Mit diesem Beitrag will ich über die Technologie von Internet-Sperren informieren. Mein Zielpublikum sind dabei Laien und Fachleute gleichermaßen. Neben den Grundbegriffen sollen hier auch einige fortgeschrittenere Sperr-Techniken schildern, die leider in vielen technischen Fachberichten nicht beschrieben sind – die es aber trotzdem gibt. Ziel des Artikels ist dabei technische Information. An dem Artikel wird noch gearbeitet. Derzeit ist er in der Version 0.3. Kommentare werden gerne genommen und eingearbeitet.
Variante 1: DNS Manipulation beim eigenen Provider
Hintergrund: Zuerst gibt man in der Adress-Zeile eine URL ein, http://www.bundestag.de/petitionen.html zum Beispiel. Oder man klickt auf einen Link – dieser ist dann wieder mit einer solchen URL-Adresse verbunden. Diese URL-Adresse sagt uns nun, dass der Rechner mit Namen www.bundestag.de eine Datei namens petitionen.html im Browser anzeigen soll. Nun muß der Browser ausgehend vom Rechner-Namen die Internet-Adresse herausfinden, unter welcher dieser Rechner www.bundestag.de erreichbar ist. Dazu befragt der Browser den sogenannten DNS (Domain Name Service). Dieser übersetzt die Rechner-Namen in Internet-Adressen, etwa in die Internet-Adresse 217.79.215.140. Nun kontaktiert der Browser diese Internet-Adresse um dort die entsprechende Datei abzurufen.
Manipulation: Der DNS-Dienst wird dabei vom Internet-Provider auf einem besonderen DNS-Rechner zur Verfügung gestellt. Der Provider kann seinen DNS-Rechner beauftragen, für den Rechner-Namen www.das-soll-zensuriert-werden.de eine andere, falsche Internet-Adresse zu übergeben. Dann wird natürlich ein anderer Rechner abgefragt und man bekommt nicht die ursprünglich abgerufene Datei zu sehen.
Schutz: Eine solche DNS-Manipulation kann einfach vermieden werden. Dazu muß man seinen Rechner nur anweisen, einen anderen DNS-Rechner als den des Providers zu beauftragen. Es gibt viele öffentlich erreichbare, nicht manipulierte DNS-Rechner, die nicht den deutschen Provider-Verträgen oder Sperrgesetzen unterliegen. Universitäten und Schulen oder kleine Provider nimmt das Gesetz explizit aus. Man kann einen freien DNS-Rechner von einem kommerziellen Anbieter verwenden (Opendns, Freedns) verwenden, von einer Institution (Liste1, Liste2) sogar seinen eigenen DNS-Dienst selber betreiben (Anleitung für Windows Server). Man kann aber auch Zusatzprogramme benutzen, die mehrere DNS-Rechner abfragen und Alarm schlagen, wenn einige DNS-Rechner abweichende Resultate liefern (eines entwickle ich gerade selber). Gegen diese Schutzmaßnahme gibt es aber leider ein Gegenmittel, das DNS-Redirect (siehe weiter unten!)
Variante 2: Routing Manipulationen bei den Providern
Hintergrund: Der Browser sendet nun ein Datenpaket an die vom DNS-Rechner ermittelte Internet-Adresse, um dort die angeforderte Datei zu erhalten. Diese Datenpakete werden vom Router eines Providers zum nächsten Router gesendet und zum nächsten, bis sie schließlich am Zielrechner ankommen.
Manipulation: Man kann einen Router nun so manipulieren, dass er Datenpakete überhaupt nicht mehr ausliefert und stattdessen nur eine Fehlermeldung oder eben ein Stoppschild zurückliefert. Diese Manipulation kann auf den Routern des eigenen Providers geschehen, sie kann aber auch auf weit entfernten Routern anderer Provider geschehen (und nicht einmal der eigene Provider braucht das zu wissen). So gibt es etwa in China oder in einigen arabischen Staaten nur wenige Ãœbergänge vom “Inland” ins “Ausland” (Wikipedia, Focus, Compass). An diesen Ãœbergangspunkten wird kontrolliert, ob jemand aus dem “Inland” auf einen unzulässigen Rechner im “Ausland” zugreifen möchte.
