‚Kinderpornosperre‘ in 27 Sekunden ‚umgehen‘

Einfach um zu zeigen wie schwachsinnig die Pläne unserer Regierung sind hat jemand ein kleines Video gedreht. Es zeigt, wie man innerhalb von 27 Sekunden(!) die geforderten Sperren mit Stoppseiten etc. umgehen kann. Viel Spaß:

Internetsperre in 27 Sekunden umgehen

Unter Linux geht es natürlich noch schneller:

  $ echo "nameserver 193.254.184.230" > /etc/resolv.conf

oder

  $ sudo bash -c 'echo "nameserver 193.254.184.230" > /etc/resolv.conf'
Veröffentlicht unter leid, politik, Technik, Tipps, zensur | Kommentare deaktiviert für ‚Kinderpornosperre‘ in 27 Sekunden ‚umgehen‘

Die Zensur wird in Deutschland wieder salonfähig!

Der medienpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Wolfgang Börnsen, und der Justiziar der Union, Günter Krings, begrüßten zudem im Vorfeld einer aktuellen Stunde zur Bekämpfung von Kinderpornographie im Parlament am Donnerstag, dass das Eckpunktepapier auf rechtliche Spitzfindigkeiten verzichte und den einzig vertretbaren Weg weise: „Im Internet haben die Schänder keinen Platz.“ Auch im Cyberspace habe die Freiheit ihre Grenzen, hinterfragten sie zugleich indirekt einen auf Kinderpornographie begrenzten Ansatz: Auch Rassismus und Gewaltverherrlichung, Volksverhetzung oder Nazi-Propaganda dürften im Netz nicht geduldet werden. Quelle: Heise mal wieder.

Genau, und Gewaldarstellungen muss man auch filtern, und alles böse. Weil wenn man das Böse nicht sieht, ist es nicht da!

Neben dem Originalartikel bei Heise kann ich jedem nur empfehlen die Pressemittelung der FITUG zu lesen!

Veröffentlicht unter de, leid, politik, zensur | Kommentare deaktiviert für Die Zensur wird in Deutschland wieder salonfähig!

Bald Internetzensur bei Kabel Deutschland?

Sehr geehrte Damen und Herren,

mit entsetzen musste ich heute eine Meldung zur Kenntnis nehmen, nach der
Kabel Deutschland angeblich einer willkürlichen Sperrung von Webseiten
anhand einer Liste des BKA zugestimmt haben soll:

„In der Internet-Branche stoßen die Pläne von der Leyens für eine
freiwillige Vereinbarung nicht auf allzu große Unterstützung; zuletzt
berichtete der „Kölner Stadt-Anzeiger“, dass sich mehrere deutsche
Internet-Provider gegen den Plan sperrten, kinderpornografische Seiten im
Zuge einer solchen Vereinbarung zu blockieren. Die Gespräche mit Vodafone
und Kabel Deutschland seien positiv verlaufen, berichtet das Blatt unter
Berufung auf einen internen Vermerk des Innenministeriums.“

Quelle:
http://www.heise.de/newsticker/Bundesregierung-Keine-Internet-Zensur-aber-Web-Sperren-gegen-Kinderporno–/meldung/134976

Bitte teilen Sie mir mit:

  • ob dieser Bericht den Tatsachen entspricht
  • auf welcher Rechtsgrundlage Sie derartige Massnahmen durchführen wollen
  • wie Sie die Sperren technisch realisieren wollen
  • wie Sie die Einhaltung des Datenschutzes in Bezug mit den ‚Stopp-Seiten‘
    realisieren wollen
  • ob Sie ausschliessen können, dass auch Inhalte wie ‚Glücksspielseiten‘ und ‚Killerspiele‘ gefiltert werden, wie vermehrt gefordert wurde.
  • Ich weise Sie schon jetzt darauf hin, dass ich vermutlich von meinem Recht
    einer Vertragskündigung Gebrauch machen werde, sollten Sie diese Massnahmen
    an meinem Anschluss durchführen. Entweder in Form eines
    Sonderkündigungsrechts wegen einseitiger Änderung des Vertrages oder wegen
    Nichterbringung von Leistung.

    Mit freundlichen Grüßen,

    Veröffentlicht unter KabelDeutschland, Kaputt, leid, politik, Technik, zensur | Kommentare deaktiviert für Bald Internetzensur bei Kabel Deutschland?

