Nominum – Die Firma hinter der Zensursula-Infrastruktur

ZDNet hat Informationen, wer die Zensursula-Infrastruktur aufbauen und betreiben wird: DNS-Erfinder Paul Mockapetris implementiert die Internetzensur in Deutschland.

Der US-amerikanische DNS-Spezialist Nominum wird bei deutschen Providern die Fälschung von DNS-Antworten implementieren, die das heftig umstrittene Internetzensurgesetz vorschreibt. Das erklärte Gopala Tumuluri, Vice President of Marketing bei Nominum, gegenüber ZDNet.de. Nominum wird von Paul Mockapetris geleitet, der DNS 1983 erfand und in den RFCs 882 und 883 niederschrieb. Ferner ist Mockapetris Chef-Wissenschaftler bei Nominum. Tumuluri wollte gegenüber ZDNet keine Namen von Providern nennen, führte jedoch an, dass nahezu alle deutschen Provider bei ihrer DNS-Infrastruktur auf Nominum setzen. Die Technologie für die Umsetzung des Internetzensurgesetzes sei bereits fertig und müsse nur noch in die bestehende DNS-Infrastruktur integriert werden.

Laut ZdNet betreibt Nominum jetzt bereits die DNS-Infrastruktur nahezu aller deutschen Provider. Interessant ist auch diese Info:

Um zu verhindern, dass die Sperrlisten öffentlich werden, trage Nominum dafür Sorge, dass diese Listen sicher verschlüsselt auf den Zensurservern abgelegt werden. Bedienungspersonal bei den Providern, das die Listen veröffentlichen will, hätte keine Chance.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

51 Ergänzungen

  1. Das Verschlüsselungsding nehme ich denen nur halb ab. Bestimmt ist das ein Feature in deren Software, aber dass das BKA das unterstützt glaube ich nicht.

    Meine Hoffnungen bei der Veröffentlichung liegen vor allem bei den Hochschulen, die ja nach der verabschiedeten Version des Gesetzes auch Zensieren müssen. Die studentischen Hilfskräfte haben hoffentlich noch etwas courage und jugendlichen Leichtsinn :-)

    (Könnte man da nicht einen Aufruf starten?)

  2. Lese ich das also richtig das die Leute bei den Providern die Listen gar nicht wirklich zu Gesicht bekommen da sie nur die verschlüsselte Datei einspielen welche dann die gesperrten Domains enthält?

  3. @5: Das sieht nach diesem Bericht zumindest so aus. Mal schauen, wie es tatsächlich umgesetzt wird und ob Listen leaken.

  4. Zur Verschlüsselung: Ich denke, die Listen braucht man nicht entschlüsseln. Ich behaupte, die effektivere Methode sind eh Bots die das Internet durchsuchen nach Seiten die auf die Sperrliste führen. Gibt dann nen 1a-Reiseführer für den ausgewählt Suchenden von heute, ganz ohne Leak der eigentlichen Liste.

  5. Wenn alles verschlüsselt eingegeben wird, sind dann die möglichen Kollateralschäden durch Tippfehler nicht noch verheerender und unvorhersehbarer?

  6. Macht und Geld korrumpieren die meisten Menschen.
    Ob Jon Postel auch diesen Weg gegangen wäre?

  7. Aaa! Ob die listen „verschlüsselt“ sind oder nicht interessiert doch gar nicht!!! Botnet mieten, liste rekonstruiert. **A§)$“, DAS IST doch das Problem, deswegen HILFT DAS JA BEI DER SUCHE NACH DOKUMENTIERTEM MISSBRAUCH.

    The stupid, it burns.

    Aber zu Paul Mockapetris: eh, der weiß doch genauso, dass die „Liste“ eine dämliche Idee ist. Der verdient halt Geld dafür, dass er vdL grandios scheitern lässt. Toller hack eigentlich.

    Jim

  8. @13
    Ja, wenn man mal außer acht lässt, das die arroganten !“§$% im Bundestag keine Anstrengungen unternehmen, mal gescheite internationale kooperation aufzubauen (siehe Banken und Phishing) um den Dreck aus dem Netz rauszubekommen.
    Echt bitter.

