DNS-Sperren unbedingt umgehen

with tags Politik Rant Säue durchs Dorf treiben Technik -

Dass unsere Lieblings-Bundes-Familienministerin gerade versucht in aller Stille eine Zensurinfrastruktur mit den Worten "Denkt denn keiner mal an die Kinder" zu erschaffen ist ja jetzt wirklich nichts neues mehr. Auch die schlichte Tatsache dass dies im ersten Schritt mit DNS-Sperren durchgeführt werden soll (ja glaubt ihr wirklich das würde lange so bleiben? die nächste Salamischeibe kommt sofort) ist wohl langsam allen bekannt, ebenso dass man diese Sperren umgehen kann wenn man nichtmal 5 Minuten Zeit hat.
Weiterhin ist wohl ebensowenig neu dass die Provider die Zugriffe auf die "Stoppschildseite" loggen sollen und bei Bedarf an das BKA weiterleiten.

Für mich stellt sich jetzt also die Frage: Was machen wir mit diesem Wissen?
Stellen wir uns doch mal ein einfaches Gedankenexperiment vor: Ein wirklich "guter Freund" von dir will sich mal einen Scherz erlauben. Da gerade die neuesten Zensurlisten doch mal wieder irgendwo geleakt sind nimmt er sich also die Adressen von ein paar Bildern die das BKA zensiert und packt die Links in eine E-Mail.
Wir alle wissen dass man Mails z.B. von Freemail-Providern, aus Internetcafés ziemlich anonym absenden kann, er schwebt also kaum in Gefahr jemals entdeckt zu werden. Natürlich fangen Spam-Filter heutzutage die meisten automatisch generierten Mails ab, aber seine ist ja nicht automatisch generiert und wird auch nicht an tausende Personen versendet. Sie geht nur an dich und hat damit eine ziemlich gute Chance durch den Filter zu kommen.

Du bekommst also eine Mail und weil du neugierig bist was dir da jemand für tolle Photos von der letzten Veranstaltung zeigen will, klickst du auf "eingebettete Bilder anzeigen". Dein Client reagiert, löst für jedes Bild einen der gesperrten Hostnamen auf und prompt kommen 20 Requests beim BKA an. Toll oder?
Dabei ist es natürlich auch egal ob sich dein guter Freund wirklich an den Kinderpornos bedient hat, oder ob ihm nur der blinkende GIF-Pfeil auf einer dieser Seiten so gefallen hat... aber solche Kleinigkeiten beachtet eh schon lange keiner mehr.

Nun habt ihr also deine 20 DNS-Abfragen (die alle auf das selbe Stoppschild zeigen) und dein Mailclient (oder Browser bei Webmail) versucht nun via HTTP die Bilder zu laden. Aber da es auf diesem Host die selbigen Bilder natürlich nicht gibt, bekommt er nur eine Umleitung zu sehen und meldet dir entweder dass das Bild nicht gefunden werden konnte oder zeigt dir im ganz kreativen Fall (da müsste ja jemand beim Provider Aufwand in sowas stecken, daran glaub ich irgendwie nicht) sogar ein Bild von der Stopp-Seite an.

Egal was passiert.. die Wahrscheinlichkeit ist groß dass du die Mail einfach in den Spamfilter wirfst (oder nichtmal das, du könntest ja die Bilder nicht sehen und nochmal um andere Links bitten weil die alten kaputt sind... -> weitere 20 Zugriffe) und nie wieder drüber nachdenkst (zumindest bis die netten Herren vom BKA vor der Tür stehen und mal eben eine Hausdurchsuchung machen wollen, da du ja nachweislich letzte Woche auf 20 verschiedenen KiPo-Seiten wart).
Doch selbst wenn dir bewusst ist was da gerade abgelaufen ist.. was willst du tun? Beim BKA anrufen und denen mal eben sagen dass sie die Zugriffe von deiner IP mal kurz ignorieren sollen?

Nein! Du musst vorher handeln! Und wie es der Zufall will gibt es sogar eine Möglichkeit diese guten Freunde ins Leere laufen zu lassen. Wenn man sich also wie an so vielen Stellen beschrieben einen alternativen DNS-Server gewählt hätte, wären die Verbindungen auch weiterhin auf die KiPo-Server aufgelöst worden.
Du hättest also entweder sofort gemerkt womit ihr es zu tun habt und welch bösartigen Freund du da hast oder im schlimmsten Fall hättest du einfach nur ein paar 404er bekommen. Was auf keinen Fall passiert wäre, wäre dass ein ganzer Trupp Polizisten bei dir vor der Tür steht, etliche hundert bis tausend Euro an Aufwand mit den Ermittlungen gegen dich verbrannt werden und dass dein "guter Freund" dir mit dieser Aktion mal so richtig eins auswischen konnte.

Vlt. könnte man ja mit dem gesparten Geld sogar mal jemanden bezahlen der die Täter verfolgt.. ist aber nur sone Idee.