Diese Manipulationen haben eine Nebenwirkung. Ein Rechner kann nämlich mehr als eine Web-Präsenz zur Verfügung stellen. So kann die Web-Präsenz von www.mueller.de und jene von www.maier.de auf demselben Rechner mit der Internet-Adresse 192.67.198.33 liegen. Der Browser sagt deshalb dem Rechner auch, dass er die Daten zu www.mueller.de haben möchte. Wenn man also Pakete zum Rechner 192.67.198.33 blockiert, dann blockiert man damit nicht nur die Web-Präsenz von www.mueller.de (die man zensurieren möchte), sondern auch die Web-Präsenz von www.maier.de. Neben den Web-Präsenzen von www.mueller.de und www.maier.de können auf dem Rechner 192.67.198.33 noch viele weitere Web-Präsenzen und Dienste laufen, die alle mit beeinträchtigt wären.
Schutz: Gegen eine solche Manipulation kann man sich dadurch schützen, indem man die Webseite nicht direkt abruft, sondern von Stellvertretern (sogenannten Proxies) abrufen läßt. Man beauftragt also einen Rechner in Kanada (und am besten noch einen weiteren Rechner in Kuba, einen in Italien und einen in der Schweiz) die Web-Seite abzuholen und einem zuzusenden. Wenn die Web-Seite in einem dieser Länder zugänglich war, dann kann man sie ansehen. Ferner kann man die Web-Seiten-Versionen mit einander vergleichen und dadurch feststellen, ob die Inhalte manipuliert wurden. Natürlich wird man die Inhalte dabei verschlüsseln. Es gibt eine Vielzahl von solchen Proxies (Proxyliste, Proxy.Org, free proxy list), aber nicht alle Proxies sind vertrauenswürdig. Einerseits verschlüsseln viele Proxies nicht, andererseits kann die Proxy-Technik auch zum systematischen Abhören eines Surfers benutzt werden (sog. Web Spoofing). Die Entscheidung, welches Proxy vertrauenswürdig ist, fällt daher nicht so leicht – es gibt aber gute Beschreibungen und Hinweise im Internet dazu. Als sehr sicher gelten der JAP, der Jondonym und das Tor System.
Variante 3: Deep Packet Inspection (DPI)
Vorbemerkung: In der Diskussion um Internet-Sperren wurde oft behaupte, dass die eingesetzte Technologie aus DNS-Sperren besteht. Das ist sehr unwahrscheinlich, denn solche DNS-Sperren sind völlig wirkungslos (siehe oben). Ferner sind solche DNS-Sperren innerhalb von Minuten-Frist zu schalten und würden nicht noch circa 6-monatige Programmierarbeiten erfordern. Ebenso wurde behauptet, dass Routing-Manipulationen nicht eingesetzt werden, weil der Kollateralschaden auf andere Web-Präsenzen zu hoch ist. Das ist denkbar, aber nicht wirklich auszuschließen. Viel wahrscheinlicher aber ist, dass die sogenannte Deep Packet Inspection benutzt wird.
Hintergrund: Bei Deep Packet Inspection werden die einzelnen Pakete von einem Router nicht nur an die (richtige oder falsche) Zieladresse versendet, sie werden auch – der Name sagt es – im Detail inspiziert. Dabei kann der Router etwa feststellen, ob ein Paket an den Rechner 192.67.198.33 dort die Web-Seiten von www.mueller.de (die man zensurieren möchte) oder die Web-Seiten von www.maier.de abholen will. Der Router, der dann aber auch über diese speziellen Deep Packet Inspection Fähigkeiten verfügen muß, kann also das eine Abfrage-Paket korrekt weiterleiten und das andere, unerwünschte nicht weiterleiten oder auf ein Stopp-Schild umlenken. Auf diese Art und Weise können die Kollateral-Schäden der Routing-Manipulationen vermieden werden.