  9. Oh je…
    Das liest sich ja fast wie „heute Deutschland und morgen die ganze Welt“…
    Endziel scheint dann ja wohl die globale Implementierung dieser (wahrscheinlich auch noch patentierten) Technik zu sein. D.h. dass früher oder später alle DNS-Server (incl. Root-Server) zensiert sein werden?
    Dann nämlich würde die jetzt noch „leicht zu umgehende“ und zu recht als „wirkungslos“ betitelte Maßnahme plötzlich sehr effektiv sein…

  10. Nach dem Motto „Ich habs gebaut, dann darf ichs auch kaputt machen“?

    Zitat:
    „Paul Mockapetris stünde persönlich voll und ganz hinter der Umsetzung der Sperre mittels DNS-Spoofing in Deutschland“

  11. Die Pädos freuen sich einen Ast… für die ist das doch super, dass das BKA denen die KiPos raussucht und mit dem Stoppschild markiert. Dann proggen die sich nen Webcrawler, welcher nach dem Stoppschild-Merkmal sucht und schon haben sie eine tolle Sammlung…

    *kotz*

  12. Naja spätestens wenn gesperrt wird müssen die Listen ja abgefragt werden – und wenn keiner sie entschlüsseln könnte, könnte auch niemand sie überprüfen. Ich denke: Natürlich werden die geleakt. Gerade wenn man sich die Sache mit dem verlorengegangenen EGK-Zertifikat anschaut: Was IT angeht, so gibt es keine perfekte Sicherheit – und insbesondere wenn Sachen darauf setzen geheimgehalten zu werden so reizt dann ja besonders der Inhalt des Geheimnisses.

  13. @15 (Franz):
    Die Vorstellung ist absurd. Wozu noch (für KiPo) Domain-Namen benutzen, wenn alle DNS-Server zensieren? Das führt das DNS ad absurdum, weil keiner mehr solche Domains registriert und nur noch wie früher eben IP-Adressen benutzt werden.

    Sperreffekt: NULL.

    Aber das ZugErschwG ist ja technologieoffen…

    P.S.: Durch denn Fehler bei der Überführung des ursprünglichen TMG-E in ein Spezialgesetz muß ohnehin niemand mehr sperren, weil die Nicht-Umsetzung der Sperrliste nicht mehr mit Bußgeld geahndet werden kann (Verweis in § 13 geht ins Nirvana).

  14. auf den Zensurservern !? ZENSURSERVER !

    Sie geben es endlich zu?

    sehr sehr geil *ggg*
    (sorry, ich muss *ggg*en um nicht zu heulen)

    1. @Bernd Eckenfels (#23): Vermutlich arbeiten bei den deutschen Providern nur noch BWLer und Marketingler und Techniker wurden schon lange entlassen. Das würde auch kundenfeindliche Tarife mit 5cm kleinstgedrucktem Fußnotentext, beschränkte „Flatrates“ und das Einbrechen der Provider vor Ursula von der Leyen und widerstandslose Vertragsunterzeichnung mit dem BKA anstatt Aufklärung erklären.

  15. Also das Gerede von verschlüsselten Listen ist dämlich, weil die Listen natürlich entschlüsselt werden müssten, um sie zu benutzen. Im laufenden Betrieb hätte man also erstmal Zugang.

    Ich wunder mich aber, weshalb nicht einfach nur die Hashes der FQDNs auf den Listen gehalten werden? Das wäre sozusagen „sicherer“.

    Im Endeffekt ist die Zensur aber sowieso 100% sicher, weil sie mit 100% die Reste des Rechtsstaats weiter tilgt. Nur halt nicht das „sicher“, das der CDU-Wähler zu wählen meint.

