Internetzensur für Neuländer in Deutschland umgehen

Kaum einer von Euch wird die Clearingstelle für Urheberrecht(sverletzungen) im Internet(CUII) kennen, aber Ihr seid alle von deren Zensurentscheidungen betroffen. Schauen wir uns mal an, wie man diese Zensurmaßnahme für Neuländer umgehen kann.

Internetzensur für Neuländer in Deutschland umgehen

Kleines Vorwort:

Die Antworten des DNS die Ihr hier seht sind echt, aber der Domainname wurde ausgetauscht. Der Inhalt der Probeseite wurde nicht zu Unrecht als Urheberrechtsverletzung eingestuft. Damit Ihr nicht unnötig in die Fänge von Behörden gelangt, wurde der Name zu Eurem Schutz ersetzt. Ich habe die Seite übrigens auch nicht besucht, weil 1&1 die Zensur durch die CUII unterstützt, so kommt man zur Artikeln fürs Blog 😉

Wenn Ihr so eine gesperrte Seite aufruft und nicht schon Umgehungsmaßnahmen wie TOR, VPN oder das was gleich kommt, einsetzt, dann wird wahrscheinlich nicht mal der Betreiber der Sperrseite wissen, daß Ihr die besucht habt. Das liegt daran, daß heute der Browser zuerst HTTPS versucht und die Sperrseite da „leider“ nicht das richtige Zertifikat ausgibt. Der Browser warnt Euch also, bevor er überhaupt Inhalte runterziehen will. Also, Ja, Tante Frida, diese Meldungen vom Browser haben tatsächlich eine Bedeutung.

Fangen wir an

Trifft man auf eine gesperrte Seite, passiert das hier mit der Frage nach der IP zum Domainnamen:

$ dig a +short domainname.de
notice.cuii.info.
167.233.14.14

Der Browser sieht also die 167.233.14.14 als IP der Domain „domainname.de“. Wie man schon an dem eingestreuten „notice.cuii.info“ sieht, geht es nicht ans eigentliche Ziel „domainname.de“.

Wie erkenne ich jetzt, daß es da eine echte IP gibt?

Nun, fragen wir einfach einen Nameserver der sich damit auskennt, nämlich den, der eigentlichen Domain. So bekommen wir eine unverfälschte Antwort:

$ dig a +trace +short domainname.de
NS a.root-servers.net. from server 192.168.0.254 in 1 ms.
…Liste an Rootnameservern…
NS m.root-servers.net. from server 192.168.0.254 in 1 ms.
RRSIG NS 8 0 518400 20210922050000 20210909040000 26838 . JUgTTYYzN1MwYcXc3M72zng1WYfSd/dGLLIPCHZn8krMFHZP7aB8gmb7 YwlGcN/OVzDPGvPRKL0krs+hHoJOX5TD+poiTtIEE/itTSxNubbpD4K0 IcsCk7hGiF4/Knl2cUfV8OgVZuUoonmW//MTIfDrESuFZkLyFPNrmtfJ pBwrbuvvip2csp2OdIs0/fpWlVZHyDrusKcqpjVmCB4iQwkyWSa0kN+P 8ZjJBPF5O1lYxDjJf3z5aECI0MECTjtghDRdcsazxoUPSGFCYaP4qvJa PZH9SzpCkTH9DijQ4H8wZ1uHISbsH/aT7dZCDYSx9+NUDq9002/bZOtf Rf+Mlg== from server 192.168.0.254 in 1 ms.
A 190.115.31.20 from server 162.159.38.131 in 14 ms.

Die Parameter für dig kurz erklärt:

+short meint, daß wir nur die relevanten Infos wollen.
+trace meint, daß wir bei der Auflösung nicht das eingestellte DNSCache vom PC fragen, sondern wir fangen ganz vorn bei den Rootnameservern an und arbeiten uns zum echten DNS der Domain vor.

Die gesuchte Domain hat also die IP 190.115.31.20 und nicht 167.233.14.14, wie man uns erzählen wollte.

Nun fragen aber alle Anwendungen den eingestellten DNSCache und nicht die Rootnameserver, also haben wir jetzt die richtige IP, nun müssen wir da auch irgendwie hinkommen.

