Spenden

Dieser Artikel ist mehr als 15 Jahre alt.

Wikileaks sinnvoll mirrorn

Lutz Donnerhacke und Theodor Reppe wollen unter mirrors.wikileaks.de eine zentrale Anlaufstelle für Wikileaks-Mirrors errichten. Es soll aber nicht wieder nur eine von vielen sporadisch gepflegten und daher unvollständigen oder nicht mehr aktuellen Linklisten entstehen, sondern alle Mirrors unter Wikileaks.

  • Linus Neumann
Linus Neumann
20

Lutz Donnerhacke und Theodor Reppe wollen unter mirrors.wikileaks.de eine zentrale Anlaufstelle für Wikileaks-Mirrors errichten.

Es soll aber nicht wieder nur eine von vielen sporadisch gepflegten und daher unvollständigen oder nicht mehr aktuellen Linklisten entstehen, sondern alle Mirrors unter Wikileaks.de angeboten werden, so dass sich dann hinter www.wikileaks.de viele DNS- und Webserver verbergen, die abwechselnd der Reihe nach auf Anfragen antworten – treffend als „Multihoming, Load balancing und Resilienz des kleinen Mannes“ bezeichnet.

So wird die Last auf viele Ressourcen verteilt, was zu einer geringeren Anfälligkeit gegen Angriffe sowohl auf die DNS- als auch auf die Webserver führt. Um sicherzugehen, dass keiner der beteiligten Server manipulierte Daten anbietet, werden die Webserver anhand unregelmäßiger Stichproben kontrolliert, während die DNS-Server durch DNSSEC-Signaturen an Manipulation gehindert werden (sollen).

Wie kann man sich daran beteiligen?

Alle Betreiber eines Wikileaks-Mirrors können sich mit wenigen Schritten anmelden. Wer einen DNS-Mirror aufsetzen möchte, sollte wissen was es bedeutet einen DNSSEC secondary Server aufzusetzen.

Als Belohnung für Mirror-Server-Betreiber gibt es eine persönliche subdomain.mirrors.wikileaks.de und eine Emailadresse@mirrors.wikileaks.de

Insbesondere das Einbinden eines bestehenden Webserver-Mirrors ist sehr einfach. Was für einige momentane Betreiber ein Nachteil sein könnte: Auf den erhofften Werbeeffekt des eigenen Domainnamens muss verzichtet werden – aber wer würde schon (zugeben) nur deshalb einen Mirror zu betreiben?

Wie kann man darauf zugreifen?

Um auf die Mirrors zugreifen zu können, braucht man einen DNSSEC-fähigen resolver wie UnboundBind oder Windows 2008 R2 (oder einen ISP, der einen anbietet) und muss diesen richtig konfigurieren. Wie das geht steht hier.

Details zum Konzept, das ich unter „Muss man sich unbedingt mal merken“ eingeordnet habe, finden sich unter http://mirrors.wikileaks.de.

Über die Autor:innen

  • Linus Neumann
    Linus Neumann

    Dipl.-Psych. Linus Neumann war seit 2010 mehrere Jahre Mitglied der Netzpolitik-Redaktion und ist einer der Sprecher des Chaos Computer Clubs. Zusammen mit Tim Pritlove macht er den wöchentlichen Podcast Logbuch:Netzpolitik. Er arbeitet in Berlin bei einem Unternehmen im Bereich der IT-Sicherheit. Ab und an twittert er ein bisschen Unsinn. Per E-Mail erreicht man ihn hier.

Veröffentlicht

Kategorie

Schlagwörter

, ,

Weiterlesen

Thema

DNSSEC

Thema

mirrors

Thema

Wikileaks

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

20 Kommentare zu „Wikileaks sinnvoll mirrorn“

  1. Lutz Donnerhacke

    ,

    Aktuell sind die Automatismen noch „manuell“, da ich wissen will, ob alles korrekt funktioniert. Besser etwas langsamer als falsch.

  2. Mithos

    ,

    Ich verstehe gerade nicht ganz, wie das mit dem „drauf zugreifen“ gemeint ist. Wenn das aber heißt, dass man da nicht einfach so und ohne einen einzigen Handgriff mit dem handelsüblich installierten Browser drauf surfen kann, dann wird das nix. Es sei denn, das ist wirklich als Service für die wenigen Sachkundigen gedacht, die auf größtmögliche Sicherheit bestehen.

    DNSSEC mag ja noch so sinnvoll sein (oder eventuell auch nicht wenn man nach dem Bernstein-Vortrag vom 27c3 geht [1]). Weit verbreitet ist es aber nicht und kaum jemand weiß überhaupt, dass sowas existiert.

    [1] https://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html

    1. Lutz Donnerhacke

      ,

      @Mithos

      Ich möchte nicht über djbs Theorien streiten, aber er hat schlicht nicht das Problem verstanden.

      Sein Vorschlag ist, das Internet abzuschaffen und durch ein vollverschlüsseltes neues Netz zu ersetzen, bei dem die Rechner ihren öffentlichen Schlüssel als Namen zu verwenden haben. Dabei soll weltweit der gleiche Algorithmus mit einer unveränderlichen ECC Kurve (seiner eignen) verwendet werden.

      DNSSEC verfolgt dagegen den Ansatz das *öffentliche* DNS gegen *Transport*manipulationen zu schützen. Damit wird aus einem „Telefonbuch“ eine „vertrauenswürdige Datenbank“.

      In hier vorliegenden Fall hilft DNSSEC unbekannten Dritten die Möglichkeit zu geben, die DNS Zone zu hosten. Damit kann man erkennen, ob der Betreiber des Secondaries an den Daten rumspielt. Mit DNSCurve würde man nur wissen, daß die Daten vom Betreiber des Secondary kamen, aber nicht ob es die sind, die wir originär zusammenstellten.