  16. Verschlüsselung, das bedeutet wohl, dass der Hashwert der DNS-Einträge an die Provider übermittelt wird. Die Überprüfung sieht dann vermutlich so, oder so ähnlich aus:

    select case when sha1sum(query) in (select blocked_dns_hash from blocklist) then stoppserver_ip else select record from dnsdatebase;

  17. Während Herr Mockapetris also in den USA die garantierten Freiheiten des „First Amendment“ genießt, hilft er anderen Ländern gerne dabei Meinungsfreiheit zu unterdrücken und abzuschaffen.

    1. First Amendment… Ha, ha, ha… http://de.wikipedia.org/wiki/Guantanamo_Bay_Naval_Base

      Amerika hat schon ab 2002 (na, ja, ich denke schon mit der vernichtung der Vietnamesen) gar kein status als ‚rechts statttt‘ meinung hin oder her, sie kontrollieren die basis infrastruktur immer noch und das pentagon hatte schon 1992 festgestellt das das internet mil.net in „Perpetual War“ versetzt … I dunno, I never had much time left over for consiparicy theorists, but the banal everyday has managed to become more absurd than the Grendel Comic book and the (f)visions of K.Dick combined.

    1. Alternative DNS Server hin oder her.. geh einfach mal davon aus, das Dein Provider irgendwann jeglichen Traffic auf destination:53 blockiert, außer seiner eigenen DNS Server. Alternativ ist das ja im Normalfall eh nur ein einzelnes UDP Paket, das lässt sich sicherlich auch einfach umbiegen.

      Tolle neue Welt :(

  18. Wenn es also im Wesentlichen auf EINEN Anbieter hinausläuft: Wie agiert Nominum im Markt? Wer ist Vertriebspartner von Nominum in Deutschland? Wie und mit wem ist Nominum, resp. der Vertriebspartner, in Berlin „vernetzt“? Fragen, Fragen, Fragen… OK, ich bin Verschwörungstheoretiker.

  19. Bevor hier irgendeine studentische Hilfskraft auf „dumme Gedanken“ kommt: Vorher zwei Listen aus verschiedenen Quellen gegeneinander prüfen (diff), nicht dass irgendwelche Marker dabei sind ;)

  20. Die Verschlüsslung wird nix taugen. Entweder die müssten für echte Verschlüsslung den Schlüssel mitliefern (will not happen) oder es ist ein Hash. Und sorry, nen 2^32 Keyspace ist kein Problem für nen rainbowtable.

  21. @38:
    Ein diff wird wohl immer Unterschiede zeigen, da die Listen höchstwahrscheinlich nicht gleich alt sein werden.
    Im Zweifelsfall müßte man also die Schnittmenge veröffentlichen.
    Nur woher Vergleichslisten nehmen, wenn diese eben markiert sein könnten und daher nicht „einzeln“ veröffentlicht sind? Das erfordert schon reichlich Konspiration…

    @40:
    Wenn tatsächlich alle Zensurprovider (und das BKA) proprietäre Verschlüsselung verwenden, könnte das schon ein Problem sein.
    Und warum sollten sie nicht (auf anderem Weg) die Schlüssel „mitliefern“?

  22. Na super, ausländische Dienstleister. Wie soll man denn die digitale Unabhängigkeit Europas bewahren, wenn alles, vom Desktop bis zum Netz in der Hand der Amerikaner ist, und unsere Politiker de Ausverkauf unserer Daten betreiben? Warum investiert der Bundestag nicht mal in ein Bundesbetriebsystem auf Linux-Basis, um die Abhängigkeiten des Standard Deutschland zu reduzieren?

    Wozu haben wir eigentlich unsere Souvereinität in Deutschland, wenn alles bei wirklich kritischen Fragen der Nationalen Sicherheit plötzlich egal total ist. Demnächst: Blackwater kauft Bundeswehr und schliesst Vertrag mit Deutschland zum Schutz Kritischer Infrastrukturen.

  23. Wie kann es sein das nur eine einzige Firma die gesamte DNS-Infrastruktur alles deutschen Provider betreiben darf?

  24. Monopolstellung bei Zensurinfrastrukturkomponenten. Sollte man das nicht besser vermeiden? Das wirkt so autoritär, so geschlossen, planwirtschaftlich.