    Bundestrojaner jetzt auch zur normalen Strafverfolgung

    Die Regierungskoalition will künftig die heimliche Online-Durchsuchung auch für die Aufklärung schwerer Verbrechen erlauben. […] Wolfgang Bosbach, der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, sagte gegenüber dem Blatt, dass noch in dieser Legislaturperiode eine Änderung der Strafprozessordnung vorgenommen werden solle. Ein entsprechender Entwurf der Bundesjustizministerin Brigitte Zypries (SPD) läge bereits vor. Quelle: Heise Online

    Da sind ja die beiden Namen, die bei mir wieder alle Alarmglocken angehen lassen zusammen: Zypries und Bosbach.

    Ich erinnere mich noch an die Aussagen, dass man ja den Bundestrojaner ausschliesslich gegen Terroristen einsetzen werde, und das auch nur in wenigen Ausnahmefällen im Jahr. Aber Frau ‚Was war noch mal ein Browser‘ Zypries und Herr ‚Killerspiele verbieten‘ Bosbach scheinen da ganz offensichtlich anderer Meinung zu sein.

    Ich möchte in diesem Zusammenhang noch auf das Urteil des Bundesverfassungsgerichts zur „Vertraulichkeit und Integrität informationstechnischer Systeme“ erinnern.

    Ich gehe mal davon aus, dass es auch hier wieder einen Streit bis zur BVerfG gebe wird.
    Alleine die Tatsache dass dieser schöne Trojaner selbst zum Manipulieren von Daten eingesetzt werden kann (unde soll!) macht die damit gewonnenen Erkenntnisse wertlos in Strafverfahren.

    Dazu der Hinweis: Es wurde tatsächlich als eine der Funktionen beschrieben, dass man Daten auf dem System ändern müsse, um z.B. Rezepte von Sprengstoffen gegen wirkungslose Rezepuren auszutauschen. Da freue ich mich schon, dass mal der Bundestrojaner auf den Rechner eines Unernehmens kommt, der Sprengstoffe herstellt. Das wird ne Gaudi, wenn deren Rezepte nicht mehr funktionieren.

    Ich denke dann noch an den Polizisten, der Leute erpresst hat, man habe auf ihrem Rechner kinderpornographisches Material gefunden – der hatte die Namen seiner Opfer offenbar aus dem Polizeisystem.

    Aber beim Bundestrojaner wird das alles ja nicht passieren.

    Wenn es nicht so traurig wäre, würde ich mich jetzt ja freuen, dass bisher so ziemlich alle meine Voraussagen in dieser Richtung eingetreten sind. Als nächstes wird der Bundestrojaner dann in Fällen von kinderpornographie-Verdacht eingesetzt, wetten?

    Und wenn einer in einem Internetforum einen Amoklauf androht muss man doch auch rausbekommen, wer das ist – Bundestrojaner.

    Und bei einer Ehrverletzenden anonymen Eintragung in einem Blog!!! – Bundestrojaner…

    Veröffentlicht unter Ärger, de, leid, politik | Kommentare deaktiviert für Bundestrojaner jetzt auch zur normalen Strafverfolgung

    Internetfilterei

    Es hat ja wirklich lange gedauert.

    Nachdem Frau von der Leyen im Moment ganz massive Probleme damit hat, die Provider zur Unterschrift eines illegalen Vertrages zu überreden und selbst Frau Zypries da mittlerweile ganz heftige Bedenken hat, dass das mit noch geltendem Recht zu vereinbaren ist, kommt hier nun schon die nächste Forderung:

    Web-Filter gegen ‚Killerspiele‘

    Petke verlangte auch ein Verbot für Videospiele, die Gewalt verherrlichen. Allem Anschein nach seien die jugendlichen und heranwachsenden Amokläufer gleichzeitig Konsumenten dieser von Gewalt beherrschten Spiele. „Diese Machwerke gehören verboten.“ Das Verbot müsse auch im Internet durchgesetzt werden, wobei die betreffenden Dienstleister in der Pflicht stünden. „Die Zeit der Ausflüchte ist vorbei. Wir brauchen entsprechende Web-Filter, die von den Internet- Providern betrieben werden.“ Quelle: Heise-Newsticker.

    Vielleicht sollte der Herr einfach mal nach China auswandern, da hat er dann sein wohlbehütetes kleines „Internet“

    Das sind dieselben, die auch illegales Glücksspiel filtern wollen, eine Sendezeitbegrenzung für Erotikangebote im Internet durchsetzen (kein Scherz! Die gibt es! Nur in Deutschland!).

