Wikileaks sinnvoll mirrorn

Lutz Donnerhacke und Theodor Reppe wollen unter mirrors.wikileaks.de eine zentrale Anlaufstelle für Wikileaks-Mirrors errichten.

Es soll aber nicht wieder nur eine von vielen sporadisch gepflegten und daher unvollständigen oder nicht mehr aktuellen Linklisten entstehen, sondern alle Mirrors unter Wikileaks.de angeboten werden, so dass sich dann hinter www.wikileaks.de viele DNS- und Webserver verbergen, die abwechselnd der Reihe nach auf Anfragen antworten – treffend als „Multihoming, Load balancing und Resilienz des kleinen Mannes“ bezeichnet.

So wird die Last auf viele Ressourcen verteilt, was zu einer geringeren Anfälligkeit gegen Angriffe sowohl auf die DNS- als auch auf die Webserver führt. Um sicherzugehen, dass keiner der beteiligten Server manipulierte Daten anbietet, werden die Webserver anhand unregelmäßiger Stichproben kontrolliert, während die DNS-Server durch DNSSEC-Signaturen an Manipulation gehindert werden (sollen).

Wie kann man sich daran beteiligen?

Alle Betreiber eines Wikileaks-Mirrors können sich mit wenigen Schritten anmelden. Wer einen DNS-Mirror aufsetzen möchte, sollte wissen was es bedeutet einen DNSSEC secondary Server aufzusetzen.

Als Belohnung für Mirror-Server-Betreiber gibt es eine persönliche subdomain.mirrors.wikileaks.de und eine Emailadresse@mirrors.wikileaks.de

Insbesondere das Einbinden eines bestehenden Webserver-Mirrors ist sehr einfach. Was für einige momentane Betreiber ein Nachteil sein könnte: Auf den erhofften Werbeeffekt des eigenen Domainnamens muss verzichtet werden – aber wer würde schon (zugeben) nur deshalb einen Mirror zu betreiben?

Wie kann man darauf zugreifen?

Um auf die Mirrors zugreifen zu können, braucht man einen DNSSEC-fähigen resolver wie UnboundBind oder Windows 2008 R2 (oder einen ISP, der einen anbietet) und muss diesen richtig konfigurieren. Wie das geht steht hier.

Details zum Konzept, das ich unter „Muss man sich unbedingt mal merken“ eingeordnet habe, finden sich unter http://mirrors.wikileaks.de.

20 Ergänzungen

  1. Ich verstehe gerade nicht ganz, wie das mit dem „drauf zugreifen“ gemeint ist. Wenn das aber heißt, dass man da nicht einfach so und ohne einen einzigen Handgriff mit dem handelsüblich installierten Browser drauf surfen kann, dann wird das nix. Es sei denn, das ist wirklich als Service für die wenigen Sachkundigen gedacht, die auf größtmögliche Sicherheit bestehen.

    DNSSEC mag ja noch so sinnvoll sein (oder eventuell auch nicht wenn man nach dem Bernstein-Vortrag vom 27c3 geht [1]). Weit verbreitet ist es aber nicht und kaum jemand weiß überhaupt, dass sowas existiert.

    [1] https://events.ccc.de/congress/2010/Fahrplan/events/4295.en.html

    1. @Mithos

      Ich möchte nicht über djbs Theorien streiten, aber er hat schlicht nicht das Problem verstanden.

      Sein Vorschlag ist, das Internet abzuschaffen und durch ein vollverschlüsseltes neues Netz zu ersetzen, bei dem die Rechner ihren öffentlichen Schlüssel als Namen zu verwenden haben. Dabei soll weltweit der gleiche Algorithmus mit einer unveränderlichen ECC Kurve (seiner eignen) verwendet werden.

      DNSSEC verfolgt dagegen den Ansatz das *öffentliche* DNS gegen *Transport*manipulationen zu schützen. Damit wird aus einem „Telefonbuch“ eine „vertrauenswürdige Datenbank“.

      In hier vorliegenden Fall hilft DNSSEC unbekannten Dritten die Möglichkeit zu geben, die DNS Zone zu hosten. Damit kann man erkennen, ob der Betreiber des Secondaries an den Daten rumspielt. Mit DNSCurve würde man nur wissen, daß die Daten vom Betreiber des Secondary kamen, aber nicht ob es die sind, die wir originär zusammenstellten.

  2. @Lutz Donnerhacke: Wir wollen die DNSSEC Server der GPF als DNS-Mirror anbieten, aber wo gibt es die Zone-Files für Slaves (bind9)? Selbst erstellen?

  3. @Mithos:
    Jeder kann natürlich einfach auf (www.)wikileaks.de surfen und landet auf einem der Mirrors. Nur um z.B. das DNSSEC-Plugin von firefox richtig zu benutzen (damit es die aufgelöste IP validiert) ist etwas mehr Arbeit nötig (DNSSEC-fähiger Nameserver).
    Wäre auch mal eine Maßnahme, generell öffentliche DNSSEC-fähige Nameserver zu publizieren.

    Theodor Reppe

    1. @Torsten

      Ja, deswegen ist er jetzt beim mir. Ich kann den Mund aufmachen und einem Kunden ins Gesicht sagen, was ich von seinem Vorgehen halte. Das ist auf Dauer für alle Beteiligten der bessere Weg.

  4. Lutz Donnerhacke: Der letzte Provider hat ihm auch offen ins Gesicht gesagt, was er von dessen Vorgehen hielt :-)

  5. Schöne Idee.

    Und ich bin gespannt, wie schnell wikileaks.de auf diversen Kinderporno-Sperrlisten landen wird. Die Welt kennt viele Zensursulas und Censilias.

  6. Da hat man doch wieder den single point of failure wikileaks.de. Da wird dann einem Artikel Verharmlosung des Holocausts vorgeworfen und die ganze Domain wird abgeschaltet.

    Ziel sollte auf jeden Fall auch sein, Domains in möglichst vielen Ländern zu haben.

  7. AUTSCH!

    „Wikileaks sinnvoll mirrorn“

    Hoffentlich schmerzt diese Überschrift den Autor so sehr wie manchem Leser. :)

  8. @Lutz:

    Seid ihr manuell schon so weit, dass ihr DNS-Mirror durchklickt? Ich habe so eine Bestätigungs-Mail bekommen, brav den haken bei „Commit new DNS Server“ (oder so ähnlich) gesetzt und nochmal bestätigt. Dennoch bekomme ich da noch keine neuen DNS-Server (geschweige denn, meinen) für wikileaks.de oder http://www.wikileaks.de, auch wenn ich avalon.iks-jena.de frage. Ist das einfach noch nicht ganz durchgelaufen, oder ist bei mir was kaputt?

    1. Automatisiert ist fast alles, die Eintragungen und Austragungen erfolgen seit Freitag, der Automatismus dafür kommt heute.

      Sorry, aber wie zu erwarten war, sind realweltliche Daten deutlich komplexere Testfälle. So scheiterte die Überprüfung an so vielen Stellen, das nicht ganz klar ist, wie man das als E-Mail formuliert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.