DNS-Erfinder Paul Mockapetris implementiert die Internetzensur in Deutschland

Mockapetris' Unternehmen betreibt bereits die DNS-Infrastruktur nahezu aller deutschen Provider. Er stehe voll und ganz hinter der Umsetzung. Die Sperrlisten werden verschlüsselt, um eine Veröffentlichung zu verhindern.

Der US-amerikanische DNS-Spezialist Nominum wird bei deutschen Providern die Fälschung von DNS-Antworten implementieren, die das heftig umstrittene Internetzensurgesetz vorschreibt. Das erklärte Gopala Tumuluri, Vice President für Marketing bei Nominum, gegenüber ZDNet.de. Nominum wird von Paul Mockapetris geleitet, der DNS im Jahr 1983 erfand und in den RFCs 882 und 883 niederschrieb. Ferner ist Mockapetris Chef-Wissenschaftler bei Nominum.

Tumuluri wollte gegenüber ZDNet keine Namen von Providern nennen, führte jedoch an, dass nahezu alle deutschen Provider bei ihrer DNS-Infrastruktur auf Nominum setzen. Die Technologie für die Umsetzung des Internetzensurgesetzes sei bereits fertig und müsse nur noch in die bestehende DNS-Infrastruktur integriert werden.

Nominum wolle das Internetzensurgesetz nicht bewerten. Man sei eine kommerzielle Firma und wolle den Providern helfen, die gesetzlichen Notwendigkeiten umzusetzen. Dabei spiele auch die Generierung von Umsatz eine Rolle. Paul Mockapetris stünde persönlich voll und ganz hinter der Umsetzung der Sperre mittels DNS-Spoofing in Deutschland.

Tumuluri bezeichnete die „DNS-Umleitungen“ als einen sinnvollen Weg bei der Durchsetzung von Sperren. Dabei werde kein Traffic der Anwender durchsucht. Ferner werde Nominum sicherstellen, dass es den Providern nicht möglich ist, die IP-Adressen von DNS-Anfragen gegen die Nominum-Zensurserver mitzuloggen.

Zunächst gab Tumuluri vor, dafür zu sorgen, dass auch die IP-Adressen von Zugriffen auf die Webserver mit den Stopp-Seiten nicht gespeichert werden könnten, und räumte erst nach mehrmaliger Nachfrage durch ZDNet ein, dass Nominum am Betrieb dieser Server nicht beteiligt sei und somit keinen Einfluss auf das Logging nehmen könne. Alle Provider, mit denen er gesprochen habe, hätten sich jedoch gegen ein solches Logging ausgesprochen.

Das Internetzensurgesetz verbietet Logging nicht explizit. Es sieht lediglich vor, dass die IP-Adressen nicht generell ohne konkreten Verdacht für die Strafverfolgung eingesetzt werden dürfen.

Um zu verhindern, dass die Sperrlisten öffentlich werden, kümmere sich Nominum darum, dass diese Listen sicher verschlüsselt auf den Zensurservern abgelegt werden. Bedienungspersonal bei den Providern, das die Listen veröffentlichen will, hätte keine Chance.

Technische Probleme, die durch das staatliche DNS-Spoofing verursacht werden, sieht Tumuluri nicht. Man kenne die Studien des ICANN-Sicherheitskomitees. Er habe jedoch noch nie erlebt, dass es Probleme gegeben hätte. Man könne schließlich Workarounds entwickeln.

Ebenso unproblematisch sieht Tumuluri die unter anderem von Kabel Deutschland und T-Online bereits praktizierten DNS-Fälschungen bei Domain-Vertippern. Die DNS-Server der beiden Provider geben bei nicht existierenden Domainnamen anstelle des DNS-Fehler 3 (NXDOMAIN) eine IP-Adresse zurück, die auf Such- und Werbeseiten führt.

Diese Technologie setze Nominum verantwortungsvoll ein. Man grenze sich dabei von Missbrauch ab, indem man nur DNS-Namen fälsche, die mit www. beginnen. Ansonsten bekomme der Client einen NXDOMAIN-Fehler zurück. Dass es ein Widerspruch in sich ist, dass die Domain www.example.com eine IP-Adresse hat, obwohl die Mutterdomain example.com gar nicht existiert, wollte Tumuluri nicht einsehen.

Da es unüblich sei, dass etwa VoIP-Telefonieserver mit www. beginnen, komme es auch nicht zu Störungen. Falls doch, stünde es den Anbietern schließlich frei, den Namen ihrer Server zu ändern.

Gänzlich anders sieht das unter anderem Paul Vixie, der beim Internet System Consortium (ISC) die Weiterentwicklung von BIND vorantreibt. Er gehört zu den Unterzeichnern des Appells gegen jegliche DNS-Fälschungen. Nominum hatte im Auftrag des ISC Version 9 von BIND entwickelt. Tumuluri kommentierte dazu, dass Nominum nicht mehr an BIND arbeite. Die Zusammenarbeit sei beendet. Man kooperiere allerdings weiter bei der Implementierung von DNSSEC.

HIGHLIGHT

ZDNet.de für mobile Geräte: m.zdnet.de

ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.

Themenseiten: Internet, Privacy, Telekommunikation, Zensur

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu DNS-Erfinder Paul Mockapetris implementiert die Internetzensur in Deutschland

Kommentar hinzufügen
  • Am 16. Juli 2009 um 22:42 von Harald

    Er hätte auch kurz schreiben können:
    "ich helfe auch gerne Schurkenstaaten dabei Gegner der Macht ausfindig zu machen und ich würde auch meine Oma verkaufen, Hauptsache ich bekomme Geld dafür!"

    • Am 17. Juli 2009 um 14:42 von ja

      AW: Er hätte auch kurz schreiben können:
      haste recht

  • Am 17. Juli 2009 um 15:01 von Jan

    http://www.wasfuereinschwachsinn
    Man will also nur http://www.$domain.$tld fälschen?
    ficken.kinder.com bleibt also erreichbar?
    Oder hab ich da was nicht verstanden?

    • Am 17. Juli 2009 um 17:28 von Christoph H. Hochstätter

      AW: http://www.wasfuereinschwachsinn
      Dass Fälschen von www.* bezieht sich auf den im vorigen Absatz genannten Sachverhalt der Falschauflösung von nicht existierenden Domains, wie es Kabel Deutschland und T-Online heute einsetzen. Das ist dieselbe Technologie, wie sie bei der Zensur zum Einsatz kommt und wird auch von Nominum bereitgestellt.

      Bei der staatlichen Zensur wird/werden genau die Domain(s) gefälscht, unter der/denen der angeblich verbotene Content gehostet wird. Etwa childpics.myserver.darktech.org. Da kommt eine www. Sperre nicht in Betracht.

      Problematisch wird es, wenn ein Hoster sein Hosting unter einer Adresse wie xyz.example.com/username anbietet, da per DNS nur xyz.example.com als Domain komplett gefälscht werden kann

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *