Sambia: Einsatz von Deep Packet Inspection gegen unliebsame Webseiten

Häufig ist in letzter Zeit die Rede von Metadaten oder Verbindungsdaten, welche ganz natürlich bei jeder Kommunikation im Internet anfallen und die genutzt werden können, um Persönlichkeitsprofile von Nutzern zu erstellen. Um allerdings auch Informationen über die verschickten Daten und nicht nur Sender und Empfänger zu erfahren, sind weitere Hilfsmittel nötig. Eines dieser Hilfsmittel ist die sogenannte Deep Packet Inspection (DPI), bei der der Datenteil sowie der Header eines Datenpakets auf bestimmte Merkmale hin untersucht werden kann. DPI wird daher häufig zur Überwachung, Filterung und auch Zensur von Netzinhalten eingesetzt, wie es zur Zeit gerade in Sambia zu beobachten ist. Dort wird nach Recherchen von Mr.T für Open Observatory of Network Interference (OONI) die Webseite zambianwatchdog.com mit Hilfe von DPI für Aufrufe innerhalb Sambias gesperrt.

Zambianwatchdog.com ist nach eigener Aussage, gemessen an den Seitenaufrufen, die 8. größte Webseite in Sambia. Die Nachrichtenseite befasst sich mit inländischen Themen wie Korruption und Drogenschmuggel und wird von der Regierung sehr kritisch betrachtet. Wie OONI berichtet, häufen sich seit dem 24. Juni Beschwerden, dass die Seite nicht mehr aus Sambia erreicht werden kann. Die Analyse der Protokolle auf den Servern zeigten einen enormen Anstieg an Einträgen, bei denen der HTTP-Status Code 200 berichtet wurde, aber keinerlei Daten zurück an den Nutzer geschickt wurden.

41.72.105.x – – [25/Jun/2013:05:03:58 +0000] „GET / HTTP/1.1“ 200 0 „-“ „Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0“

Mr.T erklärt diesen Eintrag wie folgt:

The status code 200 indicates that the client’s request was successfully received, understood, and accepted by the server but for some unknown reason no information was send back to the client.

Zu einem späteren Zeitpunkt fanden die Betreiber der Server heraus, dass nur Verbindungen von innerhalb Sambias von diesem Problem betroffen waren und die Verbindung von Außen unterbrochen wurde, nachdem der Client sich mit dem Webserver von zambianwatchdog.com verbunden hatte. Deshalb wurden auch keine Daten mehr an den Client gesendet. Durch die Analyse ihrer eigenen inländischen Verbindungen zu den Server konnte herausgefunden werden, dass die Verbindung jedes mal unterbrochen wird, wenn HTTP Header Host: www.zambianwatchdog.com übermittelt wurde. Dieses Verhalten lässt darauf schließen, dass der HTTP-Header bei der Übertragung untersucht wird die Verbindung gekappt wird, sobald ein bestimmter Wert erkannt wird.

Um das zu überprüfen änderte man den HTTP Header Host zu ähnlichen, aber nicht identischen Werten, wie zum Beispiel www.zambianwatchdog.COM, zambianwatchdog.com, Zambianwatchdog.cOm oder wWw.zambianwatchdog.com. Und tatsächlich wurden die Verbindungen nun nicht mehr unterbrochen, was nach Aussage des Autors auf den Einsatz von DPI deutet:

To our surprise we discovered that the “reset” of the connections was only talking place when we used the header www.zambianwatchdog.com and not when using any of the other combinations. After twelve hours we could confirm that malicious traffic was not generated by the readers but was actively injected into the network when a reader was requesting content from the website www.zambianwatchdog.com and that this behavior could only be explained by the presence of deep packet inspection (DPI) equipment inside Zambia.

Weitere Tests ergaben, dass keine weiteren Seiten der Top 1000 des Alexa-Rakings von Einschränkungen betroffen waren. Um die Seite wieder für die Bevölkerung erreichbar zu machen, erzwang man den Verbindungsaufbau zwischen Client und Server mit SSL zu verschlüsseln, was aber nur kurzzeitig Erfolg brachte. Seit dem 16. Juli werden auch Verbindungen per HTTPS von Außen unterbrochen. Auch ein Umzug auf die neue Domain http://zwd.cums.in wurde frühzeitig erkannt und wird nun aktiv geblockt. Gleichzeitig wurde die Filterung auf das gesamte /24 Netzwerk ausgeweitet, weshalb nun auch hunderte andere Webseiten auf Servern des selben Providers von der Sperrung betroffen sind.

Dass die Regierung hinter der aktiven Sperrung von zambianwatchdog.com steckt ist sehr wahrscheinlich, spätestens auch nach einer Aussage von Guy Scott, dem Vizepräsidenten Sambias, der sagte:

I do not have the details of the blocking of Zambianwatchdog.com, but I
would celebrate.