Zwei Wege:

a) sudo echo „190.115.31.20 domainname.de www.domainname.de“  >> /etc/hosts

oder b) ihr stellt Euch in den Netzwerkeinstellungen einfach einen nicht zensierenden Nameserver aus dem freien Internet ein. Das wäre die dauerhafte Lösung.

Optional wäre noch c) als Variante von b) , nämlich per VPN ins Freie Internet tunneln und da die DNS benutzen ( natürlich nicht die von TKOM/1und1/usw. 😉 Versteht sich wohl von selbst.

Listen von freien DNS Servern gibt es jede Menge im Netz, zur Not tuts auch erstmal der 8.8.8.8 von Google. Das hat andere Implikationen, aber ist nur für die Abfrage nach freien DNS Servern 🙂

Kommentar: Die Qualität der Zensurmaßnahme

Hinter dem Feigenblatt, das durch einen Ex-Bundesrichter und die BundesNetzAgentur errichtet wurde, versteckt sich der Internet Mob und deren Helfershelfer, die anstatt Rückgrad beim Kampf um die Freiheit im Netz zu beweisen, lieber den Weg der Compliance beschreiten. Anstatt die Rechtsverletzer vom Netz zu nehmen, in dem deren Hoster unter Beschuss genommen werden, geht man den Weg der Milchglasscheibe:

„Meine Herren, wir haben einen innovativen Weg gefunden, daß dort stattfindende Verbrechen zu bekämpfen. Diese Milchglasscheibe hinter der Sie jetzt stehen, schützt Sie vor dem Verbrechen, denn wenn Sie es nicht sehen, findet es auch nicht statt.“ „Und was ist das für eine spezielle Scheibe?“ „Das ist Schrödingers Milchglasscheibe.“

Solange Politiker und der Internetmob auf diesem Niveau Maßnahmen ergreifen, werden wir Kinderpornos und Piratenseiten nie los. Deswegen muß diese Maßnahme als das enttarnt werden was sie ist: Blödsinn.

Diese Zensur kann man sich sparen und die Kosten dafür auch. Leichter kann man Internetsperren nicht umgehbar machen. In Zeiten von TOR und doppellagig verschlüsselten VPNs ist so eine Sperre nur ein schlechter Witz.

Die vollmundig vorgetragene Pressemitteilung vom 11. März ( komisch, habe ich gar nichts von mitbekommen ), liest sich so:

„Sie fügen den betroffenen Branchen der Kreativwirtschaft jedes Jahr große wirtschaftliche Schäden zu,
indem sie unberechtigt Zugang zu urheberrechtlich geschützten Inhalten verschaffen und dadurch die Nutzung legaler Angebote behindern. Für die Internetzugangsanbieter als bloße Vermittler bietet das Verfahren unter Beteiligung der BNetzA die erforderliche Rechtssicherheit. “ (Quelle: https://cuii.info/fileadmin/files/20210311_PM_Gruendung_CUII.pdf)

Wenn ich das Wort Kreativwirtschaft schon höre, rollen sich mir die Fußnägel hoch. Die Werbeagenturen, Grafiker, Texteschreiber und Filmemacher halten sich als für alleinig kreativ, dabei hätten die meisten von denen keinen Job, wenn es nicht kreative Ingenieure gäbe, die Dinge entwickeln, die beworben werden (müssen). Jeder Softwareentwickler, von ein paar Ex-Kollegen von mir mal abgesehen, erbringt laufend eine kreative Leistung. Täglich, und nicht einmal im Leben, um dann für immer abzusahnen.

Aus eigener Erfahrung über die Jahre meines Lebens angesammelt, kann ich auch sagen, daß mit dem richtigen legalen Angebot, illegale Angebot leicht ausgemerzt werden können. Jeder Netflixer kann dazu sicher etwas in der Art beitragen, daß er vor Netflix auch mal Tauschbörsen benutzt hat. Selbst Musik, muß man sich heute nicht mehr von Piratenseiten holen, die wird von den Labels direkt bei Youtube angeboten. Warum klappt das? Weil jemand dafür bezahlt und das sind die, die die Werbung da schalten.

Hat sich mal jemand überlegt, was passieren würde, wenn Filme als Flatrate angeboten, mit einfachen Zugang und ständiger Verfügbarkeit angeboten würden? Gäbe es bei einem günstigen Preisangebot einen Grund diese noch zu kopieren? Von Internetausfällen und internetlosen Gebieten mal abgesehen, wohl kaum.

