Deutsche Kinderhilfe defaced

Nachdem die Deutsche Kinderhilfe in den letzten Tagen mehrfach negativ aufgefallen ist weil der angeschlagene Verein Zensursula in ihrem Bestreben tatkraeftig unterstuetzen will und die Unterzeichner der ePetition in die Paedophilen-Ecke geschoben hatte, hat sich heute Nacht wohl jemand mit Spass am Geraet deren Webseite vorgenommen. Derzeit kann man auf der Startseite folgendes lesen (Screenshot):

Deutschlands Kinder brauchen uns!
Die Deutsche Kinderhilfe ist die nationale Kinderhilfsorganisation, die wegen dubioser Machenschaften 2008 aus dem Spendenrat geworfen wurde. Momentan engagiert sie sich wegen des großen Presserummels aktiv gegen die äußerst erfolgreiche Online Petition gegen Internetzensur.

Eines der Hauptanliegen der Deutschen Kinderhilfe ist die Unterstützung von Politikern, die aktiv sinnlose Symbolpolitik im Kampf gegen Kinderpornografie betreiben. Dies begünstigt eine schleichende Zensur des Internets und führt nicht zum Schutz von Kindern vor Ausbeutung und Vergewaltigung. Die logische Schlussfolgerung ist demnach, dass sich die Deutsche Kinderhilfe einem aktiveren Kinderschutz und der wirklichen Löschung kinderpornografischer Inhalte auf ausländischen Servern in den Weg stellt. Wie leicht diese erreicht werden kann, wurde bereits von Care Child nachgewiesen und sollte unbedingt hier nachgelesen werden.

Wie groß das Risiko einer schleichenden Zensur tatsächlich ist, wird durch bereits jetzt angemeldete Forderungen diverser Glücksspiel Gesellschaften und Medienunternehmen auffällig. Diese wünschen sich bereits ohne beschlossenes Gesetz eine Ausweitung der Sperren, da die Infrastruktur zur Zensur des Internets dann ja vorhanden sei.

Werte Bürger und Gesetzgeber: Bitte lassen Sie es alle nicht soweit kommen!

Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren. – Benjamin Franklin

Garniert mit der bekannten Traueranzeige zum Tod des Artikel 5(1) GG, einer “Was China kann, können wir schon lange!”-Laufschrift und ettlichen weiterfuehrenden Links zum Thema und zur Vergangenheit der Kinderhilfe.

Einerseits vielleicht lustig, trotzdem denk ich das das der falsche Weg ist mit dem Laden und seinen Aktionen umzugehen. Natuerlich kotzt mich der Populismus auch an mit dem man sich jetzt die Kinder vor den Karren spannt um ihn aus dem Dreck zu ziehen, aber ein Hack der Webseite (auch wenn er gut gemacht ist und keinerlei sinnfreie Beleidigungen oder Goatse-Bildchen zeigt) bringt uns nicht weiter sondern fuegt unserem Anliegen nur einen negativen weil illegalen Aspekt hinzu. Die Kinderhilfe und alle anderen von Zensursulas Befuerwortern sind relativ Argumentationsarm und disqualifizieren sich selber oft genug. Seine Energie sollte man da eher in das zusammentragen von belegbaren Zahlen und Fakten stecken anstatt in defacements.

ePetition gegen die Zensurplaene

Beim Petitionsservice des Bundestags gibt es derzeit eine Petition gegen die geplante Sperrung von Internetseiten. Wenn diese Petition bis 16. Juni von 50000 Personen mitgezeichnet wird, wird “im Regelfall” im Petitionsausschuss oeffentlich ueber die Petition beraten. Mittlerweile sind wir bei ueber 16000 Mitzeichnern, alle groesseren und wichtigen Medien berichten und bei @mitzeichner kann man live verfolgen wieviele neue Unterzeichner es pro Minute gibt. Wer noch nicht mitgezeichnet hat soll das bitte noch nachholen. Unbedingt.

