Die Bundesnetzagentur ruft zur Kommentierung auf: Die „Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen im Rahmen des Gesetzes zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen TR ZugErschG“ soll kommentiert werden.

Der Deutsche Bundestag hat [...] den Entwurf eines Gesetzes zur Bekämpfung von Kinderpornografie in Kommunikationsnetzen angenommen. Dieses sieht in § 10 vor, dass das Bundeskriminalamt unter Beteiligung der Dienstanbieter in einer technischen Richtlinie regelt, in welcher Form und nach welchen Verfahren die Sperrlisten und die Aufstellung über die Anzahl der Zugriffsversuche zur Verfügung gestellt werden.

Der Witz in Tüten ist nun, dass der Entwurf der Technischen Richtlinie sowie das Beteiligungsverfahren der Provider zur Verschlusssache erklärt wurde. Das Amtsblatt der Bundesnetzagentur verkündet hierzu:

Die Technische Richtlinie ist VS-NfD eingestuft. Daher benennen die verpflichteten Dienstanbieter namentlich Personen, die vor der persönlichen Aushändigung des Entwurfes der Technischen Richtlinie nach dem Verpflichtungsgesetz verpflichtet werden. Die Abgabe des Entwurfes der Technischen Richtlinie erfolgt gegen Empfangsbestätigung ausschließlich an diese Personen.

Etwaige Stellungsnamen sind an das

Bundeskriminalamt
Abteilung IT
65173 Wiesbaden

zu senden.

Eine Weitergabe einstweiliger Stellungsnahmen an andere Stellen als das Bundeskriminalamt oder eine Verbreitung von Inhalten dieser auf anderem Wege unterfällt denselben Strafbestimmungen wie eine Weitergabe des Entwurfs der TR.

[..]

Security through obscurity? Wohl kaum. Vermutlich steckt hinter diesem bizarren Beteiligungsverfahren die selbe Motivation wie hinter proprietären Code: Ein hilfloser Versuch die eigene Inkompetenz zu verbergen um seine Position abzusichern.

Das Folgende Beispiel erklärt die  simple Technik der “DNS-Sperre”, indem die Website der CDU eine Stoppseite verpasst bekommt.

Verwendet wird im Beispiel der freie DNS-Server BIND auf Grund seiner starken Verbreitung in mittleren und großen Netzen.

Im DNS bezeichnet Zone den Teil des Domänenbaums, für den ein DNS-Server zuständig ist und deshalb die offiziellen Daten kennt. Einen für eine Zone zuständigen DNS-Server nennt man autoritativ. Seine Informationen über diese Zone, wie die Zuordnung zwischen der URL und der zugehörigen IP-Adresse, werden als gesichert angesehen. Diesen Wunden Punkt des DNS nutzend, beginnt hier die Manipulation, in dem man den eigenen DNS-Server dahingehend konfiguriert, dass er zum autoritativen DNS-Server für die Zone *.cdu. wird. (* steht für alle Subdomains wie z.B. team-zukunft.cdu.de).

In der anzulegenden Zonendatei /etc/bind/db.cdu.de – in der die Zone *.cdu. vollständig beschrieben wird – sind wenigstens folgende Einträge notwendig:

$TTL    2D
@    IN    SOA    cdu.de. mail.cdu.de. (
2009052401 ; Serial
8H         ; Refresh
2H         ; Retry
4W         ; Expire
2D )       ; Negative Cache TTL
;
@    IN    NS   <IP des eigenen DNS-Servers>
*    IN    A    <IP der Stoppseite>

In der vorletzten Zeile wird der eigene DNS-Server als der für die Zone *.cdu. zuständige angegeben. In der letzten Zeile wird die bei der Auflösung von URL in IP-Adresse zurückgegebene IP, also die der Stoppseite, eingetragen. Details zu den weiteren Einträgen sind in den Wikipedia-Artikeln SOA Resource Record und Zonendatei zu finden.

Im Beispiel ist die IP-Adressen des DNS-Servers mit der des Stoppschilds identisch:

@    IN    A    78.46.131.100
*    IN    A    78.46.131.100

Abschließend muss BIND mit einem Eintrag in der Datei named.conf.local die Zonendatei db.cdu.de bekannt gemacht werden (Falls noch nicht Vorhanden, muss im Verzeichnis /etc/bind/ die Datei named.conf.local angelegt und in der Datei named.conf mit der Zeile include “/etc/bind/named.conf.local”; eingebunden werden):

zone "cdu.de" {
type master;
file "/etc/bind/db.cdu.de";
};

Wirksam werden die Änderungen nach einem  Neustart von BIND. Mit dem Befehl host können die Änderungen getestet werden. Als Antwort auf host cdu.de sollte kommen:

cdu.de has address 193.219.105.10

Und nun wird der manipulierte DNS-Server mit host cdu.de 78.46.131.100 befragt:

Using domain server:
Name: 78.46.131.100
Address: 78.46.131.100#53
Aliases:

cdu.de has address 78.46.131.100

Um das Stoppschild unter cdu.de im Browser zu bewundern, muss im eigenen Resolver, das ist die von DNS-Servern Informationen abrufende Software, die IP des manipulierten DNS-Servers an erster Stelle eingetragen werden.

Zu beachten ist  noch, dass z.B. unter www.cdu.de/sitemap.htm ein “404 – Seite nicht gefunden” Fehler im Browser angezeigt wird, da auf dem Server des Stoppschildes keine sitemap.htm Datei existiert. Quick & Dirty kann dies durch eine serverseitige Umleitung der Fehlerseite auf das Stoppschild gelöst werden. Fertig ist die Zensur-Infrastruktur.

Eine Manipulation des DNS ist so simpel, da vor knapp 30 Jahren beim Entwurf des DNS niemand diese Möglichkeit beachtet hat – wer kommt auch auf die Idee, dass in 30 Jahren die Regierung fordert, Telefonbücher zu manipulieren?

78.46.131.100

Anleitungen zur Verwendung dieses Zensur-DNS-Server sind im Wiki des AK Zensur zu finden. Wichtig ist dabei, dass der Zensur-DNS-Server an erster Stelle gefolgt von einem zensurfreien DNS Server eingetragen wird.

Der Zensur-DNS-Server leitet Seiten auf ein Stoppschild um, die “im Zusammenhang mit Verletzung von Grundrechten” stehen. Bisweilen wurde geleakt, dass sich cdu.de und spd.de auf der geheimen Sperrliste befinden. Für weitere Vorschläge und Debatten, wie dämlich es doch ist, mit Zensur gegen Zensur zu agitieren, steht euch die Kommentarfunktion zur Verfügung.

Happy Birthday, Grundgesetz!

Update: Hat sich ausgestoppt – benötige den Server anderweitig.