Überkomplizierte Verwertungskanäle und Lizenzen erschweren den Aufbau von genau solchen legalen Angeboten, die die Content-Industrie so dringend brauchen würde. Da sie an der Lizensierungskaskade selbst Schuld sind, weil die Gier schon immer groß war, sind sie auch selbst an den Piratenangeboten schuld. Die gibt es nur, weil es die Nachfrage gibt und diese legal nicht passend bedient wird.

Also, sorgt endlich dafür, daß Eure Verkaufsmodelle der Nachfrage gerecht werden und Ihr werdet glücklich sein. Aber mit solch aberwitzigen Sperren kommt Ihr dem Ziel nicht einen Schritt näher.

Verdecken, statt Verhindern

Da bei Kinderpornos die gleichen Sperrmechanismen zum Einsatz kommen, verhindert das Feigenblatt zu dem nichts, es verdeckt nur das Verbrechen, statt es zu bekämpfen. Wer etwas dagegen tun möchte, wendet sich am besten an das örtliche Hackerkollektiv, denn die können wirklich etwas gegen die Verbreitung von Kinderpornos tun. Es mag nicht legal sein, aber moralisch richtig ist es definitiv.

Vielleicht sollte man mal Strafvereitelung im Amt für diejenigen in Betracht ziehen, die diese Feigenblätter bördlicherseits decken. Würde man es ernst meinen mit dem Schutz von Kindern, hätten wir bald Drohneneinsätze gegen Bulletproofhoster wie den mit dem Netzwerk von 190.115.31.20 :

inetnum: 190.115.16.0/20
owner: DDOS-GUARD CORP.
ownerid: BZ-DALT-LACNIC
responsible: Evgeniy Marchenko
address: Suite 102, Ground Floor, Blake Building, Corner Eyre Hutson Streets, 0, -
address: - - Belize - BZ

Wer mal wissen will, wer da so Kunde ist: https://krebsonsecurity.com/tag/evgeniy-marchenko/ .

So, mit dieser Erkenntnis aus der scheinheiligen Realität deutscher Feigenblättler, entlasse ich Euch mal in die dunkle Herbstzeit, da ist genug Platz zum Nachdenken 😉

Fedora: Die DNS Geschichte trägt Früchte

Wer die Mailingliste von Fedora-Devel gelesen hat, wird es mit bekommen haben: Das Thema systemd-resolved & DNS trenden enorm.

Fedora: Die DNS Geschichte trägt Früchte

Als eine Konsequenz der Diskussion wurde ein Änderungsvorschlag der DNS Gruppe von Michael Catanzaro eingereicht, daß systemd-resolved ab sofort mit einem optimistischen DoT aktiviert wird, also DNS-over-TLS, dem älteren Bruder von DNS-over-HTTPS ( DoH ).

Das meint für den Benutzer, wenn ein eingestellter DNS Server DoT unterstützt, und das findet man leicht mit einem Connectversuch auf den passenden Port 853 heraus, soll automatisch die Verschlüsselung benutzt werden. Das ist natürlich aus Datenschutzgründen zu bevorzugen.

Der Nachteil der Sache ist leider, daß die DNS Anfragen nicht ganz so schnell kommen, wie man das gewohnt ist, weil ja mehr Daten und Verschlüsselung im Spiel sind. Es ist aber ein Weg in die richtige Richtung.

Ein bisschen laut Lachen mußte ich allerdings bei der Passage:

== Benefit to Fedora ==

DNS queries are encrypted and private by default, if the user’s ISP supports DoT. Most probably don’t, but users who manually configure a custom DNS server (e.g. Cloudflare or Google) will automatically benefit from DNS over TLS.

Ausgerechnet die beiden DNS Server zu empfehlen, die das Privatsspährenproblem im systemd-resolved sind, ist schon eine Farce 😀

 

Linux – DNS-DeTracking mit nscd

Das Problem

Wenn man alle seine DNS Anfragen über einen einzigen Anbieter abwickelt, kann der leicht herausbekommen, wofür man sich interessiert, da er ja jede Domain kennt, mit der man „reden“ will.