Ein besseres Signal kann man fast nicht Richtung Berlin schicken. Jetzt hoffen wir nur, dass sie es auch verstehen und sich nicht auf das “im Regelfall” berufen oder sonstwie die Petition abwuergen.

Zensiertes Internet fuer Internet-Ausdrucker

Eine sehr schoene Aktion hat sich Horst ausgedacht: durch Einbinden eines kleinen Codes in Webseiten wird beim Druck der betreffenden Seite nur noch dieses Bild gedruckt.

Unbedingt mitmachen. Leider funktioniert das mit dem globalen einbinden unter WordPress.com nicht so wirklich prickelnd da der oeffnende <style>-Tag rausgefiltert wird und CSS editieren extra kostet…. Gna.

Die liebe Telekom und das Domain Name System

Der Domain Name Service ist momentan in aller Munde. Schon allein weil die Provider ja per DNS mutmassliche Kinderpornogucker auf Stopp-Server umlenken sollen.

Was DNS macht ist vereinfacht gesagt folgendes: Es uebersetzt die fuer uns leichter zu merkenden Namen von Servern die wir erreichen wollen in IP Adressen ueber die die Rechner letztendlich miteinander kommunizieren. Dieser Service wird oft als das Rueckgrat des Internets bezeichnet. Man sollte also tunlichst zusehen diesen Dienst abzusichern.

Rainer hat sich mal angesehen welche Informationen er so aus den Nameservern fuer die Zone bka.de rausziehen kann.

Was man normalerweise unter anderem auf gar keinen Fall als Admin eines DNS Servers oder als Kunde eines solchen Admins will ist, dass jeder die Versionsnummer der benutzten BIND Version oder gar die ganze Zone einer Domain auslesen kann.

Mit Information ueber die verwendete Version koennte man gezielt bekannte Schwachpunkte dieser Version ausnutzen. Juckt aber irgendwie scheinbar niemanden.

$ dig @$dns-server +short CHAOS TXT version.bind
"BIND 8.3.3"

Falls nicht gefaked schon etwas aelter. Dabei laesst sich das recht einfach abschalten. Es gibt in den Optionen vom BIND extra ein Substatement fuer die Version.

options {
[...]
version "Das geht dich nix an";
};

Wenn man will kann man auch alle Versionsanfragen loggen lassen.

In der Zone bzw. dem Zonefile einer Domain stehen alle Zuordnungen von Namen zu IP Adressen drin. Fuer Server wie www.example.com oder mail.example.com waer das sicher nicht so wild, denn das sind gaengige Bezeichnungen von denen man eh oft wiss das sie von aussen angesprochen werden. Aber es muss ja nicht jeder wissen das es da noch secretserver.example.com oder finance.example.com gibt. Aus diesem Grund laesst man einen Zonentransfer in der Regel nur vom Master Server, also dem Server auf dem das Zonenfile liegt und bearbeitet wird wenn Aenderungen anstehen, zu den Slave Servern zu. Das BKA bzw. die T-Systems die ihre Nameserver betreibt sehen das wohl anders. Man kann von bka.de einen AXFR, Zonen Transfer, anfordern und bekommt den auch beantwortet.
Auch das liesse sich recht einfach verhindern. Zum einen kann man Zonentransfer pro Zone ueber das Substatement allow-transfer regeln:

zone "bka.de" in {
type master;
file "path/to/zonefiles/db.bka.de";
allow-transfer { slave-ns-1; slave-ns-2; };
};

Oder auch wieder global ueber ein entsprechendes Statement in den Options und mit eigenen Access-Listen (Zensursula steht auf Access-Listen). Das ist nur die Spitze des Eisbergs. Wer Versionsabfragen und Transfers fuer bestimmte Netze zulassen will/muss kann verschiedene Views definieren. Ist alles ganz einfach.