    Vielleicht sollten wir das Internet einfach mal einen Tag lang komplett abschalten, sozusagen als Ausblick auf das maximal gefilterte Netz, damit er sieht, wie gefährlich es ist mit DNS und Routingtabellen rumzuspielen und ein ohnehin verdammt komplexes System noch instabiler zu machen.

    Sven Petke ist übrigens exakt die Art von Politiker die ich nicht mag: Er ist ein Berufspolitiker. Er hat laut Vita auf seiner Webseite nicht ein einziges Mal ausserhalb der Politik gearbeitet. Nach dem Studium kam direkt ein Job im Ministerium und der Eintritt in die Partei.

    Es ist übrigens DER Sven Petke

    Veröffentlicht unter Ärger, de, leid, politik, überflüssiges | Kommentare deaktiviert für Internetfilterei

    CeBIT – ich komme…

    So. Nun fahre ich also auch mal zur CeBIT. Der größten Computermesse überhaupt. Da arbeiten bestimmt nur Profis. Die besten der Besten und so…

    Nur leider schaffen es diese Experten nicht, eine RFC-konforme Email zu bauen, das regt mich ja schon wieder auf:

    Im Subject haben sie es ja noch hinbekommen, mit dem Encoding. Nur leider im Body nicht.

    Es könnte natürlich an der Frickelsoftware liegen, die sie da benutzen 😉

    X-Mailer: Microsoft CDO for Exchange 2000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4133
    

    Der Body ist dann jedenfalls latin1, 8bit, ohne Encoding-Angabe:

    Content-Type: text/plain
    Content-Transfer-Encoding: 8bit
    

    Naja, wenigstens kein html…

    Veröffentlicht unter de, IT, leid, Technik | Kommentare deaktiviert für CeBIT – ich komme…

    Zischen und Zirpen aus den Lautsprechern.

    Ich hatte die letzen Wochen immer wieder ein Problem: Sobald gnome gestartet wurde, war ein ununterbrochenes Zirpen und Zischen aus den Lautsprechern zu hören.

    Sobald man den esd gekillt hatte, wurde es still. Wollte man wieder Musik wiedergeben,
    fing das Gezische wieder an. Soweit so nervig, vor allem, wenn man Podcasts einer Vorlesung bearbeiten will.

    Was zwischendurch ein paar Mal geholfen hatte, war alsaconfig aufzurufen. Ich habe die Probleme letztlich auf ein Kernelupdate geschoben, und mir nicht soviel weitere Gedanken gemacht.

    Gestern habe ich dann wieder mal ein Kernelupdate gemacht, mit dem Ergebnis, dass die komischen Geräusche der Soundkarte auch mit alsaconfig nicht mehr wegzubekommen waren.

    Schliesslich fand ich per Zufall die Lösung des Rätsels, als ich nach und nach versuchte, die Kernelmodule zu entladen, die ein ’snd‘ im Namen trugen. Bei zweien davon weigerte sich der kernel beharrlich. Eines davon: snd_pcsp.

    Nachdem ich im Gnome-Lautstärkeregler dann eine Einstellung für eine Basisfrequenz gefunden habe und bei einer Änderung das Gezirpe die Tonhöhe ebenfalls änderte, wusste ich, was mir hier vorgespielt wird…

    Alsa hat seit einiger Zeit eine Emulation zur Soundausgabe über die normalen, alten PC-Speaker. Dummerweise klappt das auf meiner Hardware nicht so besonders, so dass ständig Nebengeräusche entstehen. Aaarghhh

    Hiermit sei derüber gebloggt, eventuell finden andere Opfer dann einen Eintrag per Google, der ihnen hilft 😉

    Technische Daten für die googlesuche:

      00:1b.0 0403: 8086:284b (rev 03)
      00:1b.0 Audio device: Intel Corporation 82801H (ICH8 Family) HD Audio Controller (rev 03)
      snd_intel8x0m,snd_intel8x0,snd_ac97_codec,snd_hda_intel,snd_pcm,snd_timer
    
    Veröffentlicht unter hardware, Linux, sound, Technik | Kommentare deaktiviert für Zischen und Zirpen aus den Lautsprechern.

    ddos – Mittäter und Opfer (Update)

    Tja, so kanns gehen. Eben noch rege ich mich darüber auf, dass mein Hoster manitu von einer ddos heimgesucht wird, schon darf ich feststellen, dass einer meiner Nameserver an einer anderen Distributed Denial of Service Attacke munter mitgewirkt hat. grmpf.

