Bei fast allen deutschen Providern soll Nominum mit seinem Produkt Vantio MDR die staatliche Zensur durchsetzen. ZDNet erklärt die Funktionen und zeigt die Schwachstellen auf, die zur Veröffentlichung der Sperrliste führen werden.
Wenn es nach dem Willen von Regierung und Parlament geht, tritt das Internetzensurgesetz[1] bereits am 1. August in Kraft. Auch ohne die Absicht, sich Zugang zu kinderpornografischem Material zu verschaffen, kann man durch unbedachtes Anklicken eines Links, beispielsweise in einer Spam- oder Hoax-Mail, auf die Verdächtigenliste des BKA geraten.
Grundsätzlich ist es daher sinnvoll, sich der staatlichen Zensur durch die Nutzung freier DNS-Server, die mit den Zensurservern der Provider nicht verbunden sind, zu entziehen. Wie man das am besten macht, beschreibt ZDNet in dem Artikel Internetzensur: Freie DNS-Server schützen vor falschem Verdacht[2].
Zudem ist es sinnvoll, einiges über die Zensurserver zu wissen. Beispielsweise lassen sie sich dazu nutzen, die Sperrliste des BKA zumindest teilweise zu ermitteln. So kann jedermann überprüfen, ob das BKA die Zensur eventuell über den zulässigen Bereich der Kinderpornografie ausdehnt.
Das DNS-System ist eine verteilte Datenbank. Für eine Domain sind ein oder mehrere DNS-Server zuständig. Nahezu alle Domain-Registries verlangen mindestens zwei Server. Verbindliche Auskünfte gibt es nur bei diesen Servern. Sie heißen autoritative Server.
Jeder Domaininhaber ist grundsätzlich selbst verantwortlich, diese Server zu betreiben oder die Einträge für die eigene Domain auf bestehenden DNS-Servern vorzunehmen. Im DNS-Jargon werden alle Einträge für eine Domain "Zone" genannt. Wer konfektionierte Webhosting-Angebote mit eigener Domäne ordert, bekommt allerdings normalerweise von seinem Webhoster seine Zone automatisch auf dem DNS-Server des Hosters fertig konfiguriert.
Damit die autoritativen Server gefunden werden können, müssen sie neben der eigenen Zone immer in der Zone der nächsthöheren Domain eingetragen sein. Bild 3[3] zeigt, dass eine Anfrage nach den DNS-Servern für die Zone free-germany.com bei einem autoritativen Server für die Top-Level-Domain (TLD) .com zum gleichen Ergebnis führt wie eine Anfrage bei einem autoritativen Server für die Domain free-germany.com. Fragt man hingegen einen autoritativen Server für die TLD .de, bekommt man nur den Fehler 5 (REFUSED), siehe Bild 4[4]. Manche Server geben statt eines Fehlers die "bestmögliche" Antwort zurück, die ihr aktueller Cache erlaubt. Im Zweifel lautet diese jedoch, dass man die Root-Server befragen solle.
Bildergalerie
So funktioniert die DNS-Zensur bei deutschen Providern[5]
» zur Bildergalerie ...[5]Client-Computer benötigen jedoch einen DNS-Server, der alle Anfragen beantwortet. Dies können nur DNS-Server, die so konfiguriert sind, dass sie alle Fragen eines Rechners beantworten. Dies machen sie "rekursiv", indem sie bei den Root-Servern beginnen und sich durch die Nameserver-Hierarchie hangeln, bis sie die richtige Antwort von einem autoritativen Server der angefragten Zone erhalten. Diese leiten sie an den Client weiter.
Solche rekursiven Server sind bei den Providern installiert und werden normalerweise dem Client-PC oder NAT-Router automatisch mitgeteilt. Typischerweise erlauben die rekursiven Server keine Nutzung durch jedermann. Die Providerserver lösen in der Regel nur Anfragen aus dem eigenen Netz auf. Ist man beispielsweise über M-Net im Netz, beantwortet ein DNS-Server von Kabel Deutschland keine Anfragen, siehe Bild 5[6]. Aus dem eigenen Netz funktioniert die Auflösung ohne Probleme, siehe Bild 6[7].