Mit Deep Packet Inspection kann außerdem viel punktgenauer zensuriert werden. Nun werden nicht mehr alle Webseiten von www.mueller.de gefiltert, sondern nur mehr jene, auf denen bestimmte indizierte Begriffe aufscheinen, die bestimmte Bilder enthalten oder die auf bestimmte Informationen verweisen. Die unerwünschten Inhalte können nicht nur unterdrückt, sie können auch durch andere ersetzt werden. Dem Websurfer wird damit auch nicht mehr erkenntlich, dass zensuriert wird. Er sieht einfach bestimmte Inhalte nicht mehr – oder er sieht die Inhalte in veränderter Form (Deep Packet Modification)
Das berühmte insert_coin Experiment hat bereits 2001 gezeigt, wie leicht 2 Personen die Inhalte kontrollieren können, die eine ganze Institution zu lesen bekommt. Im Safer Internet Project werden collaborative Web-Filter entwickelt: Inhalte, welche eine Mehrheit von Benutzern nicht sehen will, können rausgefiltert werden: Minderheiten und Randgruppen sind in einer solchen Welt kein Problem mehr: Ihre Meinung findet sich in einem solchen Netzwerk einfach nicht mehr.
Eine zweite, etwas einfachere Einsatzmöglichkeit von Deep Packet Inspection bietet das DNS-System. Wir erinnern uns an die Variante 1 (DNS-Manipulation beim eigenen Provider) und die dort vorgestellten Schutz-Maßnahmen. Ein Router, etwa der Telekom, könnte nun jedes DNS-Anfrage-Paket analysieren, das er in das Internet vermitteln soll. Wenn nun ein Kunde beispielsweise der Telekom die Internet-Adresse von www.das-wollen-wir-zensieren.de nicht beim offiziellen DNS-Rechner der Telekom sondern bei einem anderen, nicht-maniuplierten DNS-Rechner in Kanada ermitteln möchte, dann leitet der Router der Telekom diese Anfrage einfach nicht an den kanadischen DNS-Rechner weiter, sondern beantwortet die DNS-Abfrage gleich selber. Damit niemand Verdacht schöpft kann er auch gleich noch als Absender dieser Antwort sich selber eintragen (statt korrekterweise den kanadischen DNS-Rechner).
Schutz: Will man sich gegen Deep Packet Inspection und damit einhergehende Manipulationen schützen, so sollte man den gesamten Internet-Verkehr zu verschlüsseln. Dann kann niemand mehr in die Datenpakete hineinschauen oder diese verändern. Leider kommunizieren heute noch fast alle Mail-, Web- und DNS-Server unverschlüsselt und gestatten damit alle möglichen Manipulationen! Die einfachste Lösung wäre: Jeder bietet Inhalte nur verschlüsselt an, dann ist der Empfänger der Informationen vor Verfälschung und Manipulation geschützt. Die Verschlüsselung kann dabei auch so aufgesetzt werden, dass die Anonymität des Senders und des Empfängers gewährleistet ist.
Wenn die Inhalte verschlüsselt sind, dann besteht aber immer noch die Gefahr eines Key-Loggers, oder das, was in dieser Karikatur angedeutet ist:
Man kann aber auch andere Rechner in Kanada, Italien, Kuba, wo auch immer, um Hilfe bitten. Man frägt diese Rechner über ein besonderes Protokoll an (dieses ist natürlich verschlüsselt), eine bestimmte Web-Seite für einen zu besorgen und einem diese zuzuschicken. Natürlich auch wieder verschlüsselt. Hat man genügend vertrauenswürdige Freunde in Kanada oder Kuba, dann klappt das wieder.
Im Internet stehen sehr viele Systeme kostenfrei zur Verfügung (Tor, I2P, Freenet, PerfectDark, Share, GNUnet, Freeway u. a.), welche die genannten Eigenschaften haben.
