Schnipsel

Ich hab mir heute mal die Auswirkungen der Nameserver-Patche angesehn, die die letzten paar Wochen rauskamen. Bei den Lücken, die damit geflickt werden sollen, gehts im Wesentlichen darum, noch ein bisschen mehr Zufall in die Abfrage einer Namensauflösung zu bekommen, also das was abläuft, wenn ich im Browser "www.google.de" eingebe und der Browser erfährt, dass er sich zur IP-Adresse "72.14.215.99" verbinden soll.

Damit sich da kein anderer als mein "offizielle" Nameserver und die zuständigen Nameserver für ".de" und "google.de" einmischen, wird eine Zufallszahl zusammen mit der Anfrage losgeschickt und nur Antworten als "echt" gewertet, die auch diese Zufallszahl wieder zurückliefern. Ein Angreifer, der keine Ahnung von meinem Zufallsgenerator hat, wird also keine korrekte Antwort liefern können und mir nicht heimlich seine Homepage (oder Mailserver oder Nameserver ...) unterjubeln können.

So dachte man sich das zumindest bisher. Inzwischen weiss man, dass die Zufallszahlen nicht reichen. Zumindest nicht, wenn man das Opfer (oder seine Mitnutzer des gleichen Nameservers) dazu bringen kann, ganz viele Anfragen zu erzeugen. Zum Beispiel, indem man den Mitnutzern ein paar Trojaner installiert. Weil der Begriff "Mitnutzer des Nameservers" zum Beispiel alle Kunden von T-Online umfasst, ist diese Lücke ziemlich schlimm und zwingt vor allem grosse Provider zum schnellen Handeln. Ausserdem wäre es natürlich für einen Angreifer so richtig toll, z.B. sämtliche AOL-Kunden statt zu eBay auf seinen Server zu lenken, entsprechend hoch ist seine Motivation und entsprechend eifrig haben die grossen Provider auch schon schnell gepatcht.

Bei diesen Patchen hat man einfach noch ein bisschen mehr Zufälligkeit dazugebastelt. Statt nur der Zufallszahl wird nun zusätzlich der Quellport der Anfragen durchgewechselt. Der Angreifer muss also Zufallszahl und den passenden unter den 64512 möglichen Quellports rausbekommen.

Auf dem Server haut das auch ganz gut hin. Wenn ich die Quellports paarweise aufmale, sieht die Verteilung schön wolkig und recht zufällig aus. Dass die Verteilung auch echten statistischen Tests standhält, glaube ich jetzt einfach mal.

Quellports der DNS-Anfragen auf dem Server

Auf meinem Client zuhause sieht das irgendwie nicht mehr so toll aus. Mein Rechner verteilt die Anfragen zwar ganz brav und zufällig über 32000 Ports (warum nicht 64000, weiss ich nicht), aber mein Router macht die ganze schöne Verwürfelung wieder kaputt und reduziert die Wolke auf gerade mal 1000 Ports.

Quellports der DNS-Anfragen vor und hinter dem NAT-Router

Der Grund dafür ist schon klar: Ich verwende nicht den eingebauten DNS-Server des Routers, sondern in der Regel den meines Providers. Zu dem vermittelt der Router die Pakete mittels NAT, das heisst, er muss alle Verbindungen von der privaten IP-Adresse meines Rechners zum Server unter seiner eigenen externen IP-Adresse nochmal selbst aufmachen. Und sich dazu noch merken, an welchen internen Rechner und an welchen Port er das Paket zurückschicken muss. Bei sowas denkt der Programmierer an Tabellen und geordnete Strukturen, "Zufälligkeit" war dort nie verlangt und wurde auch nicht eingebaut. Mich wundert, dass der Router die Ports nicht einfach hochzählt.

Das ist kein Grund zu grosser Besorgnis, für einen einzelnen Client werden 1000 Verwürfelungen schon reichen, vermutlich gut unterrichteten Kreisen zufolge würfelt auch T-Online nur mit 2000 Ports. Ausserdem macht das Nutzen der Lücke ja erst so richtig Spass, wenn man ein ganzes Botnetz bei einem Provider betreibt, damit man die Angriffe auch ein bisschen streuen kann. Es hilft ja nichts, z.B. mir falsche Einträge für Citybank, EBay und hotmail unterzujubeln, weil ich mit denen garnichts zu tun habe.

Ich finds aber schon bemerkenswert, dass die Rolle der Router bei der Quellportvergabe nie so richtig gewürdigt wird. Zumindest wenn man Heimanwendern die Notwendigkeit der Patcherei erklären will, sollte man freundlicherweise dazusagen, dass sie sich die Mühe auf den Rechnern auch sparen können, wenn ihr Router das wieder kaputtmacht. Ich denke so ein Router wie meiner (sitecom WL-173) ist der Normalfall in den Wohnzimmern und nicht jeder dieser Router wird wenigstens 1000 Quellports verwenden.