Rekursive Server und Autoritative Server schließen sich nicht grundsätzlich aus. Ein gemischter Betrieb ist durchaus üblich. Viele Firmen-DNS-Server fungieren als autoritative Server für die firmeneigenen Domains und erlauben gleichzeitig allen Intranet-Rechnern die rekursive Auflösung aller anderen Domains.
Diesen Mischbetrieb machen sich die Zensurprovider zu Nutze. Es ist bei jedem DNS-Server möglich, beliebige Zonen als autoritativ zu kennzeichnen, obwohl die TLD-Server nicht auf diesen Server verweisen. Beim Microsoft-DNS-Server kann man das bequem über das GUI erledigen, siehe Bild 7[8]. Unter Unix-Betriebssystemen muss für den Standard-Nameserver BIND eine Konfigurationsdatei wie in Bild 8[9] gezeigt erstellt werden.
Die Beispielkonfiguration lenkt alle Anfragen an example.com und www.example.com auf den Stopp-Schild-Webserver um. Außerdem werden alle Mails an die Domain example.com direkt an das Bundeskriminalamt geschickt. Obwohl die TLD-Server für die Domain .com weiterhin auf die richtigen DNS-Server a.iana-servers.net und b.iana-servers.net zeigen, werden alle Nutzer der Server ns1.zensurprovider.de und ns2.zensurprovider.de mit Falschinformationen versorgt, da sich der Server für autoritativ erklärt. Einen Cross-Check gegen die zuständigen TLD-Server macht kein DNS-Client. Das würde zusätzlichen Netzwerktraffic verursachen und Zeit kosten.
Die Beispiele aus den Bildern 7 und 8 zeigen zudem, dass der Name example.com in den Konfigurationen nicht vorkommt. Es ist also möglich, für jede Domain, die zensiert werden soll, exakt die gleiche Datei zu verwenden. Sie muss nicht einmal mehrfach auf dem primären DNS-Server vorgehalten werden. Soll neben example.com auch example.net gesperrt werden, reicht es aus dieselbe Datei in die BIND-Konfigurationsdatei einzubinden. Am besten bindet man dazu eine Include-Datei ein, die die zensierten Domains enthält. Das könnte dann etwa so aussehen, wie in Bild 9[10] gezeigt. Bild 10[11] zeigt, dass mit derselben Datei die Domains example.com und example.net zensiert werden können.
Bei den meisten deutschen Providern ist nicht BIND im Einsatz, sondern eine Lösung von Nominum, die sich Vantio nennt. Nach Angaben von Nominum werden 90 Prozent der Breitbandhaushalte in Deutschland mit DNS-Diensten von Nominum versorgt. Das Vantio Basismodul basiert auf BIND9. Nominum hatte BIND9 seinerzeit im Auftrag des Internet System Consortium (ISC) entwickelt. Vantio besitzt im Gegensatz zu BIND9 allerdings ein GUI und bietet umfangreiche Abwehrmaßnahmen zum Schutz vor Cache-Poisoning und DDoS-Attacken. Der Vorsitzende des Verwaltungsrates (Board of Directors) ist Paul Mockapetris, der Erfinder von DNS.
Nominum bemüht sich aktiv[12] darum, bei den deutschen Providern die Zensurinfrastruktur zu implementieren. Für DNS-Fälschungen bietet Nominum zwei verschiedene Module an: Vantio NXR[13] und Vantio MDR[14], die von den Providern mit zusätzlichen Kosten lizenziert werden können. NXR ist ein Modul, das nicht existierende Domains vortäuscht. Wenn sich ein Nutzer bei der Eingabe einer Domain vertippt, etwa www.zdnet.comm statt www.zdnet.com, dann landet der Surfer auf einer Such- und Werbeseite des Providers.
Das hat mit dem Internetzensur nicht direkt etwas zu tun, ist aber genauso kritisch zu sehen, da auch durch derartige Fälschungen die Integrität von DNS ausgehebelt wird. Diese Technologie wird in Deutschland unter anderen von T-Online und Kabel Deutschland eingesetzt. Sie ist ein schwerer Verstoß gegen die Netzneutralität.
