Zensurgesetz: Provider und BKA mit löchrigen Konzepten

Bei den meisten deutschen Providern ist nicht BIND im Einsatz, sondern eine Lösung von Nominum, die sich Vantio nennt. Nach Angaben von Nominum werden 90 Prozent der Breitbandhaushalte in Deutschland mit DNS-Diensten von Nominum versorgt. Das Vantio Basismodul basiert auf BIND9. Nominum hatte BIND9 seinerzeit im Auftrag des Internet System Consortium (ISC) entwickelt. Vantio besitzt im Gegensatz zu BIND9 allerdings ein GUI und bietet umfangreiche Abwehrmaßnahmen zum Schutz vor Cache-Poisoning und DDoS-Attacken. Der Vorsitzende des Verwaltungsrates (Board of Directors) ist Paul Mockapetris, der Erfinder von DNS.

Nominum bemüht sich aktiv darum, bei den deutschen Providern die Zensurinfrastruktur zu implementieren. Für DNS-Fälschungen bietet Nominum zwei verschiedene Module an: Vantio NXR und Vantio MDR, die von den Providern mit zusätzlichen Kosten lizenziert werden können. NXR ist ein Modul, das nicht existierende Domains vortäuscht. Wenn sich ein Nutzer bei der Eingabe einer Domain vertippt, etwa www.zdnet.comm statt www.zdnet.com, dann landet der Surfer auf einer Such- und Werbeseite des Providers.

Das hat mit dem Internetzensur nicht direkt etwas zu tun, ist aber genauso kritisch zu sehen, da auch durch derartige Fälschungen die Integrität von DNS ausgehebelt wird. Diese Technologie wird in Deutschland unter anderen von T-Online und Kabel Deutschland eingesetzt. Sie ist ein schwerer Verstoß gegen die Netzneutralität.

Das Modul MDR (Malicious Domain Redirection) erlaubt die Fälschung von unerwünschten beziehungsweise gesetzlich zensierten Domains. Vom Prinzip her funktioniert dieses Modul wie die beschriebene Methode bei BIND oder dem Microsoft-DNS-Server. Mittels MDR-Plug-in erklärt sich der Vantio-Server für die zensierten Server als autoritativ und gibt eine falsche IP-Adresse zurück. Es ist allerdings davon auszugehen, dass das MDR-Modul in der Antwort vorgibt, dass der Server nicht autoritativ sei, indem er das Authoritative-Answer-Flag (AA-Flag) nicht setzt. Dies ergibt sich daraus, dass sich auch das NXR-Modul so verhält, siehe Bild 11. So entsteht der Eindruck, die Antwort käme aus dem Cache.

Ebenfalls erkennt man in Bild 11, dass das NXR-Modul eine TTL-Zeit von Null zurückgibt. Die Antwort wird also auf dem Client nicht gecacht. Hier muss man jedoch annehmen, dass das MDR-Modul eine Cache-Zeit größer Null zurückgibt. Die Erkennung einer zensierten Domain wäre allzu einfach. Man darf aber davon ausgehen, dass die TTL-Zeit bei jeder Abfrage konstant ist. Fragt man eine mittels MDR zensierte Domain zweimal ab und lässt zwischen den beiden Anfragen mindestens eine Sekunde Zeit, dann bedeutet ein identischer TTL-Wert, dass die Antwort gefälscht ist.

Das Gegenstück zum Vantio-MDR-Modul ist die Centris-Datenbank. Sie basiert im Prinzip auf einem DNS-Server mit autoritativen Zonen. Als einfacher Forwarder lässt sie sich jedoch nicht nutzen, sonst könnte man sie mit jedem DNS-Server einsetzen. Mit einem eigentlich überflüssigen MDR-Modul wäre für Nominum kein zusätzliches Geld zu verdienen. Die Centris-Datenbank kann mit den Sperrlisten des BKA gefüttert werden.

Centris und MDR arbeiten mit hohen Sicherheitsstandards. Laut Auskunft von Gopala Tumuluri, Vice President für Marketing bei Nominum, sind alle Daten auf den Servern und die Kommunikation verschlüsselt. Bedienungspersonal bei den Providern habe keine Chance, an die Sperrlisten zu kommen.

Themenseiten: Privacy, Security-Analysen, Zensur

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zensurgesetz: Provider und BKA mit löchrigen Konzepten

Kommentar hinzufügen

Kommentare sind bei diesem Artikel deaktiviert.