Manche der chinesischen Sitten und Gebräuche finde ich schon schön. Ich wollte eigentlich für die letzten paar Beiträge hier nur rausbekommen, wo die olympische Fackel abgeblieben ist. Nach London, Paris, LA, Everest und  Lhasa ist es ja recht ruhig geworden um das Olympische Feuer. Wo genau sie gerade steckt, war nicht rauszufinden, aber Ende Juli tourte sie durch die chinesischen Provinzen. Bei der Auswahl der Fackelträger entdeckte ich dann eine irgendwie ganz andere Auffassung davon, wen oder was man für ehrbar hält.

In Luoyang,  wo noch Steintafeln von uralter chinesischer  Schreibkunst zeugen, wird die Ehre der ersten Fackelstaffel Herrn Zhang Hai zuteil, dem Vorsitzenden des Chinesischen Kalligraphenverbandes, in Kaifeng darf der Geschichtsprofessor Wang Liqun die erste Strecke durch die traditionsreiche Stadt laufen und in Qufu, der Heimatstadt von Konfuzius, darf dessen Nachkomme in 74. Generation, Herr Kong Peng, den Anfang machen.


So eine Konstellation ist irgendwie in unserem Kulturkreis schwer vorstellbar, bekannte Nachkommen antiker Philosophen gibt es hier nur wenige, Historiker sind in Sportkreisen nicht so sehr angesehen und Schönschreiber würden sich vermutlich über die Aufmerksamkeit nur wundern. Dabei wäre es mal was anderes, müssen ja nicht immer altgediente Sportler sein und bei Anfangsetappen von 33 Metern pro Läufer kommt auch jeder honorige Greis gut mit der Aufgabe zurecht.

Endlich habe ich die API für Openstreetmap gefunden. Ich spiele schon länger mit dem Gedanken, für den Geocounter statt Google-Maps ein offeneres System zu verwenden, aber die Schnittstellen haben mir gefehlt.

Für Offroad-Tracks ist OSM vermutlich noch nicht so gut geeignet, dafür fehlen einfach zu viele Kartendetails und das Satellitenbild bei Google ist schon auch schön. Für eine Spielerei wie die Anzeige der letzten Homepagebesucher langt die freie Karte aber allemal. Und wer mehr Details sehen mag, soll sie halt selbst eintragen...

Ich glaube zwar, dass die Anwender meines Counters das nicht unbedingt zu schätzen wissen. 80% davon sind Kinder, die sich alles in die Homepage kleben, was blinkt. Aber auch denen ist geholfen, wenn sie die erzeugten Bilder anschliessend völlig frei verwenden können und nicht über Googles Nutzungsbedingungen und die Hürden des Urheberrechts stolpern.

Die einzige Nutzungsbedingung ist nämlich, dass man auf das Bild schreibt, dass die Daten von Openstreetmap kommen und anderen Leuten wiederum erlaubt, dieses Bild weiterzuverwenden. Das ist nichtmal für mich eine Einschränkung, ich könnte sogar Geld für den Service verlangen, darf dann nur nicht anderen Leuten verbieten, die Bilder weiterzuverschenken.

Nachtrag 14.8.: Ich habs mal in den Counter als Alternative eingebaut. Die Funktionalität ist die gleiche wie bei den Google-Maps, aber so richtig glücklich bin ich damit noch nicht. Kleinere Fehler bei der Bedienung sind schon noch drin. Mal sehn, ob ich da noch tiefer eindringen will, spannend ist die Sache jedenfalls schon...



(Bild: OpenStreetMap, kopieren erlaubt)

Es ist schön zu sehen, wie plötzlich die Thematik "Zensur und deren Umgehung im Internet" von allen Medien aufgegriffen wird. Das ZDF empfiehlt JAP, Tor und Picidae; Die Deutsche Welle berichtet von Proxy-Servern; Spiegel Online empfiehlt "VPNs ab 8 Euro" und berichtet, dass AP sein eigenes überwachungsresistentes WAN für die Auslandskorrespondenten hat und die Süddeutsche stellt ebenfalls Picidae als Gegenmittel heraus. Laut ORF hat sogar der Deutsche Olympische Sportbund schnell ein VPN gebastelt.

Es wird Zeit, mal wieder darauf aufmerksam zu machen, dass all die schönen Hilfen für fernreisende Sportreporter und daheimgebliebenen Chinesen auf ziemlich schwachen Füssen stehen.

Vor allem natürlich, weil auch die chinesischen Zensoren nicht doof sind und alle diese Empfehlungen kennen.

Gefährdet sind diese Dienste aber auch in Deutschland, und ohne Proxies in der freieren Welt gibts dann auch für den chinesischen Zensor in der Hinsicht nichts mehr zu tun.