Das Modul MDR (Malicious Domain Redirection) erlaubt die Fälschung von unerwünschten beziehungsweise gesetzlich zensierten Domains. Vom Prinzip her funktioniert dieses Modul wie die beschriebene Methode bei BIND oder dem Microsoft-DNS-Server. Mittels MDR-Plug-in erklärt sich der Vantio-Server für die zensierten Server als autoritativ und gibt eine falsche IP-Adresse zurück. Es ist allerdings davon auszugehen, dass das MDR-Modul in der Antwort vorgibt, dass der Server nicht autoritativ sei, indem er das Authoritative-Answer-Flag (AA-Flag) nicht setzt. Dies ergibt sich daraus, dass sich auch das NXR-Modul so verhält, siehe Bild 11[15]. So entsteht der Eindruck, die Antwort käme aus dem Cache.
Ebenfalls erkennt man in Bild 11, dass das NXR-Modul eine TTL-Zeit von Null zurückgibt. Die Antwort wird also auf dem Client nicht gecacht. Hier muss man jedoch annehmen, dass das MDR-Modul eine Cache-Zeit größer Null zurückgibt. Die Erkennung einer zensierten Domain wäre allzu einfach. Man darf aber davon ausgehen, dass die TTL-Zeit bei jeder Abfrage konstant ist. Fragt man eine mittels MDR zensierte Domain zweimal ab und lässt zwischen den beiden Anfragen mindestens eine Sekunde Zeit, dann bedeutet ein identischer TTL-Wert, dass die Antwort gefälscht ist.
Das Gegenstück zum Vantio-MDR-Modul ist die Centris-Datenbank[16]. Sie basiert im Prinzip auf einem DNS-Server mit autoritativen Zonen. Als einfacher Forwarder lässt sie sich jedoch nicht nutzen, sonst könnte man sie mit jedem DNS-Server einsetzen. Mit einem eigentlich überflüssigen MDR-Modul wäre für Nominum kein zusätzliches Geld zu verdienen. Die Centris-Datenbank kann mit den Sperrlisten des BKA gefüttert werden.
Centris und MDR arbeiten mit hohen Sicherheitsstandards. Laut Auskunft[12] von Gopala Tumuluri, Vice President für Marketing bei Nominum, sind alle Daten auf den Servern und die Kommunikation verschlüsselt. Bedienungspersonal bei den Providern habe keine Chance, an die Sperrlisten zu kommen.
Um ein geschlossenes Sicherheitskonzept zu realisieren, müsste die Centris-Datenbank idealerweise beim BKA betrieben werden. Das ist jedoch unwahrscheinlich, da das BKA sich technisch nicht einmal in der Lage sieht, einen Webserver mit der Stopp-Seite selbst zu hosten. Forderungen der Provider, dass das BKA einen Zensur-DNS-Server betreiben solle, den die Provider als Forwarder nutzen, lehnte das BKA kategorisch ab. Nach Auskunft eines ZDNet bekannten Providers soll das BKA vorgeschlagen haben, täglich eine Excel-Liste mit den zensierten Domains per E-Mail zu schicken.
Bei den Providern betriebene Centris-Datenbanken können laut Centris-Datenblatt vom BKA in verschlüsselter Form angeliefert werden. Allerdings kann das BKA die Provider nicht zwingen, die Nominum-Produktlinie einzusetzen. Kleinere Provider, die mindestens 10.000 Kunden haben, aber eine Open-Source-Lösung auf Basis von BIND einsetzen, haben nach dem Internetzensurgesetz einen Rechtsanspruch auf die Sperrlisten. Das schreibt §1[17] dem BKA vor.
Selbst wenn das BKA ein verschlüsseltes Protokoll vorschreibt, ist es solchen Providern möglich, die Sperrliste komplett einzusehen, wenn sie als Zonenliste für BIND auf dem DNS-Server vorliegt. Eine Veröffentlichung der Liste auf Websites wie Wikileaks ist daher wahrscheinlich.