Zusaetzlich beantwortet einer der Server auch noch DNS Anfragen fuer jedermann nach ueberall. Das will man eigentlich auch nicht unbedingt. Vielleicht fuer die internen Netze und dann sollte man das wieder ueber die Views regeln, fuer alle anderen Anfragen von extern sollte ein “recursion no;” in den Optionen stehen.

Kombiniert man das alles und denkt ein paar Monate zurueck stellt man sich eine Frage. Richtig.

$dns-server is POOR: 39 queries in 75.6 seconds from 1 ports with std dev 0

Aber vielleicht wollen sie uns das ja auch nur glauben lassen

Also, liebe BIND Admins von der T-Systems und auch sonstwo: bitte ein wenig mit dem Thema befassen, das ein oder andere Buch lesen und mal ins “Secure BIND Template” gucken.

Fluchtfail

Es gibt Geschichten, an die kommt auch das Kino nur schwer ran. Beispielsweise diese hier: Mutter von drei Kindern setzt diese in Italien in einer Pizzaria aus. Sie war mit ihrem Freund auf der Flucht und mittellos. Auf der Flucht deshalb, weil der Freund nach einem Hafturlaub nicht wieder in die Zelle zurueckgekehrt ist, die er sich mit dem Mann der Mutter und Vater der Kinder teilt, welcher wiederum einsitzt weil er ein weiteres gemeinsames Kind so schwer misshandelte, dass es verstarb. Jetzt mal im Ernst… the FUCK!?

Das ehemalige Nachrichtenmagazin erfreut diesbezueglich auch durch zum Schutz der Privatsphaere grob verpixelte Bilder von Mutter und Freund. Direkt neben einem Link zu einem unverpixelten Video ueber den Fall. Gratuliere.

Irgendwie erinnert mich das Setting aber auch schwer an “Bang Boom Bang“.

Fluchtplan: einfacher SOCKS-Proxy in Perl

Mittel SOCKS Proxy kann ein Client/Rechner seine Netzwerkverbindungen ueber einen Proxy laufen lassen. Ein Programm auf dem Client, der SOCKS-Wrapper, leitet je nach Regelwerk die Anfragen an den Proxy Server weiter, dieser verbindet sich dann auf den eigentlichen Zielrechner und arbeitet als Vermittler bzw. Gateway zwischen den beiden Systemen.

Eine einfacher, schnell aufgesetzter und zumindest zum testen voellig ausreichender SOCKS-Proxy-Server ist der “Simple SOCKS Server for Perl” oder kurz sss. Dabei handelt es sich nur um ein Perlscript das auf dem Rechner der als Server genutzt werden soll gestartet werden muss.

# ./sss.pl
Usage: [auth_login(:auth_pass)]
Note: the auth_pass must be an md5 (hex) hash
eg: localhost 34567 test 098f6bcd4621d373cade4e832627b4f6

Username und Passwort sind hierbei optional, sollten aber auf jeden Fall vergeben werden, da sonst jeder den SOCKS-Proxy nutzen kann.
Den md5-Hash den Passworts erstellt man sich z.B. auf der Console:

# echo -n Sup3rg3heimesP4sSw0rT! | md5sum
d5a9d333fc1174d7028be168d2df5848 -

Damit sss.pl fuer den Proxy-User “fluchthelfer” und sein Passwort “Sup3rg3heimesP4sSw0rT!” auf dem Server fluchttunnel.example.com mit der IP 192.168.0.1 auf Port 3128 erreichbar ist startet man es z.B. so:

# ./sss.pl 192.168.0.1 3128 fluchthelfer:d5a9d333fc1174d7028be168d2df5848
Now entering process into the background...

Nun kann man schon versuchen sich mit seinem SOCKS-Wrapper zu Verbinden. Hier als Beispiel die ausgabe der Testfunktion von Proxifier:

[06:14] Testing Started.
Proxy Server
Address: fluchttunnel.example.com:3128
Protocol: SOCKS 5
Authentication: YES
Username: fluchthelfer

[06:14] Starting: Test 1: Connection to the Proxy Server
[06:14] IP Address: 192.168.0.1
[06:14] Connection established
[06:14] Test passed.
[06:14] Starting: Test 2: Connection through the Proxy Server
[06:14] Authentication was successful.
[06:14] Connection to www.google.com:80 established through the proxy server.
[06:15] A default web page was successfuly loaded.
[06:15] Test passed.
[06:42] Testing Finished.