Variante 4: DNS Port Sperre
Hintergrund: Datenpakete im Internet laufen über bestimmte Ports. Web-Seiten nutzen etwa den Port 80, ausgehende eMail nutzt den Port 25. Bei einer DNS Port-Sperre leitet der Internet-Provider Anfragen an einen DNS-Rechner einfach nicht weiter. Weil aber ohne DNS-Dienst ein Browser nicht funktioniert, bleibt dem frustrierten Benutzer nichts anderes übrig, als auf seine Schutzmaßnahme, andere DNS-Rechner zu nutzen, zu verzichten.
Kommentar: Eingriffe mit Port Sperren werden oft als sehr tiefgehende Eingriffe in das Internet angesehen und daher als nicht realistisch betrachtet. Ich halte diese Ansicht aber für verfehlt. Es gibt genügend Beispiele, die zeigen, dass Provider bereits heute vor solchen Maßnahmen nicht zurückschrecken:
- Skype Sperre: Bericht bei macwelt
- VoIP Sperre: Über ein Mobiltelefon kann man nicht nur via GSM/UMTS telefonieren, man kann auch über den Datendienst die Internet-Anbindung einschalten und dann Voice over IP nutzen. Das ist vorallem dann billiger, wenn man Ferngespräche mit dem Handy führen möchte. Daher schalten viele Mobilfunk-Provider bei den Datendiensten genau die Ports ab, über welche die VoIP Dienste üblicherweise laufen. Beispiel1,
- VPN Sperre: Wenn ein Mobilfunk Provider verhindern möchte, dass seine Kunden auf sichere Art und Weise auf ihr Firmennetzwerk zugreifen können, dann muß er nur entsprechende VPN Ports sperren. Der Kunde muß dann teuere Zusatzprodukte kaufen und bezahlen, nur damit diese Ports wieder aufgesperrt werden. Beispiel1,
Variante 5: DNS Full Service
Hintergrund: Diese Variante der Internet-Sperre kommt im Gewand eines besonderen Kunden-Dienstes. Sie wechseln auf einen neuen, leistungsfähigeren Internet-Anschluß (DSL 16.000 oder VDSL) und bekommen einen neuen Router. Bei diesem ist alles automatisch schon für Internet-Fernsehen und was weiß man nicht alles voreingestellt. Um DNS und so Käse muß man sich nicht mehr kümmern. Das macht alles das neue Kistchen vom Provider. Nur: Das neue Kistchen läßt einen an die Einstellungen für DNS und-so-weiter auch gar nicht mehr heran. Der eigene PC delegiert in diesem Ansatz die Anfragen, Rechnernamen in Internet-Adressen zu übersetzen, an dieses tolle Kistchen. Versuche, diese Ãœbersetzung an Drittrechner in Kanada zu delegieren werden unterbunden. Der Vorteil ist: Das Ding ist echt plug-and-play. Einstecken und geht. Kein konfigurieren mehr. Man kann es aber auch nicht mehr konfigurieren…
Für Variante 3 (DPI) spricht noch etwas mehr:
Ohne DPI liessen sich auf z.B. youtube befindliche Seiten nur ganz oder gar nicht ausblenden. Will man aber nur bestimmte Seiten bei Film- oder Bildhostern ausblenden, kommt man um DPI gar nicht herum.
DPI greift m.E. aber ganz massiv ins TKG ein.
Für DPI spricht auch ganz massiv, dass die Provider nach Eigenaussage noch ca. 6 Monate programmieren müssen und dass in der Auskunftsverweigerung des BKA geistiges Eigentum der Provider genannt wird.
Ich bin mir sehr sicher, dass DPI geplant ist.
Einen massiven Eingriff in das TKG sehe ich nicht. Bei den Providerverträgen: Da wird das in die AGBs kommen, wer nicht will, kann kündigen. Zum Teil wird heute schon (Skype, Voip, IM) schon so eine Eingriffstiefe gemacht. Hinweis in den Tarifbedingungen: VOIP ist nicht Teil der Vereinbarung.
Im Zensurgesetz wird dabeistehen “Die Grundrechte nach Par. und Absatz so-und-so werden durch dieses Gesetz eingeschränkt” und gut ist es.