13. Februar 2009 – Notizblog

13. Februar 200913. Februar 2009

BKA: DNS heißt VDN

Der Chaos Computer Club hat einen Entwurf des Vertrags veröffentlicht, den das BKA mit den Providern abschließen möchte, die sich an der ersten Runde von Kinderporno-Sperren beteiligen.

Kurze Zusammenfassung:

Das BKA stellt den Providern werktäglich bis 10 Uhr eine Liste von „Vollqualifizierten Domainnamen“ zur Verfügung. Die Provider haben sechs Stunden Zeit, die neue Liste einzuspielen. Diese Verzögerungen werden die Maßnahme jedoch weitgehend ins Leere Laufen lassen.
Die DNS-Sperre ist nicht das einzige Mittel. In Paragraph 3 heißt es:

Die Sperrmaßnahmen erfolgen mindestens auf Ebene des VDN. Der ISP entscheidet auf der Grundlage des jeweiligen Stands der Technik, auf welche Weise die Erschwerung des Zugangs vorgenommen wird. Dabei stellt der ISP sicher, dass eine mögliche Beeinträchtigung der Rechte unbeteiligter Dritter auf das nach dem jeweiligen Stand der Technik unvermeidbare Minimum begrenzt wird.

Das heißt: das BKA hätte gerne bessere Filterungs-Optionen – wie zum Beispiel das britische Cleanfeed-System, das nicht nur ganze Domains, sondern einzelne Dateien blockieren kann. Das Problem: Da laut Vertrag nur die Domainnamen geliefert werden, kann der Provider keine Filterung nach Hashes oder IP-Nummern draufsetzen.
Um grundgesetzlich unzulässige Eingriffe in die Telekommunikation zu vermeiden, möchte das BKA mit der Sperre so wenig zu tun haben wie möglich. Die Server der Stopp-Seite werden von den Providern selbst betrieben, die IP-Nummern der vermeintlichen Konsumenten von Kinderpornos werden nicht ans BKA weitergegeben:

Dem Bundeskriminalamt sind jeweils montags bis 12.00 Uhr Statistiken über die Anzahl der abgewehrten Zugriffe pro Tag unter Benennung der Zugriffsziele für die vergangene Woche zu übersenden.

Das Problem: Ein Loggen der IPs beim Provider ist nicht verboten. Ein zuständiger Admin kann – Schweigeverpflichtung hin oder her – mit den Daten seine eigenen Geschäfte machen. Bei einer Handvoll Provider ist das Problem vielleicht zu kontrollieren, aber kaum bei einer 100-prozentigen Umsetzung, die jeden Mini-Provider einschließt.
Im Falle von Störungen gibt es ein kleines Problem: Paragraph 5 lautet:

Sollten das Bundeskriminalamt oder der ISP Umstände feststellen, die eine ordnungsgemäße Vertragsdurchführung gefährden (Störung), sind beide Parteien verpflichtet, einander hierüber unverzüglich in Kenntnis zu setzen und geeignete Maßnahmen zur Beseitigung der Störung zu unternehmen. Betrifft die Störung die vom Bundeskriminalamt nach § 1 Abs. 1 S. 1 erstellte Sperrliste, verwendet der ISP bis zur Beseitigung der Störung die zuvor vom Bundeskriminalamt bereit gestellte und umgesetzte Sperrliste.

Laut Paragraph 3 Absatz 6 ist der Provider aber verpflichtet die Liste vom Vortag „unverzüglich zu löschen“. Sprich: wenn die Störung auftritt und die BKA-Verantwortlichen gerade nicht erreichbar sind, kann der Provider seinen Pflichten nicht nachkommen.

13. Februar 2009

Bye Giga

Giga wird abgeschaltet. Und Giga-Chef Stephan Borg blickt zurück:

Hier ging es nicht um langweilige Web 2.0 Anwendungen, sondern darum gemeinsam eine Idee zu leben.

Oh, ich erinnere mich da an das Hauptstadtstudio direkt am Brandenburger Tor. Das war echt nicht langweilig, aber der cringe-Faktor war verdammt hoch. Diese besondere Idee lebt freilich weiter als „RTL2-News“.

13. Februar 200913. Februar 2009

Die Kinderporno-Bots

Netzpolitik.org über die Bundestagsanhörungen zum Thema Kinderporno-Sperren:

Laut Maurer wird Kinderpornografie im Netz per Botnet-Spam beworben, die Links zu entsprechenden Seiten beinhalten. Eine Sperrung der Seiten mittels Stopp-Seite könne User in einer solchen Situation auf die Unrechtsmäßigkeit hinweisen und Access-Versuche gleich noch protokollieren.

Das klingt logisch. Die pauschale Sperrung für Kinderporno wird durch massenhaften Spam bedingt. Ich hab zwar nie solchen Spam gesehen, aber es klingt logisch. Dann gehen die BKA-Erläuterungen aber weiter:

Nach seinen Vorschlägen schickt schickt das BKA dann täglich 10 Uhr eine Liste mit Domains auf sicherem Weg an ISPs, welche diese dann innerhalb von 6 Stunden in ihr Filter-System pflügen, damit die Seiten spätestens 24 Stunden später für Endnutzer gesperrt sind.

Nach den Informationen die ich bekommen habe, sind die allermeisten Kinderporno-Seiten – von denen übrigens 80 Prozent in den USA gehostet werden – nur wenige Stunden erreichbar. Ein täglich aktualisierte Liste kann hier keinen Blumentopf gewinnen. Das BKA bekäme dann nur noch eine Statistik, wie viele Leute vermeintlich einen Tag zu spät auf Porno-Spam klicken.

Aber das ist vielleicht nicht schlecht. Denn würden die Mechanismen wirken und den Kinderporno-Verkäufern das Wasser abgraben, wären die Kriminellen technisch schon längst drei Schritte weiter. Zum Beispiel hat Microsoft grade eine Belohnung von 250.000 Dollar auf den Autoren des Conficker-Wurms ausgesetzt. Der generiert immer neue Domainnamen, auf denen er Anweisungen sucht. Im Prinzip kann diese Technik auch zum bulletproof hosting eingesetzt werden. Steigt auch nur ein Kinderporno-Verbreiter auf diese Technik um, wird die Filtertliste nicht 5000 bis 10000, sondern Millionen Einträge haben müssen. Die Kosten für die Kriminellen sind relativ gering.

M	D	M	D	F	S	S
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28