    2. Lutz Donnerhacke

      ,

      @Mithos

      Danke für den Hinweis, daß die „normale“ Nutzung nicht beschrieben ist.

      Das ist nun behoben. Es heißt nun „For ordinary access simply go to http://wikileaks.de/ or http://www.wikileaks.de/ and enjoy a stable, fast, and useful ressource.“

  3. awxcnx

    ,

    @Lutz Donnerhacke: Wir wollen die DNSSEC Server der GPF als DNS-Mirror anbieten, aber wo gibt es die Zone-Files für Slaves (bind9)? Selbst erstellen?

  4. Theodor Reppe

    ,

    @Mithos:
    Jeder kann natürlich einfach auf (www.)wikileaks.de surfen und landet auf einem der Mirrors. Nur um z.B. das DNSSEC-Plugin von firefox richtig zu benutzen (damit es die aufgelöste IP validiert) ist etwas mehr Arbeit nötig (DNSSEC-fähiger Nameserver).
    Wäre auch mal eine Maßnahme, generell öffentliche DNSSEC-fähige Nameserver zu publizieren.

    Theodor Reppe

  5. Torsten

    ,

    Ist das der selbe Theodor Reppe, der damals die Domain bnd.de übernehmen wollte und dann die Kündigung seines Providers ignoriert hat, was dann zu der Behauptung führte, der BND habe wikileaks.de dicht gemacht?

    http://notes.computernotizen.de/2009/04/14/stupidity-is-not-enough/

    1. Lutz Donnerhacke

      ,

      @Torsten

      Ja, deswegen ist er jetzt beim mir. Ich kann den Mund aufmachen und einem Kunden ins Gesicht sagen, was ich von seinem Vorgehen halte. Das ist auf Dauer für alle Beteiligten der bessere Weg.

  6. Torsten

    ,

    Lutz Donnerhacke: Der letzte Provider hat ihm auch offen ins Gesicht gesagt, was er von dessen Vorgehen hielt :-)

  7. Weirdo Wisp

    ,

    Schöne Idee.

    Und ich bin gespannt, wie schnell wikileaks.de auf diversen Kinderporno-Sperrlisten landen wird. Die Welt kennt viele Zensursulas und Censilias.

  8. Arnor

    ,

    Da hat man doch wieder den single point of failure wikileaks.de. Da wird dann einem Artikel Verharmlosung des Holocausts vorgeworfen und die ganze Domain wird abgeschaltet.

    Ziel sollte auf jeden Fall auch sein, Domains in möglichst vielen Ländern zu haben.

    1. Lutz Donnerhacke

      ,

      @Arnor

      Das ist der nächste Schritt. Die Technik ist die gleiche. Allerdings sind es dann eben unterschiedliche Namen.

  9. sandstrahler

    ,

    AUTSCH!

    „Wikileaks sinnvoll mirrorn“

    Hoffentlich schmerzt diese Überschrift den Autor so sehr wie manchem Leser. :)

  10. trueten.de - Willkommen in unserem Blog!

    ,

    Was mir heute wichtig erscheint #243…

    Jahrestag: Am 07.01.2005 verbrannte Oury Jalloh, an Händen und Füßen gefesselt, in einer Dessauer Polizeizelle. Der Prozess gegen die angeklagten Polizisten endete im Dezember 2008 mit einem Freispruch. Auf Verlangen der Initiative in Gedenken an Oury…

  11. Lukas Barth

    ,

    @Lutz:

    Seid ihr manuell schon so weit, dass ihr DNS-Mirror durchklickt? Ich habe so eine Bestätigungs-Mail bekommen, brav den haken bei „Commit new DNS Server“ (oder so ähnlich) gesetzt und nochmal bestätigt. Dennoch bekomme ich da noch keine neuen DNS-Server (geschweige denn, meinen) für wikileaks.de oder http://www.wikileaks.de, auch wenn ich avalon.iks-jena.de frage. Ist das einfach noch nicht ganz durchgelaufen, oder ist bei mir was kaputt?

    1. Lutz Donnerhacke

      ,

      Automatisiert ist fast alles, die Eintragungen und Austragungen erfolgen seit Freitag, der Automatismus dafür kommt heute.

      Sorry, aber wie zu erwarten war, sind realweltliche Daten deutlich komplexere Testfälle. So scheiterte die Überprüfung an so vielen Stellen, das nicht ganz klar ist, wie man das als E‑Mail formuliert.

      1. Lutz Donnerhacke

        ,

        Jetzt sind die letzten Automatismen (die Deaktivierungen nach längerer Nichtfunktion) getestet und aktiv.

  12. Schnipsel

    ,

    DNS-Mirror für Wikileaks…

    Endlich hab ich eine sinnvolle Verwendung für meinen Nameserver gefunden. Der dümpelt seit Jahren als Cache für den Eigengebrauch und Primary für mein heimisches DynDNS mit 50/5 Byte/s (in/out) vor sich hin. Jetzt spielt er bei den Mirrors von wikileak…

  13. HANNES

    ,

    Echt jetzt, „mirrorn“, wie wärs mit „spiegeln“ ?

  14. Jan

    ,

    Wer einen Mirror aufgesetzt hat, mag ihn vielleicht unter

    http://www.whereiswikileaks.org

    eintragen?

    Es gibt die Mirrorlisten auch als txt-File vielleicht können Lutz und Theodor die auch bei sich einbinden?

    grüße,
    Jan

Dieser Artikel ist älter als 15 Jahre, daher sind die Ergänzungen geschlossen.