Bitte beachten: hier laeuft die Verbindung zwischen Client und Proxy immer noch im Klartext ab. Es wird NICHTS verschluesselt. Auch nicht Benutzername und Passwort. So hat es “nur” den Vorteil das die IP vom Client nicht mehr beim Zielserver auftaucht. Wenn man sss.pl langfristig einsetzen will, sollte man das Skript auch unter einem unpriviligierten User laufen lassen, und nicht als root

Ausser sss gibt es natuerlich noch weitere SOCKS Loesungen wie z.B. SS5. Den werde ich in einem spaeteren Posting beschreiben.

Fluchtbewegung

Das Bundeskabinett hat heute die Gesetzesinitiative zur Webfilterung beschlossen, und Spreeblick reagiert mit einer Protestaktion. Gute Sache das.

Fluchterfahrung

Da unsere Damen und Herren Volksverarscher immer wieder lustige neue Ideen bezueglich der Regulierung, Filterung und Zensur des Internets hervor kramen, habe ich mir einmal ein paar Moeglichkeiten zur Republikflucht angeschaut. Hauptsaechlich (virtuelle) Server bzw. VPNs im Ausland. Ziel ist es entstehenden Traffic aus Deutschland rauszuverlagern. Und hulu.com zu gucken

Bei OHV bekommt man fuer relativ kleines Geld einen RPS (Real Private Server). Also einen kleinen Server mit “echtem” Prozessor und RAM. Lediglich der Speicherplatz ist als iSCSI eingebunden. Ich habe mir die kleinste Variante bestellt, den RPS I mit 1,6 GHz Atom Prozessor, 512 MB RAM, 10 GB HDD (bzw. 50 GB aufgrund einer Aktion bis 31.3.) und 100Mbit/s unlimited Traffic. Der Server steht letztendlich in Frankreich. In wie weit das bei den Ansichten eines Herrn Sarkozy sinnvoll ist weiss ich selbst nicht so genau.

Nach der Bestellung des Systems hat es 8 Tage gedauert bis er endlich installiert wurde. Das lag an der grossen Zahl der Neuauftraege waehrend der “50 statt 10 GB zum gleichen Preis” Aktion. Wie lang die Installation normalerweise dauert kann ich nicht sagen. Nachdem der Server dann lief gab es erstmal eine unschoene Ueberaschung: wenn er lief lief er angenehm flott allerdings hat er alle 10 Minuten bis 2 Stunden gebootet. OVH hat mich ueber jeden Ausfall automatisch informiert und ein Ticket geoeffnet (“nicht Pingbar”) und nachdem der RPS wieder lief direkt wieder geschlossen. Pro Reboot also mindestens 2 Mails. Bis das Problem behoben war waren es dann ueber 80. Der OVH Service hat einen Hardwaretest gefordert. Dieser kann ueber die recht ordentliche Webverwaltung angestossen werden. Der RPS ist dann beim CPU Stresstest wieder verreckt. Letztendlich war es aber ein defektes Netzteil, welches Sonntags Nacht um 00:53 (sic!) getauscht wurde. Am Service kann man also nicht rummeckern.

OVH bietet recht viel fuers Geld. IPv4 und v6, diverse NetBoot Kernel mit und ohne grsec oder IPv6, Fail-over-IP, PTR fuer IPv4 und v6, Super Installer mit freier Partitionierung und und und. Fuer 12 Euro/Monat durchaus ok.