Clevere Programmierer haben bereits begonnen, Software zu entwickeln, die DNS-Ergebnisse von freien DNS-Servern[2] mit denen der Zensurprovider vergleicht. Mittels eines Distributed Computing Projektes wäre es leicht möglich, eine große Anzahl von Domains zu testen. Der Erfolg wird aber geringer sein als erhofft. Es ist zwar möglich, die Domainlisten der TLDs zu beschaffen, so dass man schnell example.com und www.example.com testen kann, jedoch wissen selbst die TLDs nicht, ob es etwa eine Domain namens childpics.darkserver.example.com gibt. Einzige Möglichkeit das herauszufinden, wäre ein AXFR[18]. Die meisten DNS-Server sind jedoch so konfiguriert, dass sie AXFR und IXFR[19] nur zwischen den autoritativen Servern für eine Zone zulassen.
Solange die deutschen Zensurlisten nicht öffentlich sind, ist es erfolgversprechender, sich die Listen anderer Länder von Wikileaks zu holen und die dort aufgeführten Domains gegen die Zensurprovider zu testen. So lässt sich zumindest ein Teil der Sperrliste ermitteln. Es dürften dabei viele Ungereimtheiten auftreten, da man davon ausgehen darf, dass das BKA aus Bequemlichkeit die Listen anderer Länder ohne weitere Prüfung übernimmt.
Auf den bekannten Listen befindet sich unter anderem eine Site aus Indien, auf der unbekleidete Damen und erkennbar männliche Säugetiere abgebildet sind. Das ist nicht jedermanns Geschmack, aber die Damen sind augenscheinlich mindestens 18 Jahre alt. Somit ist eine Sperre dieser Website durch das Internetzensurgesetz nicht gedeckt.
Ebenso ist es keine gute Idee, die wenigen öffentlichen freien DNS-Server[20] für einen Massenabgleich gegen die Zensurprovider zu verwenden. Ihre Kapazität wird dringend benötigt, um Internetnutzer vor ungerechtfertigten Strafverfolgungsmaßnahmen zu schützen.
Besser ist es, diese Abfragen nur gegen die Zensurserver laufen zu lassen. Sobald nur eine zensierte Website bekannt ist, kann man beim Zensurprovider die falsche IP-Adresse abfragen. Liefert eine andere Domain dieselbe IP-Adresse zurück, so handelt es sich ebenfalls um eine zensierte Domain. Sollte sich die Vermutung eines konstanten TTL-Wertes als richtig herausstellen, ist es ebenfalls nicht erforderlich, Kapazitäten von freien DNS-Servern zu nutzen.
Die Fälschung von DNS-Ergebnissen ist ein schwerer Angriff auf einen wichtigen Infrastrukturdienst des Internets. Das Internet funktioniert nur, wenn man sich darauf verlassen kann, dass alle Knoten der verteilten Datenbank DNS identische Ergebnisse liefern. Die bewusste Falschauflösung nicht existierender Domains mittels eines absichtlichen Fälschungsdienstes wie Vantio NXR ist dabei genauso schädlich, wie die Zensur mit Vantio MDR. Langjährige Studien des ICANN-Sicherkomitees[21] belegen dies eindrucksvoll.
Nominum und sein Chairman Paul Mockapetris setzen sich mit der Monetarisierung der Zensur wahrhaftig kein rühmliches Denkmal, zumal Nominum sein MDR-Modul noch in ganz andere Zensurländer verkauft. Im Jahr 2003 erklärte[22] Mockapetris in einem Interview mit der c't noch: "Wir müssen als Techniker und Entwickler der Zeit voraus sein, um nicht von politischen Interessen dominiert zu werden".
Glücklicherweise hat Mockapetris in einer Zeit entwickelt, als man sich im Internet um Sicherheit noch keine Gedanken gemacht hat. So hat DNS seine Schwächen. Mit ein wenig Know-how lassen sich große Teile der Sperrliste durch die Zensurserver ermitteln und Mitarbeiter der Provider haben durchaus Möglichkeiten, die Zensurliste unbemerkt aus dem Unternehmen zu schmuggeln, zumal der ein oder andere Provider mit Sicherheit bei einem solchen Versuch gerne wegschaut.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/