeiter pro Stunde 31 Webseiten inhaltlich bewerten muss, so leicht ist das bestimmt nicht. Hier könnte das BKA kurzfristig für etwas Transparenz sorgen, indem es eine Statistik veröffentlicht. Wieviele Seiten sind akutell auf der Liste, wieviele kamen diese Woche hinzu, wieviele wurden erfolgreich entfernt und wurden deshalb von der Liste gestrichen. Das ist Demokratie, diese Information und die damit verbunde Diskussion brauchen wir! Evtl. kann man vielleicht sogar Informationen über die Ursprungsländer dieser Webseiten veröffentlichen. Ich bin gegen Kinderpornographie! Wenn es wirklich ernsthafte Hindernisse beim Löschen von derartigen Inhalten geben sollte, haben wir als Internet-Community hier klar eine Verpflichtung dies zu ändern. Derzeit habe ich allerdings eher den Eindruck das das mit dem Löschen bisher nicht wirklich ernsthaft genug von den Behörden verfolgt wurde (oder auch verfolgt werden konnte -> wegen Personalmangels?). Aber zurück zur Sperrliste…

Der Zeitpunkt
Es ist schon ein bischen mutig die Zensurinfrastruktur jetzt so schnell umzusetzen. Auf der anderen Seite ist der 1. August eigentlich ganz passend… 🙂 Am 13. August startet die Hacking at Random in den Niederlanden. Die Bundestagswahl 2009 ist dann auch schon bald. Und Ende Dezember gibts dann noch das grosse Treffen in Berlin mit viel Spass am Gerät. Zählt eigentlich sowas wie Hacking at Random schon als Terrorcamp?

Wird die Sperrliste geleakt werden?
Puh, das ist natürlich schwer zu sagen, soweit ich mitbekommen habe “üben” ja einige gerade im Iran… Ich finde bei der deutschen Sperrliste wird das schon mal ein echt schwieriges ethisches Problem. Niemand möchte zur weiteren Verbreitung derartigen Materials beitragen, auf der anderen Seite brauchen wir die politische Diskussion darüber.

Es ist rechtlich nicht ganz einfach. Anfang des Jahres sind Strafverfolgungsbehörden in Deutschland ganz entschieden gegen Blogger vorgegangen, die auch nur indirekt Links auf geleakte Sperrlisten aus anderen Staaten gesetzt hatten(“Dänische Sperrliste mobilisiert Polizei” und “Hausdurchsuchung bei Blogger, der dänische Kinderporno-Sperrliste verlinkt“). Hier sieht man schon was evtl. noch dieses Jahr auf uns zukommt, ich nenne es schon mal ein “Juristisches Blutbad”, bei dem – wie zuoft leider – die eigentlichen Opfer auf der Strecke bleiben werden.

Es wird viele Listen geben
Ich könnte mir gut vorstellen, das wir plötzlich eine ganze Flut von “deutschen Sperrlisten” sehen werden. Die Sperrliste ist ja kein statisches Objekt, sonderen eine täglich aktualisierte Liste, d.h. es gibt per default schon mal viele Varianten. Zum anderen könnte ich mir vorstellen das es auch gefährlich ist, die Sperrliste 1:1 zu veröffentlichen. Evtl. streut das BKA, ähnlich wie wir das bei Kinofilmen schon kennen, Marker ein um eine undichte Stelle aufspüren zu können. Zum anderen wird es einige geben die versuchen die “deutsche Sperrliste” indirekt über DNS-Anfragen zu ermittlen.

Das BKA veröffentlicht die Sperrliste indirekt selbst
Dieser Punkt wurde von Gegnern der Internetsperren bereits erwähnt. Im Prinzip stellt die Zensurinfrastruktur an sich eine indirekte Veröffentlichung der Sperrliste dar. Mit etwas Programmierkenntnissen (For-Schleife), kann eigentlich jeder seine persönliche Version der Sperrliste erstellen. Amateure werden das so machen, das man ihre IP-Nummer zurückverfolgen kann und die schwarzen Schafe die wir eigentlich bekämpfen wollen werden unter anderem die Computer der naiven CDU, CSU und SPD Wähler dazu missbrauchen.

Die Sperrliste ist aber verschlüsselt
Naja, das wird ein spannender Punkt werden. Man spricht hier ja gerne von “Low hanging fruits”. Das Gesetzt soll ja für Anbieter ab 10.000 Benutzern gelten. Gerade in diesem Bereich wird es schwierig! Niemand kann einem kleinen Unternehmen oder einer ohnehin schon knapp bei Kasse Uni vorschreiben teure highperformance Software von Nominum zu kaufen. Und was machen wir mit der Piratenpartei und dem CCC? Die betreiben auch DNS-Server, bekommen die dann auch die Sperrliste? Und was passiert wenn ein deutscher ISP den Betrieb der DNS-Server z.B. nach Osteuropa oder nach Indien ausgelagert hat? Dann ist die gute deutsche Sperrliste auch nicht mehr weit von Weißrussland entfernt…