Du denkst dieser Beitrag war übermäßig zynisch? Dann schlaf weiter.. die Leute vom BKA kommen schon bald vorbei und wecken dich (Die kommen meist so zwischen 6 und 7 Uhr Morgens).

Importierte/Alte Kommentare:

#1263: 04.May.2009 12:05 von sirsnookie

Klasse Artikel - du hast eins nur vergessen. Outlook z.B. läd die Bilder sowieso direkt beim klicken auf die Mail, also wenn du sie löschen willst (rechtsklick? haha die mail wird aktiviert und läd den content) machst du dich schon strafbar.

Das schöne dabei ist ja, als BEWEIS liegt die IP vor (wers war kann man ja beim I-Net Caffee so gut nachvollziehen...aber das ist was anderes.) und DU armer Wicht musst nun nachweisen das DU eben NICHT mit Absicht drauf gekommen bist.

Du hast aber was vergessen, die Jungs nehmen alles mit - DVDs, Filme, Spiele, PC, Laptop, Internetfähiges Handy, USB Sticks, Festplatten etc. Am Ende des Tages kannst du froh sein wenn du noch nen TV bei dir stehen hast ...

#1264: 04.May.2009 08:05 von Martin Grandrath

Gut geschrieben und auf den Punkt gebracht. Allerdings beginne ich mich zu fragen, wie lange es wohl dauert bis wir vom ISP unseres Vertrauens auf manipulierte DNS-Server zwangsumgeleitet werden.

#1265: 04.May.2009 10:05 von News vom Montag morgen at zensursu.la

[...] nochmal ein Artikel, warum wir DNS Sperren unbedingt umgehen [...]

#1266: 04.May.2009 12:05 von Yuri

und am besten noch hier unterschreiben: https://epetitionen.bu...

  • #1272: 04.May.2009 11:05 von Dr. Azrael Tod

    schon lange geschehen ;-)
    Wobei ich die Registrierung unnötig komplex finde und schon ziemlich unverschämt ist was man da alles angeben soll.

#1267: 04.May.2009 12:05 von SirSnookie

Naja ich denke an Port 53 werden die sich nicht vergehen. DIe Provider an sich - denen ist das egal - die wollten mit dem Vertrag auch nur PR betreiben das es nachher nicht heißt: "Guck mal, alle großen Provider unterstützen KiPo".

#1268: 04.May.2009 12:05 von Dr. Azrael Tod

Zwangsumleitung auf DNS-Server sehe ich irgendwie auch noch nicht kommen. Ich vermute viel eher dass als nächste Salamischeibe dann deep-packet-inspection kommt, weil irgendwer überraschenderweise feststellt dass die DNS-Umleitungen keinen Erfolg bringt.
...kann ja keiner damit rechnen.

#1269: 04.May.2009 12:05 von SirSnookie

hm dafür reicht weder Kapital noch Platz der Provider - dann könnten die vielleicht noch 500 kbsp Anschlüsse verkaufen aber keine 20.000er mehr.

#1270: 04.May.2009 12:05 von Dr. Azrael Tod

Hat sich unser Staat jemals davon ob etwas technisch oder physikalisch möglich ist, abhalten lassen seine Entscheidungen zu fällen?
Am Ende bekommen dann die Provider richtig teuere Cisco-Hardware vom Staat spendiert und können die dann auch gleich nutzen um die pösen Filesharer auszubremsen oder ihre eigenen bezahldownloads zu beschleunigen.

#1271: 04.May.2009 12:05 von sirsnookie

lach Da hat aber der Herr von und zu Finanzminister das P in den Augen. Firmen die zu viel Abschreiben - das geht nicht! Und dann noch Geld vom Staat für sowas triviales wie "Internet" geht schon mal garnicht. Das Problem was wir haben, ist, das da "oben" nur ältere Leute á la Rechtsanwalt hocken und das Alter macht ihnen erst recht zu schaffen. Dort ist halt niemand der denen sagt: Das geht so nicht. Sondern die werden mit beifall befeuert und dann gehts zum Berater - der hat dann das Problem mit dem möglichst schnell umsetzen. Kein Wunder das dann da sowas bei raus kommt. Ich glaube nicht das der Leierkasten überhaupt ne Ahnung hat - was da gemacht wird sondern nur das wiederholt was ihre Berater/innen auf einen kleinen Zettel geschrieben haben.

#1273: 05.May.2009 12:05 von sirsnookie

Ich hab hier noch ein nettes Video gefunden - einigermaßen passend für das Thema:

http://www.elektrischer-reporter.de/elr/video/124/

  • #1274: 05.May.2009 08:05 von Dr. Azrael Tod

    Ja, hatte ich auch schon gesehen und ist auch schon vor mehreren Tagen mal in meinem Newsfeed für sowas gelandet und darüber auch in meinem Friendfeed-Account.

#1275: 21.Jul.2009 09:07 von Damian

Was hällst du davon eine eMailliste aller Abgeordneten online zu stellen und genau das Szenario mal in Umgekehrter Form auf unsere Volksvertreter abzufeuern ;)

Geschrieben von Dr. Azrael Tod
Later article
Vapiano
Older article
because i can!