Wenn man von einem DNS Anbieter, sei es die Deutsche Telekom oder Google, nicht vollumfänglich getrackt werden will, kann man nur seinen eigenen DNS-Cache betreiben, oder laufend den DNS Anbieter wechseln ? Oder gibt es da vielleicht noch eine dritte Möglichkeit ?

Methode 1:

Jeder kann sich einen DNS Cache auf dem eigenen PC installieren. Der Nachteil ist, es ist nicht besonders effizient und bei einigen DSL-Anbietern kann man auch nicht selbst die DNS Auflösung machen. In letzterem Fall solltet Ihr Euch auf jeden Fall einen Tunnel in die freie Welt aufbauen, z.b. per VPN. Einen eigenen Server der dafür ausreicht kann man sich schon für 6,50 € im Monat mieten. Ihr braucht  dann noch sowas : UDP Traffic per SSH tunneln, Die Vorratsdatenspeicherung umgehen oder VDS: Schnell ein VPN aufsetzen . Es geht zwar nicht um die Vermeidung der VDS, aber das Prinzip ist das gleiche. Aber wenn Ihr sowieso schon einen eigenen Server habt, laßt den das DNS Cache übernehmen.

Wieso ist das nicht effektiv ?

Ein DNS Cache macht nur dann Sinn, wenn viele Klienten in einem Netzwerk das Cache benutzen, denn der eigentliche Sinn ist, daß nicht jeder Rechner die Root-DNS kontaktiert, sondern das man möglichst viele Anfragen lokal selbst beantworten kann, weil man bereits einmal danach gefragt hat. Das geht zum einen schneller, zum anderen spart es Traffic ein. Das man seinen Fußabdruck dabei kleiner hält, fällt praktischerweise nebenbei ab. Je mehr einen DNS Cache benutzen, desto mehr gehen auch die eigenen Anfragen in der Masse unter.

Methode 2:

Ein Script, daß laufend die /etc/resolv.conf  neu und die DNS Servernamen in der Reihenfolge zufällig hinein schreibt, ist mit ein bisschen Bash-Foo machbar. Dauer ca. 15 Minuten.

Methode 3:

Schauen wir uns mal die /etc/resolv.conf an, finden wir dort:

; generated by /usr/sbin/dhclient-script
nameserver 9.9.9.9
nameserver 8.8.8.8
nameserver 8.8.4.4

Wenn man nichts weiter auf seinem Rechner installiert hat, wird in genau dieser Reihenfolge ein DNS nach dem Anderen abgefragt, wenn der vorherige DNS nicht rechtzeitig antwortet.

Das Verhalten kann man aber ändern:

options rotate
nameserver 9.9.9.9
nameserver 8.8.8.8
nameserver 8.8.4.4

Jetzt würde ein entsprechend gut programmierter Resolver, das ist der Programmteil, der die DNS Auflösung macht, zufällig aussuchen, welchen der DNS er benutzt. Trägt man hier also viele öffentliche DNS Server in dieser Liste ein, verteilt man alle DNS Anfragen auf diese Server, was jedem einzelnen logischerweise die Möglichkeit nimmt, ein umfangreiches Profil zu erstellen.

Dummerweise juckt diese Anweisung kaum einen Resolver. Das geht sogar soweit, daß der erste in der Liste mal einfach überlesen wird 🙂 Also muß eine Lösung her, die diese Anweisung respektiert: NSCD

dnf install nscd
systemctl start nscd
systemctl enable nscd

Ab jetzt werden DNS Abfragen über den NameserverCacheDämonen abgewickelt, und der fragt zufällig die DNS in der Liste an. Da es sich auch um einen Cache handelt, fragt er im Laufe der Zeit ( TTL eines Eintrags ) nur einmal die Rootserver an ( Kleiner Fußabdruck ) .

Damit wäre das Trackingproblem erledigt, wenn Ihr viele DNS Server zur Verfügung habt.

Einen eigenen DNS Cache auf dem PC zu betreiben, ist nicht weiter wild, man müßte nur den named installieren und starten. Da aber bei DNS Abfragen einiges unterwegs schief gehen kann, ist eine starke DNS Infrastruktur wie bei Google durchaus ein starker Partner.

Welche Methode für Euch die richtige ist, müßt Ihr wissen.