Posted on

Phase 1 – beginnt

Es ging schneller als ich gedacht hätte, netzpolitik.org: Nominum – Die Firma hinter der Zensursula-Infrastruktur. Offenbar werden einige große ISPs in Deutschland die Internetsperren mit der Software dieser Firma realisieren. Ok, dann wollen wir mal kucken gehen:

  1. Nominum
  2. Das entsprechende DNS-Server Produkt das zum Einsatz kommt ist Vantio™ Base Server
  3. Eine Navigationshilfe wie in meinem letzten Blog-Eintrag erwähnt könnte z.B. mit dem Zusatz-Modul Vantio NXR realisiert werden.
  4. Für uns interessant ist das zweite Zusatz-Modul Vantio MDR – Nominum’s Malicious Domain Redirection (MDR) Service Delivery Module
  5. Die Homepage von Nominum gibt leider wenig her, aber bei SUN gibts ein bischen mehr Infos die uns weiterhelfen: Whitepaper – NEXT-GENERATION DNS for IMPROVED NETWORK PERFORMANCE. Ok, Solaris 10, na sowas das trifft sich ja sehr gut 🙂 (Debian, Redhat-Enterprise-Linux, Suse und Freebsd gibt es offenbar auch)
  6. Ah und: DNS Cache poisoning CVE-2008-1447 -> Nominum Software Security Advisory NOM-20080708, is ja auch klar wenn die BIND 9 gemacht haben…
  7. Einen Artikel bei network Computing gibts auch noch: Aktuelle Bedrohungsdaten berücksichtigen Wirksame Sperre von Webseiten über DNS-Server von Nominum
Posted on

Wie funktioniert die DNS-Sperre

Nur noch 14 Tage bis zur Einführung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die nächsten Monate – was Internetsperren angeht – sehr technisch werden. Darum möchte ich vorweg kurz erklären wie diese DNS-Sperren überhaupt funktionieren.

Dazu gibts erstmal ein Bildchen:
dns-sperre01

Der Ablauf ist dann folgender

  1. Sie möchten also von ihrem Computer die Webseite www.illegal.de aufrufen.
  2. Damit ihr Web-Browser diese Webseite aus dem Internet herunterladen kann, benötigt er zuerst die IP-Nummer für www.illegal.de, dazu stellt ihr Betriebssystem eine DNS-Abfrage an den DNS-Server ihres Providers.
  3. Dieser DNS-Server kennt die Sperrliste des BKA und liefert anstatt der richtigen IP-Nummer 1.2.3.4 die IP-Nummer des Web-Servers mit dem Stop-Schild (hier 6.6.6.6).
  4. Als Folge davon stellt ihr Web-Browser seine Anfrage für den Download der Webseite (HTTP-Request) an den Stop-Schild Server und sie sehen das Stop-Schild.

Die Technik hierfür ist im Prinzip jetzt schon z.B. bei T-Online im Einsatz. Wer die T-Online DNS-Server verwendet und eine falsche Adresse (z.B. www.asdfkjasdf.de) eingibt wird automatisch auf die T-Online Navigationshilfe umgeleitet. Ein bischen technischer sieht die DNS-Abfrage für www.asdfkjasdf.de bei T-Online dann eben so aus:

 $ dig @217.0.43.145 www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> @217.0.43.145 www.asdfkjasdf.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9751
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; ANSWER SECTION:
www.asdfkjasdf.de.	0	IN	A	62.157.140.133
www.asdfkjasdf.de.	0	IN	A	80.156.86.78

;; Query time: 59 msec
;; SERVER: 217.0.43.145#53(217.0.43.145)
;; WHEN: Fri Jul 17 00:01:44 2009
;; MSG SIZE  rcvd: 67

Sauber und richtig wäre in diesem Fall eigentlich folgende DNS-Antwort:

$ dig www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> www.asdfkjasdf.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38658
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; AUTHORITY SECTION:
de. 7200 IN SOA f.nic.de. its.denic.de. 2009071693 7200 7200 3600000 7200

;; Query time: 67 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Fri Jul 17 00:07:22 2009
;; MSG SIZE  rcvd: 87

Das Entscheidende ist hier das NXDOMAIN und steht für Non-Existent Domain.

Das Weiterleiten auf eine “Navigationshilfe” wird von einigen Sicherheitsexperten sehr kritisch gesehen. Diese Technik kann auch missbraucht werden, aber dazu vielleicht in einem eigenen Blog-Eintrag mal mehr.

Für den technisch noch etwas unbedarften Leser, keine Panik wegen dem vielen Kauderwelsch, daran gewöhnt man sich. Das ZugErschwG ist ja bis 2012 befristet und wenn das passiert was ich vermute was passieren wird, haben sie zum eingewöhnen noch jede Menge Gelegenheit!