  25. @41: wenn sie proprietäere Verschlüsselung benutzen sollten, wird es erst recht geknackt. Stichwort Bruce Schneier. Zumal dann der Nameserver den Schlüssel geladen haben müsste.

    IMHO denke ich auch, dass sie Hashes verwenden werden. Was im Endeffekt aber auch Schmarrn ist.

    Übrigens arbeite ich in der Branche (und bin kein BWLer) und ich für meinen Teil habe von dieser Firma noch nie etwas gehört. Nach meinem Wissensstand wird primär ISC Bind eingesetzt. Dafür spricht, dass die diversen Bind-Bugs der vergangenen Jahre allesamt auch bei deutschen Providern funktioniert haben.

    Und dann müsste man sich noch über DNS Caches unterhalten, die ein grosser Provider auf jeden Fall haben muss. Und die sind auch nicht verschlüsselt.

    Mein Fazit: diese ZDnet Story ist Unfug und Teil des Spiels, das „sie“ mit uns spielen.

  26. Warum die Sperrlisten herausbekommen wollen und veröffentlichen?
    Sobald die ersten zu Unrecht gesperrten Sites auftauchen sind doch MODDOS-Attacke (Manually Operated Distributed Denial Of Service) bei der Beschwerdestelle zu erwarten (hoffentlich)

  27. Naja ..

    Ich denke Ihr habt vergessen,
    dass auch Universitäten blockieren müssen
    .. spätestens da hat es sich dann mit der Geheimhaltung

    .. ich halte es für sehr fraglich,
    dass sie alle die selbe Software einsetzen werden

    PS:
    .. Nominum hatte für’s ISC den bind mitprogrammiert
    .. es handelt sich also höchstwahrscheinlich um einen angepassten bind

    Christian; MOGiS

  28. Die „Gemeinde“ findet doch immer was
    nützliches. Z.B. ein Plugin wie
    „zensursuplug“, für firefox, welches
    einen Button bereitstellt, der einen
    blockierten DNS-Eintrag an einen
    kleinen Server weiterleitet, der
    wiederum diese blockierten Daten
    festhält.
    Nach Domain, IP (richtig), Zeitpunkt
    etc.
    Natürlich nicht die Daten des
    Übersenders, allerdings die Daten
    des Providers.
    Außerdem kann der Server sporadisch
    prüfen, ob die Seiten noch blockiert
    sind. Der Interessierte kann dann in
    die Listen reinschauen.
    Ich wette, wenn die Sache sich
    durchgesetzt hat, dauert es nicht mehr
    als 2 Wochen, bis alle Sperrungen
    auf dem Stand sind und alle Provider
    genannt werden, die diese Sperrungen
    durchreichen.
    Vorteil wäre, daß man Zeitpunkte der
    Sperrung ggf. am Anfang und am Ende
    festhalten kann, um zu sehen, ob jemand
    zeitweilig gespertt wurde. Man könnte
    auch sehen ob bestimmte Provider
    bestimmte Seiten sperren.
    Man könnte auch einen eMail Service
    einrichten, der neu erkannte Sperrungen
    weiterleitet, so daß man direkt auf die
    Sperrungen mit Öffentlichkeitsarbeit
    reagieren kann.
    Man stelle sich vor, die in Australien
    klammheimliche Sperrung von Wickileaks
    wäre sofort allen Interessierten mitgeteilt
    worden.
    Eine eMail sofort an die jeweiligen
    Redaktionen der Zeitungen.
    So eine Einrichtung würde das Ganze zu
    einer „Phyrrussperrung“ machen, denn mit
    einem solchen Mitwirken der „Gemeinde“
    rechnet keiner der Politiker.
    Wenn dann noch die Provider genannt
    werden und die Presse mal fragt warum
    etwas gesperrt wurde, dann wird es einige
    zum Schwitzen bringen.
    Das System könnte auch noch weltweit
    Arbeiten, so daß man sich die Arbeit
    nur einmal machen muß und auch noch die
    politische Zensur vieler Länder
    aufgedeckt und transparent gemacht wird.

    Emil P.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.