DNS-Erfinder Paul Mockapetris implementiert die Internetzensur in Deutschland
Der US-amerikanische DNS-Spezialist Nominum wird bei deutschen Providern die Fälschung von DNS-Antworten implementieren, die das heftig umstrittene Internetzensurgesetz vorschreibt. Das erklärte Gopala Tumuluri, Vice President für Marketing bei Nominum, gegenüber ZDNet.de. Nominum wird von Paul Mockapetris geleitet, der DNS im Jahr 1983 erfand und in den RFCs 882 und 883 niederschrieb. Ferner ist Mockapetris Chef-Wissenschaftler bei Nominum.
Tumuluri wollte gegenüber ZDNet keine Namen von Providern nennen, führte jedoch an, dass nahezu alle deutschen Provider bei ihrer DNS-Infrastruktur auf Nominum setzen. Die Technologie für die Umsetzung des Internetzensurgesetzes sei bereits fertig und müsse nur noch in die bestehende DNS-Infrastruktur integriert werden.
Nominum wolle das Internetzensurgesetz nicht bewerten. Man sei eine kommerzielle Firma und wolle den Providern helfen, die gesetzlichen Notwendigkeiten umzusetzen. Dabei spiele auch die Generierung von Umsatz eine Rolle. Paul Mockapetris stünde persönlich voll und ganz hinter der Umsetzung der Sperre mittels DNS-Spoofing in Deutschland.
Tumuluri bezeichnete die "DNS-Umleitungen" als einen sinnvollen Weg bei der Durchsetzung von Sperren. Dabei werde kein Traffic der Anwender durchsucht. Ferner werde Nominum sicherstellen, dass es den Providern nicht möglich ist, die IP-Adressen von DNS-Anfragen gegen die Nominum-Zensurserver mitzuloggen.
Zunächst gab Tumuluri vor, dafür zu sorgen, dass auch die IP-Adressen von Zugriffen auf die Webserver mit den Stopp-Seiten nicht gespeichert werden könnten, und räumte erst nach mehrmaliger Nachfrage durch ZDNet ein, dass Nominum am Betrieb dieser Server nicht beteiligt sei und somit keinen Einfluss auf das Logging nehmen könne. Alle Provider, mit denen er gesprochen habe, hätten sich jedoch gegen ein solches Logging ausgesprochen.
Das Internetzensurgesetz verbietet Logging nicht explizit. Es sieht lediglich vor, dass die IP-Adressen nicht generell ohne konkreten Verdacht für die Strafverfolgung eingesetzt werden dürfen.
Um zu verhindern, dass die Sperrlisten öffentlich werden, kümmere sich Nominum darum, dass diese Listen sicher verschlüsselt auf den Zensurservern abgelegt werden. Bedienungspersonal bei den Providern, das die Listen veröffentlichen will, hätte keine Chance.
Technische Probleme, die durch das staatliche DNS-Spoofing verursacht werden, sieht Tumuluri nicht. Man kenne die Studien des ICANN-Sicherheitskomitees. Er habe jedoch noch nie erlebt, dass es Probleme gegeben hätte. Man könne schließlich Workarounds entwickeln.
Ebenso unproblematisch sieht Tumuluri die unter anderem von Kabel Deutschland und T-Online bereits praktizierten DNS-Fälschungen bei Domain-Vertippern. Die DNS-Server der beiden Provider geben bei nicht existierenden Domainnamen anstelle des DNS-Fehler 3 (NXDOMAIN) eine IP-Adresse zurück, die auf Such- und Werbeseiten führt.
Diese Technologie setze Nominum verantwortungsvoll ein. Man grenze sich dabei von Missbrauch ab, indem man nur DNS-Namen fälsche, die mit www. beginnen. Ansonsten bekomme der Client einen NXDOMAIN-Fehler zurück. Dass es ein Widerspruch in sich ist, dass die Domain www.example.com eine IP-Adresse hat, obwohl die Mutterdomain example.com gar nicht existiert, wollte Tumuluri nicht einsehen.
Da es unüblich sei, dass etwa VoIP-Telefonieserver mit www. beginnen, komme es auch nicht zu Störungen. Falls doch, stünde es den Anbietern schließlich frei, den Namen ihrer Server zu ändern.
Gänzlich anders sieht das unter anderem Paul Vixie, der beim Internet System Consortium (ISC) die Weiterentwicklung von BIND vorantreibt. Er gehört zu den Unterzeichnern des Appells gegen jegliche DNS-Fälschungen. Nominum hatte im Auftrag des ISC Version 9 von BIND entwickelt. Tumuluri kommentierte dazu, dass Nominum nicht mehr an BIND arbeite. Die Zusammenarbeit sei beendet. Man kooperiere allerdings weiter bei der Implementierung von DNSSEC.
Tags:
103 von 106 Lesern fanden diesen Artikel nützlich.
ficken.kinder.com bleibt also erreichbar?
Oder hab ich da was nicht verstanden?
Bei der staatlichen Zensur wird/werden genau die Domain(s) gefälscht, unter der/denen der angeblich verbotene Content gehostet wird. Etwa childpics.myserver.darktech.org. Da kommt eine www./... Sperre nicht in Betracht.
Problematisch wird es, wenn ein Hoster sein Hosting unter einer Adresse wie xyz.example.com/username anbietet, da per DNS nur xyz.example.com als Domain komplett gefälscht werden kann