    Aufgefallen ist mir das ganze per munin:

    Okay, zwei/drei Anfragen pro Sekunde sind nicht viel, nur sieht man leider dadurch im Graphen den Rest nicht mehr. Ausserdem könnte der Angreifer ja auf die Idee kommen, auch mal mehr Requests zu schicken. Aber was will der eigentlich von mir – und wie ist er auf meinen Server gekommen?! Und zwei Anfragen – wo soll hier der DOS sein? Und warum fragt der ständig nach den Nameservern der ‚.‘-Zone?

    Was soll also der ‚Mist‘?

    Des Rätsels Lösung: Natürlich bin ich nicht das Opfer, das war mir eigentlich klar, aber es ist fast noch schlimmer: Ich Mein Nameserver ist Mittäter und
    die scheinbaren Angreifer sind die tatsächlichen Opfer.

    Jemand im Internet schickt gerade an massiv vielen Nameserver diese Anfragen mit gefälschtem Absender. Das Ergebnis: Nameserver die nicht ganz korrekt konfiguriert sind antworten dann freigiebig mit der Liste aller Root-Nameserver.

    Bei wirklich großen Nameservern fallen diese Anfragen vermutlich nicht mal auf, weil sie im Hintergrundrauschen untergehen, so dass nur wenige Admins den Missbrauch ihrer Systeme überhaupt bemerken werden.

    (Die Liste der Root-Nameserver gibt es hier oder beim Nameserver Eures Vertrauens per $ dig . NS @nameserver. )

    Warum ist das nun ein Problem? Ganz einfach: der Angreifer schickt ein paket mit 40 bytes los, das Opfer erhält aber eine Antwort, die um ein vielfaches größer ist. Die Nameserver fungieren also als Verstärker des Angriffs. Schade eigentlich.

    Selbst ein korrekt konfigurierter Nameserver, der die Anfrage ablehnt, antwortet noch mit der Ablehung, trägt also immernoch ein bischen zum DOS bei.

    Gegenmassnahmen?

    Es sind mehrere denkbar:

    Einerseits haben die Anfragen alle denselben Inhalt und sind daher alle 40 byte groß. In 40 byte kann man auch sonst kaum eine sinnvolle Anfrage unterbringen, also kann man alles was per udp auf port 53 ankommt und weniger als 45 byte Größe hat blocken. Damit antwortet man sogar nicht mal mehr mit der Ablehnung und die Anfragen sind aus den logs. Man sollte nur seinen Provider und primäre/sekundäre Nameserver der eigenen Domains whitelisten, für den Fall, dass der Angreifer mal diese als neues Ziel definiert.

    Dann könnte man ein rate-limit per IP einführen, so dass bei mehr als 20 Anfragen in 20 Sekunden der port 53 für diesen Host für einige Zeit gesperrt wird. Auch hier: Whitelisten nicht vergessen.

    Oder man kann regelmässig seine Logs durchgehen, wer denn nun schon wieder soviele Anfragen produziert, und dann diese IP’s für port 53 sperren.

    Achja, und ganz wichtig: Das Secure BIND Template umsetzen und die default policy der BIND-Installation unter debian ändern, damit man auf die Anfragen nicht die Liste liefert² 😉

    In dem Template werden übrigens Views für verschiedene Hostgruppen definiert. Sehr schick – und ich habe auch endlich welche in meinen Configs definiert. Wollte ich schon lange machen.

    Damit kann man unterschiedlichen Hostgruppen per acl unterschiedlich antworten. Also z.B. allen hosts aus dem Firmennetz die privaten Adressen und Namen auflösen und mit demselben Nameserver von aussen diese Anfragen nicht erlauben oder eine komplett andere Antwort geben.