Nach dem RPS von OHV hab ich mir Virtuelle Server angesehen. Der erste Versuch lief ueber Datarealm mit deren “Budget VPS”. Fuer $4.95 bekommt man einen VPS mit 2 GB HDD, 64 MB RAM und 1Mbps unlimitierten Traffic. Nach der Bestellung vergeht in etwa ein Tag bis das System zur Bereitstellung. Das System steht dann relativ nackt da und man muss entsprechend Pakete nachziehen. Auch die Verwaltung ueber die Weboberflaeche war recht spartanisch. VPN und Socks Proxy tun zwar, aber die Bandbreite von nur einem Mbps bremst schon gewaltig.

Daher wurde das ganze recht schnell gegen einen VPS von VPSLink ersetzt. Bei VPSLink habe ich einen Link-1 mit aehnlichem Leistungsumfang wie beim Budget VPS genommen: 2 GB HDD, 64 MB Ram und 100 GB Traffic/Monat fuer $6.44 (krummer Betrag wegen 10% lifetime discount, als Referal BB3CT6 angeben). Der Server steht in Seattle und war knapp 10 Minuten nach Bezahlung per PayPal online, laeuft wahlweise unter OpenVZ oder Xen und ist von Haus aus grosszuegiger vorinstalliert. Auch VPSLink bietet eine wirklich gutes Web-UI zur Verwaltung und Konfiguration der bestellten Server inklusive Traffic Monitor, Java Console, PTR, Upgrademoeglichkeiten auf groessere VPS usw.. Je nach gewaehltem Linux (CentOS, Debian, Gentoo, Fedora) sind alle noetigen Dienste schnell aufgesetzt. OpenVPN tut wunderbar und die Bandbreite ist wesentlich brauchbarer als die von Datarealm. Den werde ich vorerst auf jeden Fall behalten.

Als weitere Alternative, wenn man sich nicht mit einem eigenen Server rumschlagen moechte, bleibt noch die Wahl eines VPN Dienstleisters. Da gibt es z.B. SwissVPN mit Servern in der Schweiz oder WiTopia. SwissVPN habe ich mir nicht genauer angesehen, dann dann kann ich gefuehlt auch gleich in .de bleiben.

Bei WiTopia kann man je nach Vertrag zwischen PPTP und/oder SSL VPN per OpenVPN waehlen. IMHO ist SSL VPN sinnvoller da u.a. vermutlich auch seltener geblockt. Ausserdem kann ich bei SSL VPN waehlen ob ich ueber ein Gateway in UK oder USA ins Netz gehe waerend man bei PPTP nur ein Gateway in Dulles, VA nutzen kann. Das ganze gibts zu Preisen von $39.99 (PPTP) bis $69.99 (PPTP und SSL) mit einer 30 Tage Geld zurueck Garantie bei nicht gefallen. Man kann es also gefahrlos austesten und bisher hat es sich als sehr performant erwiesen.

Die beschriebenen Moeglichkeiten und Anbieter sind nur die Spitze des Eisbergs, aber IMHO wird es Zeit sich ueber solche Massnahmen  Gedanken zu machen.<

Fluchtgedanken

Dies Blog ist eine Notgeburt. Ob es auch eine Totgeburt ist wird sich zeigen. Nachdem ich mein altes Blog geschlossen habe, weil ich bei vielen Beitraegen nicht sicher war ob sie noch ein Nachspiel nach sich ziehen wuerden, fehlt mir nun doch hin und wieder ein Platz an dem ich mich zu diversen Themen aeussern kann. Volgo: ich brauch was zum auskotzen. Natuerlich ist das hier keine totalanonyme Plattform, aber man kann gefuehlt schon freier schreiben als auf der eigenen Domain mit raidbarer Privatadresse im Impressum und Whois.