Wer sowas hier betreibt, muss nämlich immer wieder mal mit Besuch von der Polizei rechnen, gelegentlich auch rechtswidrig oder des Nachts aus versehen. In der Regel endet es glimpflich für die Betreiber, es muss auch keiner fürchten, ins Umerziehungslager gesteckt zu werden, das ist der wesentliche Unterschied zu China. Aber viele geben halt nach ein paar Besuchen auf.

Vor allem sind die Dienste von der Vorratsdatenspeicherung bedroht. Die meisten Server werden es ab Januar 2009 nicht schaffen, die Datenmengen gesetzeskonform aufzubewahren. Lustigerweise ist das was das Gesetz von den Proxies fordert ja nicht mal hilfreich für die Ermittler:

"Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone verpflichtet." (TKG 113a)

verpflichtet ja nur zur Speicherung der (ursprünglichen) IP-Adresse des Clients und der (neuen, immer gleichen) IP-Adresse des Proxies selbst. Bei einem gut besuchten Proxy kein Grund zur Sorge, da geht die einzelne IP-Adresse in der Masse unter, was bei einem häufigen Wechsel des Proxy bzw. der Kaskade bei JAP oder der Tor-Router vermutlich völlig ausreicht.

Aber nur weil es Unsinn ist, wird man nicht drauf verzichten. Nach dem Urteil des Verfassungsgerichts im Herbst wird man eh ein paar Änderungen am Gesetz vornehmen müssen (wenn ich mal raten darf: Die Speicherpflicht bleibt, nur sowas wie die Gültigkeit für sämtliche "mittels Telekommunikation begangene Straftaten" wird kassiert). Und dann kann man noch ein paar technische Änderungen einbauen, die machen sich ja bestimmt auch schon Gedanken drüber.

Sollte unsere Presse also zu den nächsten Olympiaden auch wieder Proxies brauchen, wäre jetzt der richtige Zeitpunkt sich gegen die Kriminalisierung von Anonymisierungsdiensten hierzulande stark zu machen.

Nötig könnte es werden: Für 2016 hat sich unter anderem Katar beworben, im Internet vermutlich kein guter Platz für FrauenrechtlerInnen, Gegner der Monarchie oder Menschen die dem Islam den Rücken kehren wollen. Das IOC wird davon sehr überrascht sein.

Neben den bisher bekannten Netzformen Irannetz (ohne Israel, Pornos und Christentum), Saudinetz (ohne Pornos und Christentum), Myanmarnetz (ohne Demokratie) und Deutschnetz (ohne Nazipropaganda) haben die Erbauer der grossen chinesischen Firewall jetzt das Sportnetz (ohne alles ausser Sport) entwickelt. Das Internationale Olympische Komitee findet die Idee gut ausreichend:

Nach Darstellung [des Chefs der IOC-Pressekommission Kevan] Gospers bezieht sich der versprochene freie Internetzugang thematisch nur auf "Sportwettbewerbe", und nicht "notwendigerweise auf den freien Zugang und die Berichterstattung über alles, was mit China zu tun hat".
Konkret bedeutet das derzeit nach Erfahrungen von Journalisten im Pressezentrum: China blockiert den Zugriff auf Internetseiten, zum Beispiel von Amnesty International, der BBC, der Deutschen Welle, der Hongkonger Zeitung "Apple Daily" und der taiwanischen "Liberty Times".

Obwohl ich natürlich ebenso überrascht und schockiert bin wie die Sportreporter in Peking, ich finde auch, das reicht. Wer tatsächlich nach China fährt, um von dort die Seite von Amnesty zu besuchen, hat einfach vorher was verpennt. Ich verstehe eh nicht, wie man einfach so als Berichterstatter nach China reisen kann und nicht schon zuhause einen Tunnel oder ein VPN aufbaut, für den Fall, dass man ausgesperrt wird. Wissen über die Zensur in China sollte in jeder Redaktion vorhanden sein und Erfahrung im Tunnelbau müsste jede grössere Firma mit Geschäften in China haben. Sowas hilft ja nicht nur gegen Zensur, sondern auch gegen Spione, Plagiatoren, Raubkopierer und andere Gefahren dieser Gegend.

Aber es ist noch nicht zu spät und eröffnet Möglichkeiten zur Zusammenarbeit bisher völlig fremder Welten. Wie wärs denn wenn einfach jede Sportseite noch einen Proxy aufsetzt? Verschlüsselt natürlich, damit die Stichwortsuche nicht greift. Oder sie spiegeln einfach ein paar Seiten: Sportbild betreibt den Mirror für Amnesty International, das NOC mirrort die BBC und der Deutsche Sportbund veröffentlicht die Beiträge der Deutschen Welle als Podcast. Und die letzte Predigt des 14. Dalai Lama verstecken wir steganographisch in den Bildern der Siegerehrungen!