    Damit könnte man auch mit einem einzigen Nameserver ein Wlan derart gestalten, dass alle noch nicht authentifizierten Benutzer auf die Anmeldeseite gelangen, wo sie einen vpn-Client herunterladen können und später – ohne Ändern der resolv.conf¹ – mit der IP die sie innerhalb des VPN’s haben korrekte Namensauflösung vom Nameserver erhalten. (Aber das ist ein anderes Thema…)


    ¹ Es ist sehr eklig, denn der DHCP-Client im Wlan andere Nameserver einträgt, als der VPN-Tunnel braucht, dann kloppen sich DHCP-Client und VPN-Client nämlich schön darum, wem die resolv.conf gehört. Läuft die DHCP-Lease ab, trägt der DHCP-Client ’seine‘ DNS-Server ein und man landet wieder nur auf der Startseite für das WLAN mit dem Hinweis, man solle sein VPN aktivieren. Arrrgh.

    ² Einer meiner anderen Nameserver, der auf ein minimales gentoo aufsetzt, hat interessanterweise diese Anfragen von Anfang an refused, obwohl die Konfiguration nicht wesentlich von der auf dem debian abwich. Grummel.


    Nachtrag: Wirksame Gegenmassnahme

    Tja, auf die Einfachsten Dinge kommt man zum Schluss: Offenbar sehen die Anfragen ja immer identisch aus, also kann man einfach die Anfrage als solche blocken:

     iptables -I INPUT -i eth0 -p udp  --destination-port 53 \
           -m string --algo kmp --from 30 --hex-string "|010000010000000000000000020001|" -j DROP
    

    und fertig ist die Laube…

    Ab Position 30 fängt der eigentliche Query an.

    0100 - standard Query mit Recursion (1)
    0001 - Eine einzelne Frage ist enthalten
    

    Gegen Ende dann:

    0002 - NS wird angefragt
    0001 - Class IN
    
    Veröffentlicht unter Ärger, de, IT, leid, Technik, überflüssiges | Kommentare deaktiviert für ddos – Mittäter und Opfer (Update)

    DHL – (k)ein Update

    Offenbar hat DHL zur Zeit etwas größere interne Probleme. Wundert mich ja alles nicht, wenn ich so darüber nachdenke, wie oft ich kleinere und größere Katastrophen mit der Deutschen Post DHL erlebt habe. (siehe z.B. hier)

    Aktuell berichtet der Hostblogger über seltsame Anrufe von DHL, in denen DHL nachfragt, ob bestimmte Sendungen tatsächlich angekommen sind oder die Paketboten sie sich unter den Nagel gerissen hat.

    Ich werde mich in den kommenden Tagen wohl doch noch daran machen, einen Brief an die Innenrevision von DHL zu senden, der sich stark an die von DHL selbst genutzen Textbausteine ihrer automatisch generierten Antworten anlehnt 😉

    Vielleicht ändert sich ja doch mal was wird das mit denselben hohlen Phrasen beantwortet…

    Letztlich gilt für DHL die Binsenweisheit: You get what you pay for!

    Wer als Paketdienst über Jahre hinweg sogar den Transport der Pakete von und zu den eigenen Filialen an Subunternehmer auslagert, die natürlich mit Dumpinglöhnen abgespeist werden, darf sich nicht wundern, wenn Unterschriften gefälscht, Pakete geleehrt oder schlicht Pakete sehr unsanft behandelt werden.

    Veröffentlicht unter DHL, leid | Kommentare deaktiviert für DHL – (k)ein Update

    Unqualifizierte Spammer

    Gutes Personal ist schwer zu finden…

    Die Spammer sind jedenfalls auch nicht mehr das, was sie mal waren:

    Received: from [222.130.153.142] (helo=RHVNFQA)
     by mail.tu-berlin.de (exim-4.69/mailfrontend-d) with esmtp
     id 00000-000000-00¹; Thu, 22 Jan 2009 14:33:23 +0100
    Subject: [?var=cssubj]
    X-Envelope-From: 
    X-Priority: 3
    Date: Thu, 22 Jan 2009 21:32:46 +0800
    Content-transfer-encoding: 7bit
    To: 
    From: [?var=TAGMAILFROM]
    
    ...
    

    Testen die ihre Software nicht, oder warum steht da im Betreff und im From noch der Name der Variable im Template?

    Es sollte schon auffallen, dass im From sogar das @ fehlt. Am besten finde ich aber bei diesen Spams jene, bei denen sogar der Spamtext nur den Variablennamen enthält

    Wie bei jeder Software gilt also: testen, testen, testen!


    ¹,²: von mir geändert…

    Veröffentlicht unter Ärger, IT, Kaputt, Technik | Kommentare deaktiviert für Unqualifizierte Spammer